From 85646c7f65806ef05459f9508480e5b5d1d39964 Mon Sep 17 00:00:00 2001 From: Abderrahmane Smimite Date: Sat, 18 May 2024 11:09:10 +0200 Subject: [PATCH] Push BSI requirements as separate files per section --- .../bs-it-gs-2023-app-anwendungen.yaml | 13116 +++ ...23-con-konzeption-und-vorgehensweisen.yaml | 5945 ++ ...it-gs-2023-der-detektion-und-reaktion.yaml | 5873 ++ .../bs-it-gs-2023-ind-industrielle-it.yaml | 2579 + .../bs-it-gs-2023-inf-infrastruktur.yaml | 10008 ++ ...it-gs-2023-isms-sicherheitsmanagement.yaml | 914 + ...t-gs-2023-net-netze-und-kommunikation.yaml | 9632 ++ .../libraries/bs-it-gs-2023-ops-betrieb.yaml | 11120 +++ ...gs-2023-orp-organisation-und-personal.yaml | 2500 + .../bs-it-gs-2023-sys-it-systeme.yaml | 18006 ++++ .../it-grundschutz-kompendium-2023.yaml | 79555 ---------------- tools/bsi/bs-it-gs-2023-app-anwendungen.xlsx | Bin 0 -> 109865 bytes ...23-con-konzeption-und-vorgehensweisen.xlsx | Bin 0 -> 56387 bytes ...it-gs-2023-der-detektion-und-reaktion.xlsx | Bin 0 -> 54441 bytes .../bs-it-gs-2023-ind-industrielle-it.xlsx | Bin 0 -> 31617 bytes .../bsi/bs-it-gs-2023-inf-infrastruktur.xlsx | Bin 0 -> 85644 bytes ...it-gs-2023-isms-sicherheitsmanagement.xlsx | Bin 0 -> 18710 bytes ...t-gs-2023-net-netze-und-kommunikation.xlsx | Bin 0 -> 80924 bytes tools/bsi/bs-it-gs-2023-ops-betrieb.xlsx | Bin 0 -> 91322 bytes ...gs-2023-orp-organisation-und-personal.xlsx | Bin 0 -> 30626 bytes tools/bsi/bs-it-gs-2023-sys-it-systeme.xlsx | Bin 0 -> 145569 bytes 21 files changed, 79693 insertions(+), 79555 deletions(-) create mode 100644 backend/library/libraries/bs-it-gs-2023-app-anwendungen.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-der-detektion-und-reaktion.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-ind-industrielle-it.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-inf-infrastruktur.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-isms-sicherheitsmanagement.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-net-netze-und-kommunikation.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-ops-betrieb.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-orp-organisation-und-personal.yaml create mode 100644 backend/library/libraries/bs-it-gs-2023-sys-it-systeme.yaml delete mode 100644 backend/library/libraries/it-grundschutz-kompendium-2023.yaml create mode 100644 tools/bsi/bs-it-gs-2023-app-anwendungen.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-der-detektion-und-reaktion.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-ind-industrielle-it.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-inf-infrastruktur.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-isms-sicherheitsmanagement.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-net-netze-und-kommunikation.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-ops-betrieb.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-orp-organisation-und-personal.xlsx create mode 100644 tools/bsi/bs-it-gs-2023-sys-it-systeme.xlsx diff --git a/backend/library/libraries/bs-it-gs-2023-app-anwendungen.yaml b/backend/library/libraries/bs-it-gs-2023-app-anwendungen.yaml new file mode 100644 index 000000000..8761f8cc5 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-app-anwendungen.yaml @@ -0,0 +1,13116 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-app-anwendungen +locale: de +ref_id: bs-it-gs-2023-app-anwendungen +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - APP:\ + \ Anwendungen" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-app-anwendungen + ref_id: bs-it-gs-2023-app-anwendungen + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - APP: Anwendungen" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + assessable: false + depth: 1 + ref_id: APP.1.1 + name: Office-Produkte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A2 + name: "Einschr\xE4nken von Aktiven Inhalten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2 + ref_id: APP.1.1.A2.1 + description: "Die Funktion, dass eingebettete Aktive Inhalte automatisch ausgef\xFC\ + hrt werden, MUSS deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2 + ref_id: APP.1.1.A2.2 + description: "Falls es dennoch notwendig ist, Aktive Inhalte auszuf\xFChren,\ + \ MUSS darauf geachtet werden, dass Aktive Inhalte nur ausgef\xFChrt werden,\ + \ wenn sie aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a2 + ref_id: APP.1.1.A2.3 + description: "Alle Benutzenden M\xDCSSEN hinsichtlich der Funktionen, die Aktive\ + \ Inhalte einschr\xE4nken, eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A3 + name: "Sicheres \xD6ffnen von Dokumenten aus externen Quellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3 + ref_id: APP.1.1.A3.1 + description: "Alle aus externen Quellen bezogenen Dokumente M\xDCSSEN auf Schadsoftware\ + \ \xFCberpr\xFCft werden, bevor sie ge\xF6ffnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3 + ref_id: APP.1.1.A3.2 + description: "Alle als problematisch eingestuften und alle innerhalb der Institution\ + \ nicht ben\xF6tigten Dateiformate M\xDCSSEN verboten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3 + ref_id: APP.1.1.A3.3 + description: "Falls m\xF6glich, SOLLTEN sie blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a3 + ref_id: APP.1.1.A3.4 + description: "Durch technische Ma\xDFnahmen SOLLTE erzwungen werden, dass Dokumente\ + \ aus externen Quellen gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A6 + name: Testen neuer Versionen von Office-Produkten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6 + ref_id: APP.1.1.A6.1 + description: "Neue Versionen von Office-Produkten SOLLTEN vor dem produktiven\ + \ Einsatz auf Kompatibilit\xE4t mit etablierten Arbeitsmitteln wie Makros,\ + \ Dokumentenvorlagen oder Formularen der Institution gepr\xFCft werden (Siehe\ + \ hierzu OPS.1.1.6 Software-Tests und -Freigaben)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6 + ref_id: APP.1.1.A6.2 + description: Es SOLLTE sichergestellt sein, dass wichtige Arbeitsmittel auch + mit der neuen Software-Version einwandfrei funktionieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a6 + ref_id: APP.1.1.A6.3 + description: "Bei entdeckten Inkompatibilit\xE4ten SOLLTEN geeignete L\xF6sungen\ + \ f\xFCr die betroffenen Arbeitsmittel gefunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A10 + name: Regelung der Software-Entwicklung durch Endbenutzende + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.1 + description: "F\xFCr die Software-Entwicklung auf Basis von Office-Anwendungen,\ + \ z. B. mit Makros, SOLLTEN verbindliche Regelungen getroffen werden (siehe\ + \ auch APP.1.1.A2 Einschr\xE4nken von Aktiven Inhalten)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.2 + description: "Zun\xE4chst SOLLTE in jeder Institution die Grundsatzentscheidung\ + \ getroffen werden, ob solche Eigenentwicklungen \xFCberhaupt erw\xFCnscht\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.3 + description: Die Entscheidung SOLLTE in den betroffenen Sicherheitsrichtlinien + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.4 + description: "Werden Eigenentwicklungen erlaubt, SOLLTE ein Verfahren f\xFC\ + r den Umgang mit entsprechenden Funktionen der Office-Produkte f\xFCr die\ + \ Endbenutzenden erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.5 + description: "Zust\xE4ndigkeiten SOLLTEN klar definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.6 + description: "Alle notwendigen Informationen \xFCber die erstellten Anwendungen\ + \ SOLLTEN angemessen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a10 + ref_id: APP.1.1.A10.7 + description: "Aktuelle Versionen der Regelungen SOLLTEN allen betroffenen Benutzenden\ + \ zeitnah zug\xE4nglich gemacht und von diesen beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A11 + name: "Geregelter Einsatz von Erweiterungen f\xFCr Office-Produkte" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + ref_id: APP.1.1.A11.1 + description: Alle Erweiterungen von Office-Produkten, wie Add-ons und Extensions, + SOLLTEN vor dem produktiven Einsatz genauso getestet werden wie neue Versionen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + ref_id: APP.1.1.A11.2 + description: "Hierbei SOLLTE ausschlie\xDFlich auf isolierten Testsystemen getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + ref_id: APP.1.1.A11.3 + description: "Die Tests SOLLTEN pr\xFCfen, ob Erweiterungen negative Auswirkungen\ + \ auf die Office-Produkte und die laufenden IT-Systeme haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + ref_id: APP.1.1.A11.4 + description: Die Tests der eingesetzten Erweiterungen SOLLTEN einem definierten + Testplan folgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a11 + ref_id: APP.1.1.A11.5 + description: "Dieser Testplan SOLLTE so gestaltet sein, dass Dritte das Vorgehen\ + \ nachvollziehen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A12 + name: Verzicht auf Cloud-Speicherung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + ref_id: APP.1.1.A12.1 + description: "Die in einigen Office-Produkten integrierten Funktionen f\xFC\ + r Cloud-Speicher SOLLTEN grunds\xE4tzlich deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + ref_id: APP.1.1.A12.2 + description: