====== Informationsverbund ======

===== Beschreibung des Informationsverbunds =====

++++ Definition Informationsverbund |
<WRAP center round help 80%>
Nach der IT-Grundschutz-Methodik des BSI muss ein Geltungsbereich für die Sicherheitskonzeption definiert worden sein. Dieser Geltungsbereich wird als Informationsverbund bezeichnet. {[BSI2003]}, S. 9
</WRAP>
++++

===== Strukturanalyse =====
Ab Standard-Absicherung ist eine Strukturanalyse gemäß Kapitel 8.1 ({[BSI2002]}, S. 78ff.) der IT-Grundschutz-Methodik notwendig. Im Rahmen unserer [[bestand:prozess|Bestandserhebung]] wurden alle relevanten Bestandteile des Informationsverbundes ermittelt:
  * [[bestand:raeume:start|Räumlichkeiten]] mit IT-Bezug
  * [[bestand:hardware:start|Hardware]]
  * [[bestand:software:start|Software]]
  * [[bestand:raeume:start|Zertifikate]] sowie 
  * [[bestand:it-dl:start|IT-Dienstleister]].


===== Schutzbedarfsfeststellung =====

++++ Schutzbedarfsfeststellung|
<WRAP center round help 80%>
Ab Standard-Absicherung ist eine Schutzbedarfsfeststellung gemäß Kapitel 8.2 ({[BSI2002]}, S. 104ff.) der IT-Grundschutz-Methodik notwendig. Neben der Definition von Schutzbedarfskategorien erfolgt eine Schutzbedarfsfeststellung für:
  * Geschäftsprozesse 
  * Anwendungen
  * IT-Systeme, IoT und ICS-Geräte
  * Gebäude und Räume

sowie das Ziehen von Schlussfolgerungen aus den Ergebnissen.

</WRAP>
++++

==== Definition von Schutzbedarfskategorien ====
Für die Mittelstand GmbH wurden in Übereinstimmung mit ({[BSI2002]}, S. 104) die folgenden Schutzbedarfskategorien definiert:
  * **unkritisch**: Schäden haben keine oder nur minimale Beeinträchtigungen der Institution zur Folge
  * **normal**: Schadensauswirkungen sind begrenzt und überschaubar
  * **hoch**: Schadensauswirkungen können beträchtlich sein
  * **sehr hoch**: Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.

Zur genaueren Abgrenzung der Kategorien haben wir die folgenden Schadensszenarien zu den Schutzbedarfskategorien zugeordnet und untersetzt:

^ Schutzbedarfskategorie  ^ Verstoß gegen Gesetze/Vorschriften/Verträge                                              ^ Beeinträchtigung des informationellen Selbstbestimmungsrechts           ^ Beeinträchtigung der persönlichen Unversehrtheit                                                          ^ Beeinträchtigung der Aufgabenerfüllung                                                        ^ Negative Innen- oder Außenwirkung                                       ^ Finanzielle Auswirkungen                                                         ^
^ unkritisch              | Kein oder geringer Verstoß, der keine Konsequenzen nach sich zieht.                      | Keine oder geringe Beeinträchtigung.                                    | Keine Beeinträchtigung.                                                                                   | Keine oder geringe Beeinträchtigung der Aufgabenerfüllung.                                    | Keine oder geringe negative Wirkung.                                    | Keine oder geringe finanzielle Auswirkungen.                                     |
^ normal                  | Möglicher Verstoß, der mit moderaten Konsequenzen verbunden ist.                         | Moderate Beeinträchtigung, die behoben werden kann.                     | Geringfügige Beeinträchtigung, die keine langfristigen Folgen hat.                                        | Moderate Beeinträchtigung der Aufgabenerfüllung, die behoben werden kann.                     | Moderate negative Wirkung, die beherrschbar ist.                        | Moderate finanzielle Auswirkungen, die behoben werden können.                    |
^ hoch                    | Schwerwiegender Verstoß, der erhebliche rechtliche Konsequenzen nach sich zieht.         | Erhebliche Beeinträchtigung, die schwerwiegend, aber beherrschbar ist.  | Erhebliche Beeinträchtigung, die zu gesundheitlichen oder physischen Schäden führen kann.                 | Erhebliche Beeinträchtigung der Aufgabenerfüllung, die schwerwiegend, aber beherrschbar ist.  | Erhebliche negative Wirkung, die schwerwiegend, aber beherrschbar ist.  | Erhebliche finanzielle Auswirkungen, die schwerwiegend, aber beherrschbar sind.  |
^ sehr hoch               | Katastrophaler Verstoß, der existenzbedrohende rechtliche Konsequenzen nach sich zieht.  | Katastrophale Beeinträchtigung, die nicht behoben werden kann.          | Katastrophale Beeinträchtigung, die zu schweren gesundheitlichen oder physischen Schäden oder Tod führt.  | Katastrophale Beeinträchtigung der Aufgabenerfüllung, die existenzbedrohend ist.              | Katastrophale negative Wirkung, die existenzbedrohend ist.              | Katastrophale finanzielle Auswirkungen, die existenzbedrohend sind.              |

