Catalogues IT-Grundschutz

Wikipédia: événements WikiProject / passés / manquants

Les catalogues de protection de base informatique (avant 2005: IT Baseline Protection Manual ) sont un ensemble de documents de l' Office fédéral allemand de la sécurité de l'information (BSI) qui sont utilisés pour identifier et combattre les points faibles liés à la sécurité dans les environnements informatiques ( réseau informatique ). Avec une introduction et des catalogues, la collection comprend plus de 4 800 pages (15e supplément de 2016) et sert de base aux entreprises et aux autorités pour obtenir la certification selon IT-Grundschutz . Avec la certification, une entreprise démontre qu'elle a pris les mesures appropriées pour protéger ses systèmes informatiques contre les menaces de sécurité informatique.

Protection de base informatique

«IT-Grundschutz inclut des mesures de sécurité standard pour les systèmes informatiques typiques avec des exigences de protection« normales »(moyennes)» .

La détection et l'évaluation des points faibles des systèmes informatiques se font souvent via une analyse des risques , un risque potentiel étant estimé individuellement pour chaque système ou chaque groupe de systèmes similaires et les coûts des dommages au système étant déterminés. Cette approche est très longue et donc coûteuse.

L' IT-Grundschutz suppose une situation de risque normale pour le système, qui est applicable dans 80% des cas et recommande des contre-mesures adéquates à cet effet. De cette manière, un niveau de sécurité peut être atteint qui, dans la plupart des cas, peut être considéré comme suffisant et remplace donc l'analyse des risques beaucoup plus coûteuse. En cas d'exigences de sécurité plus importantes, l'IT-Grundschutz peut être utilisé comme base pour d'autres mesures.

La certification d'origine selon IT-Grundschutz a été complètement remplacée par une certification reconnue ISO / IEC 27001 basée sur IT-Grundschutz .

Contrairement à ISO 27001, l'IT-Grundschutz suit une approche ascendante et est donc très gourmande en technologie.

Objectifs de protection

La sécurité informatique est divisée en trois objectifs de protection (également appelés valeurs de base de la sécurité de l'information):

• confidentialité

  Les informations confidentielles doivent être protégées contre toute divulgation non autorisée

• intégrité

  Exactitude, absence de manipulation et intégrité des systèmes informatiques, des processus informatiques et des informations. L'authenticité (c'est-à-dire l'authenticité, la responsabilité et la crédibilité de l'information) doit également être prise en compte.

• Disponibilité

  Les services, les fonctions d'un système informatique ou les informations sont disponibles au moment voulu.

De plus, l'utilisateur est libre de définir d'autres objectifs de protection (valeurs de base). Des exemples sont:

• Non-répudiation

  Il ne doit pas être possible de nier les actions entreprises

• authenticité

  Il doit être garanti que la personne concernée est effectivement une personne autorisée (preuve d'identité) ou que les informations sont authentiques et crédibles

• fiabilité

Structure des catalogues IT-Grundschutz

Structure des catalogues IT-Grundschutz

Une introduction avec des explications, des approches de l'IT-Grundschutz, des définitions des termes et des rôles ainsi qu'un glossaire familiarisent le lecteur avec le manuel. Viennent ensuite les catalogues de modules, les catalogues de dangers et enfin les catalogues de mesures. La collection est complétée par des formulaires et des tableaux de correspondance sur la plate-forme Internet de l'Office fédéral de la sécurité de l'information (BSI). La procédure IT-Grundschutz elle-même est décrite dans les normes BSI 100-1 à 100-4 et constitue la base de l'application des catalogues IT-Grundschutz et de la mise en place d'un système de gestion de la sécurité de l'information . De plus, il existe de nombreux outils pour implémenter IT-Grundschutz sur le site Web de BSI. Le guide sur la sécurité de l'information est un document d'introduction à tout le sujet de la sécurité de l'information et traite des sujets les plus importants. Chaque élément de catalogue est identifié par une abréviation individuelle, qui est structurée selon le schéma suivant. Le groupe de catalogue est mentionné en premier, B signifie module, M pour mesure et G pour danger. Ceci est suivi du numéro de la couche qui se rapporte à cet élément de catalogue dans son catalogue, suivi du numéro consécutif dans la couche.

Les catalogues IT-Grundschutz peuvent être consultés et téléchargés gratuitement en ligne sur le site Web du BSI, ou une version reliée peut être commandée au Journal officiel fédéral moyennant des frais. Cependant, ils sont mis à jour chaque année (en tant que soi-disant livraison supplémentaire).

Catalogue de blocs de construction

Le catalogue de modules est l'élément central et, comme les autres catalogues, suit un modèle de couches. Les cinq couches suivantes sont décrites: aspects généraux, infrastructure, systèmes informatiques, réseaux et applications.