Alle Cloud-Laufwerke SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + ref_id: APP.1.1.A12.3 + description: Alle Dokumente SOLLTEN durch die Benutzenden auf zentral verwalteten + Fileservern der Institution gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + ref_id: APP.1.1.A12.4 + description: "Um Dokumente f\xFCr Dritte freizugeben, SOLLTEN spezialisierte\ + \ Anwendungen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a12 + ref_id: APP.1.1.A12.5 + description: "Diese Anwendungen SOLLTEN mindestens \xFCber eine verschl\xFC\ + sselte Datenablage und -versendung sowie ein geeignetes System zur Konten-\ + \ und Rechteverwaltung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A13 + name: Verwendung von Viewer-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.1 + description: "Daten aus potenziell unsicheren Quellen SOLLTEN automatisch in\ + \ einem gesch\xFCtzten Modus ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.2 + description: Diese Funktion SOLLTE NICHT durch die Benutzenden deaktivierbar + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.3 + description: "Eine Liste vertrauensw\xFCrdiger Quellen SOLLTE definiert werden,\ + \ von denen Inhalte unmittelbar ge\xF6ffnet und bearbeitet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.4 + description: "In dem gesch\xFCtzten Modus SOLLTEN Daten NICHT unmittelbar bearbeitet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.5 + description: "Aktive Inhalte, wie Makros und Skripte, SOLLTEN im gesch\xFCtzten\ + \ Modus NICHT automatisch ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.6 + description: "Nur eine allgemeine Navigation SOLLTE erm\xF6glicht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a13 + ref_id: APP.1.1.A13.7 + description: "Wenn die Dokumente lediglich betrachtet werden sollen, SOLLTEN\ + \ entsprechende Viewer-Anwendungen verwendet werden, wenn diese verf\xFCgbar\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A14 + name: "Schutz gegen nachtr\xE4gliche Ver\xE4nderungen von Dokumenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a14 + ref_id: APP.1.1.A14.1 + description: "Je nach geplantem Verwendungszweck von Dokumenten SOLLTEN Dokumente\ + \ geeignet gegen nachtr\xE4gliche Ver\xE4nderung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A15 + name: "Einsatz von Verschl\xFCsselung und Digitalen Signaturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15 + ref_id: APP.1.1.A15.1 + description: "Daten mit erh\xF6htem Schutzbedarf SOLLTEN nur verschl\xFCsselt\ + \ gespeichert bzw. \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15 + ref_id: APP.1.1.A15.2 + description: "Bevor ein in ein Office-Produkt integriertes Verschl\xFCsselungsverfahren\ + \ genutzt wird, SOLLTE gepr\xFCft werden, ob es einen ausreichenden Schutz\ + \ bietet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a15 + ref_id: APP.1.1.A15.3 + description: "Zus\xE4tzlich SOLLTE ein Verfahren eingesetzt werden, mit dem\ + \ Makros und Dokumente digital signiert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A16 + name: "Integrit\xE4tspr\xFCfung von Dokumenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a16 + ref_id: APP.1.1.A16.1 + description: "Wenn Daten mit erh\xF6htem Schutzbedarf gespeichert oder \xFC\ + bertragen werden, SOLLTEN geeignete Verfahren zur Integrit\xE4tspr\xFCfung\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a16 + ref_id: APP.1.1.A16.2 + description: "Falls Daten vor Manipulation gesch\xFCtzt werden sollen, SOLLTEN\ + \ dar\xFCber hinaus kryptografische Verfahren eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1 + ref_id: APP.1.1.A17 + name: Sensibilisierung zu spezifischen Office-Eigenschaften + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + ref_id: APP.1.1.A17.1 + description: "Alle Benutzenden M\xDCSSEN geeignet bez\xFCglich der Gef\xE4hrdungen\ + \ durch Aktive Inhalte in Office-Dateien sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + ref_id: APP.1.1.A17.2 + description: "Die Benutzenden M\xDCSSEN zum Umgang mit Dokumenten aus externen\ + \ Quellen geeignet sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + ref_id: APP.1.1.A17.3 + description: "Die Benutzenden SOLLTEN \xFCber die M\xF6glichkeiten und Grenzen\ + \ von Sicherheitsfunktionen der eingesetzten Software und der genutzten Speicherformate\ + \ informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + ref_id: APP.1.1.A17.4 + description: "Den Benutzenden SOLLTE vermittelt werden, mit welchen Funktionen\ + \ sie Dokumente vor nachtr\xE4glicher Ver\xE4nderung und Bearbeitung sch\xFC\ + tzen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.1.a17 + ref_id: APP.1.1.A17.5 + description: "Benutzende SOLLTEN im Umgang mit den Verschl\xFCsselungsfunktionen\ + \ in Office-Produkten sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + assessable: false + depth: 1 + ref_id: APP.1.2 + name: Webbrowser + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A1 + name: Verwendung von grundlegenden Sicherheitsmechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.1 + description: Der eingesetzte Webbrowser MUSS sicherstellen, dass jede Instanz + und jeder Verarbeitungsprozess nur auf die eigenen Ressourcen zugreifen kann + (Sandboxing). + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.2 + description: "Webseiten M\xDCSSEN als eigenst\xE4ndige Prozesse oder mindestens\ + \ als eigene Threads voneinander isoliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.3 + description: "Plug-ins und Erweiterungen M\xDCSSEN ebenfalls in isolierten Bereichen\ + \ ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.4 + description: Der verwendete Webbrowser MUSS die Content Security Policy (CSP) + umsetzen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.5 + description: "Der aktuell h\xF6chste Level der CSP SOLLTE erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a1 + ref_id: APP.1.2.A1.6 + description: "Der Browser MUSS Ma\xDFnahmen zur Same-Origin-Policy und Subresource\ + \ Integrity unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A2 + name: "Unterst\xFCtzung sicherer Verschl\xFCsselung der Kommunikation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2 + ref_id: APP.1.2.A2.1 + description: "Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren\ + \ Version unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2 + ref_id: APP.1.2.A2.2 + description: "Verbindungen zu Webservern M\xDCSSEN mit TLS verschl\xFCsselt\ + \ werden, falls dies vom Webserver unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2 + ref_id: APP.1.2.A2.3 + description: Unsichere Versionen von TLS SOLLTEN deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a2 + ref_id: APP.1.2.A2.4 + description: "Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Transport\ + \ Security (HSTS) gem\xE4\xDF RFC 6797 unterst\xFCtzen und einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A3 + name: "Verwendung von vertrauensw\xFCrdigen Zertifikaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.1 + description: "Falls der Webbrowser eine eigene Liste von vertrauensw\xFCrdigen\ + \ Wurzelzertifikaten bereitstellt, MUSS sichergestellt werden, dass nur der\ + \ IT-Betrieb diese \xE4ndern kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.2 + description: "Falls dies nicht durch technische Ma\xDFnahmen m\xF6glich ist,\ + \ MUSS den Benutzenden verboten werden, diese Liste zu \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.3 + description: "Au\xDFerdem MUSS sichergestellt werden, dass der Webbrowser Zertifikate\ + \ lokal widerrufen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.4 + description: "Der Webbrowser MUSS die G\xFCltigkeit der Server-Zertifikate mithilfe\ + \ des \xF6ffentlichen Schl\xFCssels und unter Ber\xFCcksichtigung des G\xFC\ + ltigkeitszeitraums vollst\xE4ndig pr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.5 + description: "Auch der Sperrstatus der Server-Zertifikate MUSS vom Webbrowser\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.6 + description: "Die Zertifikatskette einschlie\xDFlich des Wurzelzertifikats MUSS\ + \ verifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.7 + description: "Der Webbrowser MUSS den Benutzenden eindeutig und gut sichtbar\ + \ darstellen, ob die Kommunikation im Klartext oder verschl\xFCsselt erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.8 + description: "Der Webbrowser SOLLTE den Benutzenden auf Anforderung das verwendete\ + \ Serverzertifikat anzeigen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.9 + description: "Der Webbrowser MUSS den Benutzenden signalisieren, wenn Zertifikate\ + \ fehlen, ung\xFCltig sind oder widerrufen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a3 + ref_id: APP.1.2.A3.10 + description: "Der Webbrowser MUSS in diesem Fall die Verbindung abbrechen, bis\ + \ die Benutzenden diese ausdr\xFCcklich best\xE4tigt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A6 + name: Kennwortmanagement im Webbrowser + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + ref_id: APP.1.2.A6.1 + description: "Wird ein Kennwortmanager im Webbrowser verwendet, MUSS er eine\ + \ direkte und eindeutige Beziehung zwischen Webseite und hierf\xFCr