  * Auswahlliste für [[lookups:schutzbedarfskategorie|Schutzbedarfskategorie]] anpassen

==== Schutzbedarfsfeststellung Geschäftsprozesse ====

---- struct table ----
schema: prozesse
cols: schutzbedarfskategorie, %title%, *
header: Schutzbedarf, Seitenlink,
sort: schutzbedarfskategorie
----

  * [[formulare:neuer-geschaeftsprozess|Neuen Geschäftsprozess anlegen]]

==== Schutzbedarfsfeststellung Anwendungen ====

---- struct table ----
schema: software
cols: schutzbedarfskategorie, %title%, *
header: Schutzbedarf, Seitenlink,
sort: schutzbedarfskategorie
----

  * [[formulare:neue-software|Neue Software anlegen]]


==== Schutzbedarfsfeststellung IT-Systeme, IoT und ICS-Geräte ====

---- struct table ----
schema: hardware
cols: schutzbedarfskategorie, %title%, *
header: Schutzbedarf, Seitenlink,
sort: schutzbedarfskategorie
----

  * [[formulare:neue-hardware|Neue Hardware anlegen]]


==== Schutzbedarfsfeststellung Gebäude und Räume ====
---- struct table ----
schema: raeume
cols: schutzbedarfskategorie, %title%, *
header: Schutzbedarf, Seitenlink,
sort: schutzbedarfskategorie
----

  * [[formulare:neuer-raum|Neuen Raum anlegen]]




===== Modellierung =====
Ab Standard-Absicherung ist eine Modellierung gemäß Kapitel 8.3 ({[BSI2002]}, S. 132ff.) der IT-Grundschutz-Methodik und Kapitel 2 des IT-Grundschutz-Kompendiums notwendig. 

Bei der Basis-Absicherung besteht die "[...] Modellierung nach IT-Grundschutz [...] nun darin, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegenschaften, Organisationseinheiten usw. Können einzelne Zielobjekte nicht unmittelbar mit den vorhandenen Bausteinen abgebildet werden, muss gewährleistet sein, dass ähnliche, verallgemeinerte Bausteine berücksichtigt werden."

Die Bausteine finden sich auf den [[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html|Seiten des BSI]] und sind in den folgenden Gruppen sortiert:
  * ISMS: Sicherheitsmanagement
  * ORP: Organisation und Personal
  * CON: Konzeption und Vorgehensweise
  * OPS: Betrieb
  * DER: Detektion und Reaktion
  * APP: Anwendungen
  * SYS: IT-Systeme
  * IND: Industrielle IT
  * NET: Netze und Kommunikation
  * INF: Infrastruktur

In nachfolgender Tabelle sind die unseren Informationsverbund beschreibenden Bausteine aufgelistet FIXME. Über nachfolgendes Formular können weitere Bausteine hinzugefügt werden.

---- struct lookup ----
schema: bausteine
dynfilters: 1
----


===== IT-Grundschutz-Check =====

IT-Grundschutz-Check gemäß Kapitel 8.4 der IT-Grundschutz-Methodik