Affectation des modules individuels à des groupes de personnes dans l'organisation respective

La première couche traite des problèmes d'organisation liés à la gestion , au personnel ou à l' externalisation . Dans la couche infrastructure, l'accent est mis sur les aspects structurels. La couche des systèmes informatiques traite des propriétés des systèmes informatiques, qui, en plus des clients et des serveurs, comprennent également les systèmes téléphoniques et les télécopieurs . Dans la couche réseau, les aspects des réseaux sont examinés. La couche application traite des questions relatives aux logiciels liés à la sécurité tels que les systèmes de gestion de bases de données , les serveurs de messagerie électronique ou Web .

La division en équipes permet également de délimiter clairement les groupes de personnes affectés par le décalage respectif. Le premier quart concerne la direction. Les techniciens de la maison sont concernés par le second. La troisième couche est couverte par les administrateurs système. La quatrième couche est la responsabilité des administrateurs réseau et la cinquième couche est celle des administrateurs d'applications, des développeurs et des utilisateurs informatiques.

Chaque bloc de construction individuel suit la même structure. Le numéro de bloc est composé du numéro de la couche dans laquelle se trouve le bloc et d'un numéro unique dans cette couche. Après une brève description des faits considérés par le module, la situation de risque respective est décrite. Ceci est suivi d'une liste des sources individuelles de danger. Celles-ci représentent des informations supplémentaires et ne doivent pas nécessairement être traitées pour créer une protection de base.

Éléments du cycle de vie des blocs de construction

Les mesures nécessaires sont présentées avec de brèves explications dans un texte. Le texte suit le cycle de vie du problème concerné et comprend la planification et la conception, l'approvisionnement (si nécessaire), la mise en œuvre, l'exploitation, l'élimination (si nécessaire) et la planification d'urgence. Après la description détaillée, les mesures individuelles sont à nouveau résumées dans une liste, qui, cependant, est maintenant triée selon la structure du catalogue de mesures et non plus selon le cycle de vie. Les mesures sont classées en catégories A, B, C, Z et W. Les mesures de la catégorie A forment l'introduction au sujet, les mesures B l'étendent, puis la catégorie C est nécessaire pour une certification de la protection de base. Les mesures de la catégorie Z représentent des mesures supplémentaires qui ont fait leurs preuves dans la pratique. Les mesures de la catégorie W sont des mesures qui fournissent des connaissances de base sur le sujet respectif et contribuent à une compréhension de base supplémentaire du sujet respectif.

Arborescence des catalogues

Afin de garder le composant respectif aussi compact que possible, les aspects globaux sont souvent résumés dans un composant, tandis que des informations plus spécifiques sont collectées dans un second. Un exemple est le serveur Web Apache: le serveur Web général du module B 5.4, dans lequel les mesures et les menaces pour chaque serveur Web sont décrites, et le module B 5.11, qui traite spécifiquement du serveur Web Apache, s'y appliquent. Pour garantir la sécurité du système, les deux composants doivent être mis en œuvre avec succès. Les mesures ou dangers respectifs présentés dans le module peuvent également être pertinents pour d'autres modules, parfois complètement différents. Cela crée un réseau entre les composants individuels des catalogues IT-Grundschutz.

Catalogues de dangers

À la suite des catalogues de modules, les catalogues de dangers décrivent plus en détail les menaces potentielles pour les systèmes informatiques. Ces catalogues de dangers suivent la structure générale par couches. Une distinction est faite entre les niveaux de risques élémentaires , de force majeure , de carences organisationnelles , d' erreur humaine , de défaillance technique et d' actions délibérées . Selon le BSI, les connaissances rassemblées dans ces catalogues ne sont pas absolument nécessaires pour créer la protection de base, mais elles favorisent la compréhension de la mesure et la vigilance des responsables. La source individuelle de danger est décrite dans un court texte, puis des exemples de cas de dommages pouvant être déclenchés par cette source de danger sont donnés.

Catalogues de mesures

Les mesures nécessaires pour mettre en œuvre la protection de base sont résumées dans des catalogues de mesures. Les mesures appropriées pour plusieurs composants du système ne sont décrites qu'une seule fois de manière centralisée. Les couches sont également utilisées pour structurer les groupes de mesures individuels. Les couches suivantes sont formées: "Infrastructure", "Organisation", "Personnel", "Matériel / logiciel", "Communication" et "Préparation aux situations d'urgence".

Dans la description des mesures respectives, les personnes chargées de lancer et de mettre en œuvre la mesure sont initialement nommées. Une description détaillée de la mesure suit. Enfin, des questions de contrôle pour une mise en œuvre correcte sont données. Lors de la mise en œuvre des mesures, il convient d'abord de vérifier s'il est nécessaire de les adapter à l'entreprise concernée. Une documentation précise de ces ajustements est utile pour une traçabilité ultérieure. À la fin des mesures, il y a eu des questions dites tests depuis la 10e livraison supplémentaire, qui reprennent les aspects essentiels d'une mesure et représentent ainsi une sorte de liste de contrôle pour savoir si elles ont également été mises en œuvre.