gespeichertem\ + \ Kennwort herstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + ref_id: APP.1.2.A6.2 + description: "Der Kennwortspeicher MUSS die Passw\xF6rter verschl\xFCsselt speichern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + ref_id: APP.1.2.A6.3 + description: "Es MUSS sichergestellt werden, dass auf die im Kennwortmanager\ + \ gespeicherten Passw\xF6rter nur nach Eingabe eines Master-Kennworts zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + ref_id: APP.1.2.A6.4 + description: "Au\xDFerdem MUSS sichergestellt sein, dass die Authentisierung\ + \ f\xFCr den kennwortgesch\xFCtzten Zugriff nur f\xFCr die aktuelle Sitzung\ + \ g\xFCltig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a6 + ref_id: APP.1.2.A6.5 + description: "Der IT-Betrieb MUSS sicherstellen, dass der verwendete Browser\ + \ den Benutzenden die M\xF6glichkeit bietet, gespeicherte Passw\xF6rter zu\ + \ l\xF6schen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A7 + name: Datensparsamkeit in Webbrowsern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.1 + description: Cookies von fremden Institutionen SOLLTEN im Webbrowser abgelehnt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.2 + description: "Gespeicherte Cookies SOLLTEN durch die Benutzenden gel\xF6scht\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.3 + description: "Die Funktion zur Autovervollst\xE4ndigung von Daten SOLLTE deaktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.4 + description: "Wird die Funktion dennoch genutzt, SOLLTEN die Benutzenden diese\ + \ Daten l\xF6schen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.5 + description: "Die Benutzenden SOLLTE au\xDFerdem die Historiendaten des Webbrowsers\ + \ l\xF6schen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.6 + description: Sofern vorhanden, SOLLTE eine Synchronisation des Webbrowsers mit + Cloud-Diensten deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.7 + description: "Telemetriefunktionen sowie das automatische Senden von Absturzberichten,\ + \ URL-Eingaben und Sucheingaben aus der Institution heraus oder an Externe\ + \ SOLLTEN soweit wie m\xF6glich deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.8 + description: "Peripherieger\xE4te wie Mikrofon oder Webcam sowie Standortfreigaben\ + \ SOLLTEN nur f\xFCr Webseiten aktiviert werden, bei denen sie unbedingt ben\xF6\ + tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a7 + ref_id: APP.1.2.A7.9 + description: "Der Browser SOLLTE eine M\xF6glichkeit bieten, WebRTC, HSTS und\ + \ JavaScript zu konfigurieren bzw. abzuschalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A9 + name: Einsatz einer isolierten Webbrowser-Umgebung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a9 + ref_id: APP.1.2.A9.1 + description: Die Institution SOLLTE speziell abgesicherte, isolierte Browserumgebungen + einsetzen, wie z. B. ReCoBS oder virtualisierte Instanzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A10 + name: Verwendung des privaten Modus + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a10 + ref_id: APP.1.2.A10.1 + description: "Der Webbrowser SOLLTE bei erh\xF6hten Anforderungen bez\xFCglich\ + \ der Vertraulichkeit im sogenannten privaten Modus ausgef\xFChrt werden,\ + \ sodass keine Informationen oder Inhalte dauerhaft auf dem IT-System der\ + \ Benutzenden gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a10 + ref_id: APP.1.2.A10.2 + description: "Der Browser SOLLTE so konfiguriert werden, dass lokale Inhalte\ + \ beim Beenden gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A11 + name: "\xDCberpr\xFCfung auf sch\xE4dliche Inhalte" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11 + ref_id: APP.1.2.A11.1 + description: "Aufgerufene Internetadressen SOLLTEN durch den Webbrowser auf\ + \ potenziell sch\xE4dliche Inhalte gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11 + ref_id: APP.1.2.A11.2 + description: "Der Webbrowser SOLLTE die Benutzenden warnen, wenn Informationen\ + \ \xFCber sch\xE4dliche Inhalte vorliegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11 + ref_id: APP.1.2.A11.3 + description: "Eine als sch\xE4dlich klassifizierte Verbindung SOLLTE NICHT aufgerufen\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a11 + ref_id: APP.1.2.A11.4 + description: "Das verwendete Verfahren zur \xDCberpr\xFCfung DARF NICHT gegen\ + \ Datenschutz- oder Geheimschutz-Vorgaben versto\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A12 + name: Zwei-Browser-Strategie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a12 + ref_id: APP.1.2.A12.1 + description: "F\xFCr den Fall von ungel\xF6sten Sicherheitsproblemen mit dem\ + \ verwendeten Webbrowser SOLLTE ein alternativer Browser mit einer anderen\ + \ Plattform installiert sein, der den Benutzenden als Ausweichm\xF6glichkeit\ + \ dient." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2 + ref_id: APP.1.2.A13 + name: Nutzung von DNS-over-HTTPS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13 + ref_id: APP.1.2.A13.1 + description: Die Institution MUSS entscheiden, ob die verwendeten Browser DNS-over-HTTPS + (DoH) verwenden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13 + ref_id: APP.1.2.A13.2 + description: "Die Browser M\xDCSSEN entsprechend dieser Entscheidung konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.2.a13 + ref_id: APP.1.2.A13.3 + description: Falls ein interner DNS-Resolver verwendet wird, MUSS dieser auch + vom Browser verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + assessable: false + depth: 1 + ref_id: APP.1.4 + name: Mobile Anwendungen (Apps) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A1 + name: "Anforderungsanalyse f\xFCr die Nutzung von Apps" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a1 + ref_id: APP.1.4.A1.1 + description: "In der Anforderungsanalyse M\xDCSSEN insbesondere Risiken betrachtet\ + \ werden, die sich aus der mobilen Nutzung ergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a1 + ref_id: APP.1.4.A1.2 + description: "Die Institution MUSS pr\xFCfen, ob ihre Kontroll- und Einflussm\xF6\ + glichkeiten auf die Betriebssystemumgebung mobiler Endger\xE4te ausreichend\ + \ sind, um sie sicher nutzen zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A3 + name: "Verteilung schutzbed\xFCrftiger Apps" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a3 + ref_id: APP.1.4.A3.1 + description: "Interne Apps der Institution und Apps, die schutzbed\xFCrftige\ + \ Informationen verarbeiten, SOLLTEN \xFCber einen institutionseigenen App\ + \ Store oder via MDM verteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A5 + name: Minimierung und Kontrolle von App-Berechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5 + ref_id: APP.1.4.A5.1 + description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so fixiert\ + \ werden, dass sie nicht durch Personen oder Apps ge\xE4ndert werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5 + ref_id: APP.1.4.A5.2 + description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ + \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5 + ref_id: APP.1.4.A5.3 + description: "Bevor eine App in einer Institution eingef\xFChrt wird, MUSS sichergestellt\ + \ werden, dass sie nur die minimal ben\xF6tigten App-Berechtigungen f\xFC\ + r ihre Funktion erh\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a5 + ref_id: APP.1.4.A5.4 + description: "Nicht unbedingt notwendige Berechtigungen M\xDCSSEN hinterfragt\ + \ und gegebenenfalls unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A7 + name: Sichere Speicherung lokaler App-Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7 + ref_id: APP.1.4.A7.1 + description: "Wenn Apps auf interne Dokumente der Institution zugreifen k\xF6\ + nnen, MUSS sichergestellt sein, dass die lokale Datenhaltung der App angemessen\ + \ abgesichert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7 + ref_id: APP.1.4.A7.2 + description: "Insbesondere M\xDCSSEN Zugriffsschl\xFCssel verschl\xFCsselt abgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a7 + ref_id: APP.1.4.A7.3 + description: "Au\xDFerdem D\xDCRFEN vertrauliche Daten NICHT vom Betriebssystem\ + \ an anderen Ablageorten zwischengespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A8 + name: Verhinderung von Datenabfluss + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8 + ref_id: APP.1.4.A8.1 + description: "Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden\ + \ oder aus den gesendeten Daten Profile \xFCber die Benutzenden erstellt werden,\ + \ MUSS die App-Kommunikation geeignet eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8 + ref_id: APP.1.4.A8.2 + description: Dazu SOLLTE die Kommunikation im Rahmen des Test- und Freigabeverfahrens + analysiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a8 + ref_id: APP.1.4.A8.3 + description: "Weiterhin SOLLTE \xFCberpr\xFCft werden, ob eine App ungewollte\ + \ Protokollierungs- oder Hilfsdateien schreibt, die m\xF6glicherweise vertrauliche\ + \ Informationen enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A12 + name: Sichere Deinstallation von Apps + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a12 + ref_id: APP.1.4.A12.1 + description: "Werden Apps deinstalliert, SOLLTEN auch Daten gel\xF6scht werden,\ + \ die auf externen Systemen, beispielsweise bei den App-Anbietenden, gespeichert\ + \ wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A14 + name: "Unterst\xFCtzung zus\xE4tzlicher Authentisierungsmerkmale bei Apps" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14 + ref_id: APP.1.4.A14.1 + description: "Falls m\xF6glich, SOLLTE f\xFCr die Authentisierung in Apps ein\ + \ zweiter Faktor benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14 + ref_id: APP.1.4.A14.2 + description: "Hierbei SOLLTE darauf geachtet werden, dass eventuell ben\xF6\ + tigte Sensoren oder Schnittstellen in allen verwendeten Ger\xE4ten vorhanden\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a14 + ref_id: APP.1.4.A14.3 + description: "Zus\xE4tzlich SOLLTE bei biometrischen Verfahren ber\xFCcksichtigt\ + \ werden, wie resistent die Authentisierung gegen m\xF6gliche F\xE4lschungsversuche\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A15 + name: "Durchf\xFChrung von Penetrationstests f\xFCr Apps" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15 + ref_id: APP.1.4.A15.1 + description: "Bevor eine App f\xFCr den Einsatz freigegeben wird, SOLLTE ein\ + \ Penetrationstest durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15 + ref_id: APP.1.4.A15.2 + description: "Dabei SOLLTEN alle Kommunikationsschnittstellen zu Backend-Systemen\ + \ sowie die lokale Speicherung von Daten auf m\xF6gliche Sicherheitsl\xFC\ + cken untersucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a15 + ref_id: APP.1.4.A15.3 + description: "Die Penetrationstests SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei gr\xF6\xDFeren \xC4nderungen an der App wiederholt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4 + ref_id: APP.1.4.A16 + name: Mobile Application Management + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.1.4.a16 + ref_id: APP.1.4.A16.1 + description: "Falls m\xF6glich, SOLLTE f\xFCr das zentrale Konfigurieren von\ + \ dienstlichen Apps ein Mobile Application Management verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + assessable: false + depth: 1 + ref_id: APP.2.1 + name: Allgemeiner Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Verzeichnisdienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a1 + ref_id: APP.2.1.A1.1 + description: "Es MUSS eine Sicherheitsrichtlinie f\xFCr den Verzeichnisdienst\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a1 + ref_id: APP.2.1.A1.2 + description: "Diese SOLLTE mit dem \xFCbergreifenden Sicherheitskonzept der\ + \ gesamten Institution abgestimmt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A2 + name: Planung des Einsatzes von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.1 + description: "Der Einsatz von Verzeichnisdiensten MUSS sorgf\xE4ltig geplant\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.2 + description: Die konkrete Nutzung des Verzeichnisdienstes MUSS festgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.3 + description: Es MUSS sichergestellt sein, dass der Verzeichnisdienst und alle + ihn verwendenden Anwendungen kompatibel sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.4 + description: "Zudem MUSS ein Konzept f\xFCr eine Struktur aus Objektklassen\ + \ und Attributtypen entwickelt werden, dass den Anspr\xFCchen der vorgesehenen\ + \ Nutzungsarten gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.5 + description: "Bei der Planung eines Verzeichnisdienstes, der personenbezogene\ + \ Daten beinhaltet, M\xDCSSEN Personalvertretung und Datenschutzbeauftragte\ + \ beteiligt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.6 + description: Es MUSS ein bedarfsgerechtes Berechtigungskonzept zum Verzeichnisdienst + entworfen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.7 + description: "Generell SOLLTE die geplante Verzeichnisdienststruktur vollst\xE4\ + ndig dokumentiert und die Dokumentation bei \xC4nderungen fortgeschrieben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a2 + ref_id: APP.2.1.A2.8 + description: "Ma\xDFnahmen SOLLTEN geplant und umgesetzt werden, die es unterbinden,\ + \ aus dem Verzeichnisdienst unbefugt Daten sammeln zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A3 + name: Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3 + ref_id: APP.2.1.A3.1 + description: "Die Administration des Verzeichnisdienstes selbst und die eigentliche\ + \ Verwaltung der Daten M\xDCSSEN getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3 + ref_id: APP.2.1.A3.2 + description: Alle administrativen Aufgabenbereiche und Berechtigungen SOLLTEN + ausreichend dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a3 + ref_id: APP.2.1.A3.3 + description: "Bei einer eventuellen Zusammenf\xFChrung mehrerer Verzeichnisdienstb\xE4\ + ume M\xDCSSEN die daraus resultierenden effektiven Rechte kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A5 + name: "Sichere Konfiguration und Konfigurations\xE4nderungen von Verzeichnisdiensten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5 + ref_id: APP.2.1.A5.1 + description: Der Verzeichnisdienst MUSS sicher konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5 + ref_id: APP.2.1.A5.2 + description: "F\xFCr die sichere Konfiguration einer Verzeichnisdienste-Infrastruktur\ + \ M\xDCSSEN neben dem Server auch die Clients (IT-Systeme und Anwendungen)\ + \ einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a5 + ref_id: APP.2.1.A5.3 + description: "Wird die Konfiguration des Verzeichnisdienstes oder der mit ihm\ + \ vernetzten IT-Systeme ge\xE4ndert, SOLLTEN die Benutzenden rechtzeitig \xFC\ + ber Wartungsarbeiten informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A6 + name: Sicherer Betrieb von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6 + ref_id: APP.2.1.A6.1 + description: Die Sicherheit des Verzeichnisdienstes MUSS im Betrieb permanent + aufrechterhalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6 + ref_id: APP.2.1.A6.2 + description: Alle den Betrieb eines Verzeichnisdienst-Systems betreffenden Richtlinien, + Regelungen und Prozesse SOLLTEN nachvollziehbar dokumentiert und aktuell gehalten + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6 + ref_id: APP.2.1.A6.3 + description: "Sofern der Verzeichnisdienst zur Verwaltung von Anmeldedaten verwendet\ + \ wird, M\xDCSSEN dedizierte Clients bei der Fernwartung eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a6 + ref_id: APP.2.1.A6.4 + description: "Der Zugriff auf alle Administrationswerkzeuge MUSS f\xFCr normale\ + \ Benutzende unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A8 + name: Planung einer Partitionierung im Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a8 + ref_id: APP.2.1.A8.1 + description: "Sofern eine Partitionierung geplant ist, SOLLTE sich diese an\ + \ den Schutzzielen des Verzeichnisdienstes orientieren und diese geeignet\ + \ unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a8 + ref_id: APP.2.1.A8.2 + description: "Eine Partitionierung SOLLTE so geplant werden, dass sie die Schadensauswirkungen\ + \ bei Sicherheitsvorf\xE4llen begrenzt, die unabh\xE4ngige Administration\ + \ verschiedener Partitionen erm\xF6glicht und organisatorischen bzw. Sicherheitsgrenzen\ + \ folgt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A9 + name: "Geeignete Auswahl von Komponenten f\xFCr Verzeichnisdienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9 + ref_id: APP.2.1.A9.1 + description: "F\xFCr den Einsatz eines Verzeichnisdienstes SOLLTEN geeignete\ + \ Komponenten identifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9 + ref_id: APP.2.1.A9.2 + description: "Es SOLLTE unter Ber\xFCcksichtigung von APP.6 Allgemeine Software\ + \ ein Anforderungskatalog erstellt werden, nach dem die Komponenten f\xFC\ + r den Verzeichnisdienst ausgew\xE4hlt und beschafft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9 + ref_id: APP.2.1.A9.3 + description: Im Rahmen der Planung und Konzeption des Verzeichnisdienstes SOLLTEN + passend zum Einsatzzweck Anforderungen an dessen Sicherheit formuliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a9 + ref_id: APP.2.1.A9.4 + description: "Insbesondere SOLLTE bereits bei der Produktauswahl ber\xFCcksichtigt\ + \ werden, wie weitere Sicherheitsanforderungen unter Einsatz der jeweiligen\ + \ Komponente umgesetzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A11 + name: Einrichtung des Zugriffs auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a11 + ref_id: APP.2.1.A11.1 + description: Der Zugriff auf den Verzeichnisdienst SOLLTE entsprechend der Sicherheitsrichtlinie + konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a11 + ref_id: APP.2.1.A11.2 + description: "Wird der Verzeichnisdienst als Server im Internet eingesetzt,\ + \ SOLLTE er entsprechend durch ein Sicherheitsgateway gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A12 + name: "\xDCberwachung von Verzeichnisdiensten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a12 + ref_id: APP.2.1.A12.1 + description: Verzeichnisdienste SOLLTEN gemeinsam mit dem Server beobachtet + und protokolliert werden, auf dem sie betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a12 + ref_id: APP.2.1.A12.2 + description: "Insbesondere \xC4nderungen innerhalb des Verzeichnisdienstes sowie\ + \ Konfigurations\xE4nderungen des Verzeichnisdienstes SOLLTEN vorrangig protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A13 + name: Absicherung der Kommunikation mit Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13 + ref_id: APP.2.1.A13.1 + description: "Werden vertrauliche Informationen \xFCbertragen, SOLLTE die gesamte\ + \ Kommunikation mit dem Verzeichnisdienst \xFCber ein sicheres Protokoll entsprechend\ + \ der Technischen Richtlinie TR-02102 des BSI (z. B. TLS) verschl\xFCsselt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13 + ref_id: APP.2.1.A13.2 + description: Der Datenaustausch zwischen Client und Verzeichnisdienst-Server + SOLLTE abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a13 + ref_id: APP.2.1.A13.3 + description: Es SOLLTE definiert werden, auf welche Daten zugegriffen werden + darf. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A14 + name: "Geregelte Au\xDFerbetriebnahme eines Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14 + ref_id: APP.2.1.A14.1 + description: "Bei einer Au\xDFerbetriebnahme des Verzeichnisdienstes SOLLTE\ + \ sichergestellt sein, dass weiterhin ben\xF6tigte Rechte bzw. Informationen\ + \ in ausreichendem Umfang zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14 + ref_id: APP.2.1.A14.2 + description: "Alle anderen Rechte und Informationen SOLLTEN gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14 + ref_id: APP.2.1.A14.3 + description: "Zudem SOLLTEN die Benutzenden dar\xFCber informiert werden, wenn\ + \ ein Verzeichnisdienst au\xDFer Betrieb genommen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a14 + ref_id: APP.2.1.A14.4 + description: "Bei der Au\xDFerbetriebnahme einzelner Partitionen eines Verzeichnisdienstes\ + \ SOLLTE darauf geachtet werden, dass dadurch andere Partitionen nicht beeintr\xE4\ + chtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A15 + name: Migration von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + ref_id: APP.2.1.A15.1 + description: Bei einer geplanten Migration von Verzeichnisdiensten SOLLTE vorab + ein Migrationskonzept erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + ref_id: APP.2.1.A15.2 + description: "In dem Migrationskonzept SOLLTE ber\xFCcksichtigt werden, ob das\ + \ Berechtigungsmanagement von altem und neuem Verzeichnisdienst analog funktioniert\ + \ oder ob neue Berechtigungsstrukturen erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + ref_id: APP.2.1.A15.3 + description: "Die Schema-\xC4nderungen, die am Verzeichnisdienst vorgenommen\ + \ wurden, SOLLTEN vor der Migration analysiert und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + ref_id: APP.2.1.A15.4 + description: "Weitreichende Berechtigungen, die dazu verwendet wurden, die Migration\ + \ des Verzeichnisdienstes durchzuf\xFChren, SOLLTEN wieder zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a15 + ref_id: APP.2.1.A15.5 + description: "Bei der Migration SOLLTE ber\xFCcksichtigt werden, dass IT-Systeme,\ + \ die auf den Verzeichnisdienst zugreifen, gegebenenfalls lokale Caches vorhalten\ + \ oder aus anderen Gr\xFCnden dort eine Aktualisierung der migrierten Verzeichnisdienstinhalte\ + \ initiiert werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A16 + name: "Erstellung eines Notfallplans f\xFCr den Ausfall eines Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16 + ref_id: APP.2.1.A16.1 + description: "Im Rahmen der Notfallvorsorge SOLLTE es eine bedarfsgerechte Notfallplanung\ + \ f\xFCr Verzeichnisdienste geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16 + ref_id: APP.2.1.A16.2 + description: "F\xFCr den Ausfall wichtiger Verzeichnisdienst-Systeme SOLLTEN\ + \ Notfallpl\xE4ne vorliegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a16 + ref_id: APP.2.1.A16.3 + description: "Alle Notfall-Prozeduren f\xFCr die gesamte Systemkonfiguration\ + \ der Verzeichnisdienst-Komponenten SOLLTEN dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A17 + name: "Absicherung von schutzbed\xFCrftigen Anmeldeinformationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a17 + ref_id: APP.2.1.A17.1 + description: "F\xFCr Attribute, die schutzbed\xFCrftige Anmeldeinformationen\ + \ wie beispielsweise Passw\xF6rter enthalten, MUSS der Zugriff stark eingeschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A18 + name: Planung einer Replikation im Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18 + ref_id: APP.2.1.A18.1 + description: Bei jeder Replikation MUSS festgelegt werden, welches Ziel diese + Replikation verfolgt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18 + ref_id: APP.2.1.A18.2 + description: "Daf\xFCr SOLLTEN eine Replikationstopologie und -strategie gew\xE4\ + hlt werden, die zum Ziel bzw. Einsatzszenario passen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18 + ref_id: APP.2.1.A18.3 + description: "Bei Replikationen, die nicht der Hochverf\xFCgbarkeit des Dienstes\ + \ dienen, MUSS der replizierte Inhalt des Verzeichnisdienstes auf die erforderlichen\ + \ Objekte beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a18 + ref_id: APP.2.1.A18.4 + description: "Um die Replikationen zeitgerecht ausf\xFChren zu k\xF6nnen, SOLLTE\ + \ eine ausreichende Bandbreite sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A19 + name: Umgang mit anonymen Zugriffen auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + ref_id: APP.2.1.A19.1 + description: "Sollen anonymen Benutzenden auf einzelne Teilbereiche des Verzeichnisbaums\ + \ Zugriffe einger\xE4umt werden, so SOLLTE hierf\xFCr ein Proxy-Dienst vorgelagert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + ref_id: APP.2.1.A19.2 + description: "Dieser Proxy-Dienst SOLLTE \xFCber ein gesondertes Konto, einen\ + \ sogenannten Proxy-User, auf den eigentlichen Verzeichnisdienst zugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + ref_id: APP.2.1.A19.3 + description: "Die Zugriffsrechte f\xFCr diesen Proxy-User SOLLTEN hinreichend\ + \ restriktiv vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + ref_id: APP.2.1.A19.4 + description: Sie SOLLTEN zudem wieder komplett entzogen werden, wenn der Account + nicht mehr gebraucht wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a19 + ref_id: APP.2.1.A19.5 + description: "Damit nicht versehentlich schutzbed\xFCrftige Informationen herausgegeben\ + \ werden, SOLLTE die Suchfunktion des Verzeichnisdienstes dem Einsatzzweck\ + \ angemessen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A20 + name: Absicherung der Replikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a20 + ref_id: APP.2.1.A20.1 + description: "Replikationen von vertraulichen Inhalten SOLLTEN zus\xE4tzlich\ + \ zu einer Verschl\xFCsselung auf Applikations- oder Transportebene durch\ + \ z. B. IPsec gesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a20 + ref_id: APP.2.1.A20.2 + description: "F\xFCr die Authentisierung im Rahmen der Replikation SOLLTEN m\xF6\ + glichst starke Authentisierungsverfahren verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1 + ref_id: APP.2.1.A21 + name: "Hochverf\xFCgbarkeit des Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21 + ref_id: APP.2.1.A21.1 + description: "Es SOLLTE eine geeignete Strategie zur Hochverf\xFCgbarkeit gew\xE4\ + hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21 + ref_id: APP.2.1.A21.2 + description: "Hierbei SOLLTE entschieden werden, ob eine Master-Master-Replikation\ + \ oder Master-Replica-Replikation (fr\xFCher als Master-Slave-Replikation\ + \ bezeichnet) geeigneter ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.1.a21 + ref_id: APP.2.1.A21.3 + description: "Es SOLLTEN auch Randbedingungen wie verteilte Standorte oder Verhalten\ + \ bei Inkonsistenzen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + assessable: false + depth: 1 + ref_id: APP.2.2 + name: 'Active Directory Domain Services ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A1 + name: Planung von Active Directory Domain Services + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + ref_id: APP.2.2.A1.1 + description: "Es MUSS eine Funktionsebene f\xFCr die Dom\xE4ne(n) und die Gesamtstruktur\ + \ von mindestens Windows Server 2016 gew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + ref_id: APP.2.2.A1.2 + description: "Ein bedarfsgerechtes Berechtigungskonzept f\xFCr die Dom\xE4ne(n)\ + \ und die Gesamtstruktur MUSS entworfen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + ref_id: APP.2.2.A1.3 + description: "Dabei MUSS ber\xFCcksichtigt werden, dass zwischen den einzelnen\ + \ Dom\xE4nen einer Gesamtstruktur produktbedingt keine Sicherheitsgrenzen\ + \ bestehen und daher keine sichere Begrenzung der administrativen Bereiche\ + \ innerhalb einer Gesamtstruktur m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + ref_id: APP.2.2.A1.4 + description: "Administrative Delegationen M\xDCSSEN mit restriktiven und bedarfsgerechten\ + \ Berechtigungen ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a1 + ref_id: APP.2.2.A1.5 + description: "Die geplante Struktur einschlie\xDFlich etwaiger Schema-\xC4nderungen\ + \ MUSS nachvollziehbar dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A3 + name: Planung der Gruppenrichtlinien unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + ref_id: APP.2.2.A3.1 + description: Es MUSS ein Konzept zur Einrichtung von Gruppenrichtlinien vorliegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + ref_id: APP.2.2.A3.2 + description: "Mehrfach\xFCberdeckungen M\xDCSSEN beim Gruppenrichtlinienkonzept\ + \ m\xF6glichst vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + ref_id: APP.2.2.A3.3 + description: "In der Dokumentation des Gruppenrichtlinienkonzepts M\xDCSSEN\ + \ Ausnahmeregelungen erkannt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + ref_id: APP.2.2.A3.4 + description: "Alle Gruppenrichtlinienobjekte M\xDCSSEN durch restriktive Zugriffsrechte\ + \ gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a3 + ref_id: APP.2.2.A3.5 + description: "F\xFCr die Parameter in allen Gruppenrichtlinienobjekten M\xDC\ + SSEN sichere Vorgaben festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A5 + name: "Absicherung des Dom\xE4nencontrollers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5 + ref_id: APP.2.2.A5.1 + description: "Aufgrund der zentralen Rolle und der Schadensauswirkung bei Kompromittierung\ + \ des AD DS f\xFCr die Infrastruktur SOLLTE eine Risikobetrachtung durchgef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5 + ref_id: APP.2.2.A5.2 + description: "Der Notfallzugriff auf den Dom\xE4nencontroller mit dem lokalen\ + \ Restore-Konto DSRM (Directory Services Restore Mode) MUSS im Rahmen des\ + \ Notfallmanagements geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5 + ref_id: APP.2.2.A5.3 + description: "Auf dem Dom\xE4nencontroller MUSS eine ausreichende Gr\xF6\xDF\ + e f\xFCr das Sicherheitsprotokoll auf Grundlage des in DER.1 Detektion von\ + \ sicherheitsrelevanten Ereignissen festgelegten Zeitraums eingestellt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a5 + ref_id: APP.2.2.A5.4 + description: "Aufgrund der zentralen Bedeutung des Dom\xE4nencontrollers SOLLTEN\ + \ auf diesem Server keine weiteren Dienste betrieben werden, sofern diese\ + \ nicht zwingend auf dem gleichen Server zum Betrieb des AD DS erforderlich\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A6 + name: Sichere Konfiguration von Vertrauensbeziehungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.1 + description: "Alle Vertrauensbeziehungen zwischen Dom\xE4nen und zwischen Gesamtstrukturen\ + \ M\xDCSSEN regelm\xE4\xDFig auf ihre Notwendigkeit und Absicherungsma\xDF\ + nahmen evaluiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.2 + description: "Dabei MUSS gepr\xFCft werden, ob eine bidirektionale Vertrauensbeziehung\ + \ notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.3 + description: "Wenn eine Dom\xE4ne keine bidirektionale Vertrauensbeziehung zu\ + \ anderen Dom\xE4nen in der Gesamtstruktur ben\xF6tigt, SOLLTE diese Dom\xE4\ + ne in eine eigene Gesamtstruktur ausgelagert werden, da innerhalb einer Gesamtstruktur\ + \ produktbedingt keine Anpassung der Vertrauensbeziehungen m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.4 + description: Die SID-(Security Identifier)-Filterung bei Vertrauensstellungen + zwischen Gesamtstrukturen DARF NICHT deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.5 + description: "Die voreingestellten SIDs D\xDCRFEN NICHT entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a6 + ref_id: APP.2.2.A6.6 + description: "Hat der in der Gesamtstruktur abgebildete Informationsverbund,\ + \ dem vertraut wird, kein ausreichendes Sicherheitsniveau, MUSS f\xFCr die\ + \ Vertrauensbeziehung zu dieser Gesamtstruktur \u201ESelective Authentication\u201C\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A7 + name: "Umsetzung sicherer Verwaltungsmethoden f\xFCr Active Directory" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7 + ref_id: APP.2.2.A7.1 + description: "Es MUSS sichergestellt sein, dass die Konten von Dienste-Administrierenden\ + \ ausschlie\xDFlich von Mitgliedern der Gruppe der Dienste-Administrierenden\ + \ verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7 + ref_id: APP.2.2.A7.2 + description: "Bevor Konten vordefinierten AD-DS-Gruppen hinzugef\xFCgt werden,\ + \ SOLLTE gepr\xFCft werden, ob alle der Gruppe zugeh\xF6rigen Rechte f\xFC\ + r die mit den Konten verbundenen T\xE4tigkeiten erforderlich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a7 + ref_id: APP.2.2.A7.3 + description: "Den Gruppen \u201ESchema-Admins\u201C / \u201ESchema-Administratoren\u201C\ + \ sowie der Gruppe \u201EEnterprise Admins\u201C / \u201EOrganisations-Administratoren\u201C\ + \ und \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C SOLLTEN\ + \ neben dem AD-DS-Built-In-Konto f\xFCr Administrierende weitere administrative\ + \ Konten nur tempor\xE4r f\xFCr den Zeitraum zugewiesen werden, in dem sie\ + \ diese Berechtigungen ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A8 + name: "Absicherung des \u201ESicheren Kanals\u201C" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a8 + ref_id: APP.2.2.A8.1 + description: "Der \u201ESichere Kanal\u201C SOLLTE so konfiguriert sein, dass\ + \ alle \xFCbertragenen Daten immer verschl\xFCsselt und signiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A9 + name: Schutz der Authentisierung beim Einsatz von AD DS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.1 + description: In der Gesamtstruktur SOLLTE konsequent das Authentisierungsprotokoll + Kerberos eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.2 + description: "Dabei SOLLTE f\xFCr die Absicherung AES128_HMAC_SHA1 oder AES256_HMAC_SHA1\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.3 + description: "Wenn aus Kompatibilit\xE4tsgr\xFCnden \xFCbergangsweise NTLMv2\ + \ eingesetzt wird, SOLLTE die Migration auf Kerberos geplant und terminiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.4 + description: "Die LM-Authentisierung und NTLMv1 M\xDCSSEN deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.5 + description: Der SMB-Datenverkehr MUSS signiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.6 + description: SMBv1 MUSS deaktiviert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.7 + description: "Anonyme Zugriffe auf Dom\xE4nencontroller SOLLTEN unterbunden\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a9 + ref_id: APP.2.2.A9.8 + description: LDAP-Sitzungen SOLLTEN nur signiert und mit konfiguriertem Channel + Binding Token (CBT) erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A12 + name: "Datensicherung f\xFCr Dom\xE4nencontroller" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a12 + ref_id: APP.2.2.A12.1 + description: "Aufgrund der besonderen Gef\xE4hrdung der unsicher gespeicherten\ + \ Passw\xF6rter SOLLTE der Zugriff auf die Backups des Dom\xE4nencontrollers\ + \ vergleichbar dem Zugriff auf den Dom\xE4nencontroller selbst abgesichert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A15 + name: Auslagerung der Administration in eine eigene Gesamtstruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a15 + ref_id: APP.2.2.A15.1 + description: "Besonders kritische IT-Systeme und Konten zur Administration der\ + \ Dom\xE4nen oder der Gesamtstruktur SOLLTEN in eine eigene Gesamtstruktur\ + \ (h\xE4ufig als \u201ERed Forest\u201C bezeichnet) ausgegliedert werden,\ + \ zu der von der zu verwaltenden Gesamtstruktur eine einseitige Vertrauensstellung\ + \ besteht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a15 + ref_id: APP.2.2.A15.2 + description: "Dies SOLLTE im Rahmen des Notfallmanagements bei der Erstellung\ + \ des Notfallhandbuchs besonders ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A16 + name: "H\xE4rtung der AD-DS-Konten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.1 + description: "Built-in-AD-DS-Konten M\xDCSSEN mit komplexen Passw\xF6rtern versehen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.2 + description: "Sie D\xDCRFEN NUR als Notfallkonten dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.3 + description: "Das Built-in \u201EGuest\u201C- / \u201EGast\u201C-Konto MUSS\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.4 + description: "Die Berechtigungen f\xFCr die Gruppe \u201EEveryone\u201C / \u201E\ + Jeder\u201C MUSS beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.5 + description: "Privilegierte Konten M\xDCSSEN Mitglied der Gruppe \u201EProtected\ + \ Users\u201C / \u201EGesch\xFCtze Benutzer\u201C sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.6 + description: "F\xFCr Dienstkonten M\xDCSSEN (Group) Managed Service Accounts\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.7 + description: "Vor dem L\xF6schen nicht mehr verwendeter Konten MUSS gepr\xFC\ + ft werden, nach welcher Aufbewahrungsfrist diese gel\xF6scht werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.8 + description: "Dabei M\xDCSSEN die Auswirkungen auf die Detektion und gesetzliche\ + \ Aufbewahrungs- und L\xF6schfristen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a16 + ref_id: APP.2.2.A16.9 + description: "Der Zugriff auf das AdminSDHolder-Objekt SOLLTE zum Schutz der\ + \ Berechtigungen besonders gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A17 + name: "Anmelderestriktionen f\xFCr