Matériel supplémentaire

Outre les informations résumées dans les catalogues IT-Grundschutz, l'Office fédéral de la sécurité de l'information met à disposition d'autres informations sur Internet. Les formulaires fournis ici permettent de déterminer les exigences de protection de certains composants du système informatique. Un tableau résume les mesures à mettre en œuvre pour les différents modules. Chaque mesure est nommée et le degré de mise en œuvre est enregistré. Une distinction est faite entre les degrés de mise en œuvre «superflus», «oui», «partiellement» et «non». La mise en œuvre est ensuite planifiée et une personne responsable est nommée. Si la mise en œuvre de la mesure n'est pas possible, les raisons doivent être inscrites dans le champ ci-dessous afin de pouvoir être retracées ultérieurement. La conclusion est une estimation des coûts.

En plus des formulaires, les tableaux de références croisées sont un autre ajout utile. Ils résument les mesures et les risques les plus importants pour le module individuel. Les mesures et les dangers sont nommés avec l'abréviation. Les mesures sont prioritaires et leur classement est donné. Le tableau montre quelles mesures neutralisent quels dangers. Il convient toutefois de noter que les tableaux de références croisées ne répertorient que les dangers les plus importants. Si les menaces spécifiées pour une mesure ne s'appliquent pas au système informatique individuel, cela ne deviendra pas superflu. La protection de base ne peut être garantie que si toutes les mesures ont été mises en œuvre.

Modernisation de l'IT-Grundschutz

Depuis 2005, le BSI a complètement renouvelé tant la démarche de mise en place d'un système de management de la sécurité de l'information (SMSI) que la procédure de mise à jour du contenu.

Logiciel

Avec le GSTOOL (novembre 2011: version 4.5 actuelle, avec le service pack 2 installé, le logiciel reçoit le numéro de version 4.7), le BSI lui-même a également fourni «depuis 1998 des logiciels régulièrement mis à jour, innovants et ergonomiquement gérables qui aident les utilisateurs à créer, gérer et mise à jour efficacement soutenue par des concepts de sécurité conformément à IT-Grundschutz [en devrait]. "

Selon ses propres informations, le BSI a arrêté le développement ultérieur en septembre 2013. L'une des raisons invoquées était qu'il existe déjà des produits correspondants sur le marché.

Selon le communiqué de presse, le BSI veut se limiter à tester ces produits et à ne faire que des recommandations; En fin de compte, le BSI ne peut fournir qu'une liste de logiciels sans évaluation supplémentaire (à partir de novembre 2014).

Autres outils pour créer des concepts de sécurité basés sur IT-Grundschutz

• SAVe , INFODAS GmbH
• je-doit , synétique

Preuve individuelle

1. ↑ Catalogues IT-Grundschutz, chap. 1.1
2. ↑ BSI - Aids IT-Grundschutz - Accueil. Dans: www.bsi.bund.de. Récupéré le 14 janvier 2016 . 
3. ↑ Publications du BSI
4. ↑ GSTOOL
5. ↑ BSI: BSI arrête le développement de GSTOOL 5.0. Récupéré le 13 novembre 2014 . 
6. ↑ BSI: GSTOOL - Autres outils pour IT-Grundschutz. (N'est plus disponible en ligne.) Archivé de l' original le 25 septembre 2014 ; Récupéré le 13 novembre 2014 : "" Est-ce une simple liste "" Info: Le lien de l'archive a été inséré automatiquement et n'a pas encore été vérifié. Veuillez vérifier le lien d'origine et d'archive conformément aux instructions , puis supprimez cet avis. @1@ 2Modèle: Webachiv / IABot / www.bsi.bund.de 

Littérature

• Guide de sécurité de l'information. Allemagne. Office fédéral de la sécurité des technologies de l'information. (Dernière mise à jour 2012)
• Normes BSI pour la sécurité de l'information en Allemagne. Office fédéral de la sécurité des technologies de l'information. 2e édition. Bundesanzeiger, Cologne 2008. ISBN 3-89817-692-4
• Catalogues de protection informatique de base. Travail standard sur la sécurité de l'information. 15. Livraison supplémentaire. Office fédéral de la sécurité des technologies de l'information. Bundesanzeiger Verlag, Cologne 2005ff. ISBN 3-88784-915-9 (mars 2016). Aussi en ligne

liens web

• Site Web IT-Grundschutz
• Site Web de GSTOOL
• Vérification de la page par l'Initiative-S de la Task Force «IT Security in Business» Service de l' éco Association de l'industrie Internet, financé par le Ministère fédéral de l'économie et de la technologie (BMWi)