hochprivilegierte Konten der Gesamtstruktur\ + \ auf Clients und Servern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a17 + ref_id: APP.2.2.A17.1 + description: "Die Anmeldung von hochpriviligierten Dom\xE4nen- und Gesamtstruktur-Konten\ + \ und Gruppen MUSS technisch auf die minimal notwendigen IT-Systeme einschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a17 + ref_id: APP.2.2.A17.2 + description: "Insbesondere die Anmeldung von Mitgliedern der Gruppen \u201E\ + Schema Admins\u201C / \u201ESchema-Administratoren\u201C, \u201EEnterprise\ + \ Admins\u201C / \u201EEnterprise-Administratoren\u201C und \u201EDomain Admins\u201C\ + \ / \u201EDom\xE4nen-Administratoren\u201C SOLLTE technisch auf den Dom\xE4\ + nencontroller beschr\xE4nkt werden, eine Anmeldung an anderen IT-Systemen\ + \ ist f\xFCr diese Gruppen also zu unterbinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A18 + name: "Einschr\xE4nken des Hinzuf\xFCgens neuer Computer-Objekte zur Dom\xE4\ + ne" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a18 + ref_id: APP.2.2.A18.1 + description: "Die Berechtigung, in der Dom\xE4ne neue Computer-Objekte hinzuzuf\xFC\ + gen, MUSS auf die notwendigen administrativen Konten beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A19 + name: "Betrieb von virtualisierten Dom\xE4nencontrollern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19 + ref_id: APP.2.2.A19.1 + description: "Virtualisierte Dom\xE4nencontroller SOLLTEN nicht gemeinsam mit\ + \ weiteren virtuell betriebenen IT-Systemen auf dem gleichen physischen Host\ + \ betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19 + ref_id: APP.2.2.A19.2 + description: "Bei der Absicherung der administrativen Konten f\xFCr den Zugriff\ + \ \xFCber die Virtualisierungsschicht SOLLTE ber\xFCcksichtigt werden, dass\ + \ diese Vollzugriffe auf den Dom\xE4nencontroller haben und dieser dann vergleichbar\ + \ mit dem der Gruppe \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a19 + ref_id: APP.2.2.A19.3 + description: "Der Virtualisierungshost, die IT-Systeme, die am Virtualisierungsmanagement\ + \ beteiligt sind sowie die Administrationskonten f\xFCr die Virtualisierungsschicht\ + \ SOLLTEN NICHT zur Gesamtstruktur geh\xF6ren, zu der der virtualisierte Dom\xE4\ + nencontroller geh\xF6rt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A20 + name: Trennung von Organisationseinheiten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a20 + ref_id: APP.2.2.A20.1 + description: "Organisationseinheiten, die aus IT-Sicherheitsgr\xFCnden oder\ + \ sonstigen Gr\xFCnden Unabh\xE4ngigkeit voneinander gew\xE4hrleisten m\xFC\ + ssen, SOLLTEN sich nicht in der gleichen Gesamtstruktur befinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A21 + name: Konfiguration eines Schichtenmodells + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21 + ref_id: APP.2.2.A21.1 + description: Die Berechtigungsstruktur innerhalb der Gesamtstruktur SOLLTE in + Schichten, die sich am Schutzbedarf der Konten, IT-Systeme und Anwendungen + orientieren, entworfen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21 + ref_id: APP.2.2.A21.2 + description: "Bei dieser Strukturierung SOLLTEN alle Konten, IT-Systeme und\ + \ Anwendungen innerhalb einer Gesamtstruktur eindeutig einer Schicht zugeordnet\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21 + ref_id: APP.2.2.A21.3 + description: "Konten einer h\xF6heren Schicht SOLLTEN sich nicht auf Ressourcen\ + \ einer niedrigeren Schicht anmelden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a21 + ref_id: APP.2.2.A21.4 + description: "Konten einer niedrigeren Schicht SOLLTEN keine Kontrollm\xF6glichkeit\ + \ \xFCber Konten und Ressourcen h\xF6herer Schichten besitzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A22 + name: "Zeitlich befristete Berechtigungen f\xFCr die Administration" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a22 + ref_id: APP.2.2.A22.1 + description: "Konten, die f\xFCr die Administration verwendet werden, SOLLTEN\ + \ nur bei Bedarf auf das ben\xF6tigte Zeitfenster befristetet die f\xFCr die\ + \ administrative Aufgabe notwendigen Berechtigungen zugewiesen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2 + ref_id: APP.2.2.A23 + name: "Regelm\xE4\xDFige Analyse von Berechtigungen und resultierenden Angriffspfaden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + ref_id: APP.2.2.A23.1 + description: "Aufgrund der Komplexit\xE4t von Berechtigungen, die nicht immer\ + \ unmittelbar ersichtlich sind, SOLLTE eine regelm\xE4\xDFige Analyse der\ + \ Berechtigungsstrukturen im AD DS vorgenommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + ref_id: APP.2.2.A23.2 + description: "Insbesondere Berechtigungen, die durch die Integration von Anwendungen\ + \ in AD DS entstehen (beispielsweise Microsoft Exchange) SOLLTEN kritisch\ + \ auf ihre Notwendigkeit hin gepr\xFCft und auf die minimal notwendigen Berechtigungen\ + \ reduziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + ref_id: APP.2.2.A23.3 + description: "Aktualisierungen k\xF6nnen ebenfalls auch Berechtigungsstrukturen\ + \ im AD DS \xE4ndern, daher SOLLTE die Analyse auch nach entsprechenden Aktualisierungen\ + \ durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + ref_id: APP.2.2.A23.4 + description: "M\xF6gliche Angriffspfade \xFCber die Berechtigungen der AD-DS-Konten,\ + \ die beispielsweise bei Kompromittierung von Konten zur Kompromittierung\ + \ der Dom\xE4ne bzw. der vollst\xE4ndigen Gesamtstruktur f\xFChren, SOLLTEN\ + \ m\xF6glichst gering sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.2.a23 + ref_id: APP.2.2.A23.5 + description: "Die Aktivit\xE4ten der verbleibenden, als kritisch identifizierten\ + \ Konten SOLLTEN besonders \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + assessable: false + depth: 1 + ref_id: APP.2.3 + name: OpenLDAP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A1 + name: "Planung und Auswahl von Backends und Overlays f\xFCr OpenLDAP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.1 + description: "Der Einsatz von OpenLDAP in einer Institution MUSS sorgf\xE4ltig\ + \ geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.2 + description: "Soll OpenLDAP gemeinsam mit anderen Anwendungen verwendet werden,\ + \ so M\xDCSSEN die Planung, Konfiguration und Installation der Anwendungen\ + \ mit OpenLDAP aufeinander abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.3 + description: "F\xFCr die zur Datenhaltung verwendete Datenbank MUSS sichergestellt\ + \ werden, dass die verwendete Version kompatibel ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.4 + description: "Backends und Overlays f\xFCr OpenLDAP M\xDCSSEN restriktiv selektiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.5 + description: Dazu MUSS sichergestellt werden, dass die OpenLDAP-Overlays in + der korrekten Reihenfolge eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a1 + ref_id: APP.2.3.A1.6 + description: "Bei der Planung von OpenLDAP M\xDCSSEN die auszuw\xE4hlenden und\ + \ unterst\xFCtzten Client-Anwendungen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A3 + name: Sichere Konfiguration von OpenLDAP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.1 + description: "F\xFCr die sichere Konfiguration von OpenLDAP MUSS der slapd-Server\ + \ korrekt konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.2 + description: "Es M\xDCSSEN auch die verwendeten Client-Anwendungen sicher konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.3 + description: Bei der Konfiguration von OpenLDAP MUSS darauf geachtet werden, + dass im Betriebssystem die Berechtigungen korrekt gesetzt sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.4 + description: "Die Vorgabewerte aller relevanten Konfigurationsdirektiven von\ + \ OpenLDAP M\xDCSSEN gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.5 + description: "Die Backends und Overlays von OpenLDAP M\xDCSSEN in die Konfiguration\ + \ einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.6 + description: "F\xFCr die Suche innerhalb von OpenLDAP M\xDCSSEN angemessene\ + \ Zeit- und Gr\xF6\xDFenbeschr\xE4nkungen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a3 + ref_id: APP.2.3.A3.7 + description: "Die Konfiguration am slapd-Server MUSS nach jeder \xC4nderung\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A4 + name: Konfiguration der durch OpenLDAP verwendeten Datenbank + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a4 + ref_id: APP.2.3.A4.1 + description: "Die Zugriffsrechte f\xFCr neu angelegte Datenbankdateien M\xDC\ + SSEN auf die Kennung beschr\xE4nkt werden, in deren Kontext der slapd-Server\ + \ betrieben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a4 + ref_id: APP.2.3.A4.2 + description: "Die Standard-Einstellungen der von OpenLDAP genutzten Datenbank\ + \ M\xDCSSEN angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A5 + name: Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a5 + ref_id: APP.2.3.A5.1 + description: "Die in OpenLDAP gef\xFChrten globalen und datenbankspezifischen\ + \ Zugriffskontrolllisten (Access Control Lists) M\xDCSSEN beim Einsatz von\ + \ OpenLDAP korrekt ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a5 + ref_id: APP.2.3.A5.2 + description: "Datenbank-Direktiven M\xDCSSEN Vorrang vor globalen Direktiven\ + \ haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A6 + name: "Sichere Authentisierung gegen\xFCber OpenLDAP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6 + ref_id: APP.2.3.A6.1 + description: "Wenn der Verzeichnisdienst zwischen verschiedenen Benutzenden\ + \ unterscheiden soll, M\xDCSSEN sich diese geeignet authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6 + ref_id: APP.2.3.A6.2 + description: "Die Authentisierung zwischen dem slapd-Server und den Kommunikationsbeteiligten\ + \ MUSS verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6 + ref_id: APP.2.3.A6.3 + description: "Es SOLLTEN NUR die Hashwerte von Passw\xF6rtern auf den Clients\ + \ und Servern abgespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a6 + ref_id: APP.2.3.A6.4 + description: Es MUSS ein geeigneter Hashing-Algorithmus verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A8 + name: "Einschr\xE4nkungen von Attributen bei OpenLDAP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8 + ref_id: APP.2.3.A8.1 + description: "Anhand von Overlays SOLLTEN die Attribute in OpenLDAP eingeschr\xE4\ + nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8 + ref_id: APP.2.3.A8.2 + description: "OpenLDAP SOLLTE so angepasst werden, dass Werte im Verzeichnisdienst\ + \ nur einem bestimmten regul\xE4ren Ausdruck entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8 + ref_id: APP.2.3.A8.3 + description: Zudem SOLLTE mit Hilfe von Overlays sichergestellt werden, das + ausgesuchte Werte nur einmal im Verzeichnisbaum vorhanden sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a8 + ref_id: APP.2.3.A8.4 + description: "Solche Restriktionen SOLLTEN ausschlie\xDFlich auf Daten von Nutzenden\ + \ angewendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A9 + name: Partitionierung und Replikation bei OpenLDAP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9 + ref_id: APP.2.3.A9.1 + description: "Bei einer Partitionierung oder Replikation von OpenLDAP SOLLTE\ + \ die Aufteilung geeignet f\xFCr die Sicherheitsziele ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9 + ref_id: APP.2.3.A9.2 + description: "Dabei SOLLTEN Ver\xE4nderungen an den Daten durch Replikation\ + \ zwischen den Servern ausgetauscht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a9 + ref_id: APP.2.3.A9.3 + description: "Ein Replikationsmodus SOLLTE in Abh\xE4ngigkeit von Netzverbindungen\ + \ und Verf\xFCgbarkeitsanforderungen gew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A10 + name: Sichere Aktualisierung von OpenLDAP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + ref_id: APP.2.3.A10.1 + description: "Bei Updates SOLLTE darauf geachtet werden, ob die \xC4nderungen\ + \ eingesetzte Backends oder Overlays sowie Softwareabh\xE4ngigkeiten betreffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + ref_id: APP.2.3.A10.2 + description: "Beim Update auf neue Releases SOLLTE gepr\xFCft werden, ob die\ + \ verwendeten Overlays und Backends in der neuen Version weiterhin zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + ref_id: APP.2.3.A10.3 + description: "Ist dies nicht der Fall, SOLLTEN geeignete Migrationspfade ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + ref_id: APP.2.3.A10.4 + description: "Setzen Administrierende eigene Skripte ein, SOLLTEN sie daraufhin\ + \ \xFCberpr\xFCft werden, ob sie mit der aktualisierten Version von OpenLDAP\ + \ problemlos zusammenarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a10 + ref_id: APP.2.3.A10.5 + description: "Die Konfiguration und die Zugriffsrechte SOLLTEN nach einer Aktualisierung\ + \ sorgf\xE4ltig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3 + ref_id: APP.2.3.A11 + name: "Einschr\xE4nkung der OpenLDAP-Laufzeitumgebung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11 + ref_id: APP.2.3.A11.1 + description: "Die Laufzeitumgebung des slapd-Servers SOLLTE, m\xF6glichst mit\ + \ Mitteln des Betriebssystems, auf die minimal ben\xF6tigten Dateien, Verzeichnisse\ + \ und vom Betriebssystem bereitgestellten Funktionen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11 + ref_id: APP.2.3.A11.2 + description: "Werden hierf\xFCr Containerisierungstechniken eingesetzt, SOLLTEN\ + \ diese unter Ber\xFCcksichtigung von SYS.1.6 Containerisierung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.2.3.a11 + ref_id: APP.2.3.A11.3 + description: "Wird der slapd-Server als exklusiver Dienst auf einem dedizierten\ + \ Server betrieben, SOLLTE dieser ausreichend geh\xE4rtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + assessable: false + depth: 1 + ref_id: APP.3.1 + name: Webanwendungen und Webservices + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A1 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1 + ref_id: APP.3.1.A1.1 + description: "Der IT-Betrieb MUSS Webanwendungen und Webservices so konfigurieren,\ + \ dass sich Clients gegen\xFCber der Webanwendung oder dem Webservice authentisieren\ + \ m\xFCssen, wenn diese auf gesch\xFCtzte Ressourcen zugreifen wollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1 + ref_id: APP.3.1.A1.2 + description: "Daf\xFCr MUSS eine angemessene Authentisierungsmethode ausgew\xE4\ + hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1 + ref_id: APP.3.1.A1.3 + description: Der Auswahlprozess SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a1 + ref_id: APP.3.1.A1.4 + description: "Der IT-Betrieb MUSS geeignete Grenzwerte f\xFCr fehlgeschlagene\ + \ Anmeldeversuche festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A4 + name: Kontrolliertes Einbinden von Dateien und Inhalten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + ref_id: APP.3.1.A4.1 + description: "Falls eine Webanwendung oder ein Webservice eine Upload-Funktion\ + \ f\xFCr Dateien anbietet, MUSS diese Funktion durch den IT-Betrieb so weit\ + \ wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + ref_id: APP.3.1.A4.2 + description: "Insbesondere M\xDCSSEN die erlaubte Dateigr\xF6\xDFe, erlaubte\ + \ Dateitypen und erlaubte Speicherorte festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + ref_id: APP.3.1.A4.3 + description: "Es MUSS festgelegt werden, welche Clients die Funktion verwenden\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + ref_id: APP.3.1.A4.4 + description: "Auch M\xDCSSEN Zugriffs- und Ausf\xFChrungsrechte restriktiv gesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a4 + ref_id: APP.3.1.A4.5 + description: "Zudem MUSS sichergestellt werden, dass Clients Dateien nur im\ + \ vorgegebenen erlaubten Speicherort speichern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A7 + name: Schutz vor unerlaubter automatisierter Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7 + ref_id: APP.3.1.A7.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass Webanwendungen und Webservices\ + \ vor unberechtigter automatisierter Nutzung gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7 + ref_id: APP.3.1.A7.2 + description: "Dabei MUSS jedoch ber\xFCcksichtigt werden, wie sich die Schutzmechanismen\ + \ auf die Nutzungsm\xF6glichkeiten berechtigter Clients auswirken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a7 + ref_id: APP.3.1.A7.3 + description: "Wenn die Webanwendung RSS-Feeds oder andere Funktionen enth\xE4\ + lt, die explizit f\xFCr die automatisierte Nutzung vorgesehen sind, MUSS dies\ + \ ebenfalls bei der Konfiguration der Schutzmechanismen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A8 + name: Systemarchitektur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a8 + ref_id: APP.3.1.A8.1 + description: "Sicherheitsaspekte SOLLTEN bereits w\xE4hrend der Planung von\ + \ Webanwendungen und Webservices betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a8 + ref_id: APP.3.1.A8.2 + description: "Auch SOLLTE darauf geachtet werden, dass die Architektur der Webanwendung\ + \ oder des Webservice die Gesch\xE4ftslogik der Institution exakt erfasst\ + \ und korrekt umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A9 + name: Beschaffung von Webanwendungen und Webservices + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.1 + description: "Zus\xE4tzlich zu den allgemeinen Aspekten der Beschaffung von\ + \ Software SOLLTE die Institution mindestens folgendes bei der Beschaffung\ + \ von Webanwendungen und Webservices ber\xFCcksichtigen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.2 + description: "\u2022 sichere Eingabevalidierung und Ausgabekodierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.3 + description: "\u2022 sicheres Session-Management," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.4 + description: "\u2022 sichere kryptografische Verfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.5 + description: "\u2022 sichere Authentisierungsverfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.6 + description: "\u2022 sichere Verfahren zum serverseitigen Speichern von Zugangsdaten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.7 + description: "\u2022 geeignetes Berechtigungsmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.8 + description: "\u2022 ausreichende Protokollierungsm\xF6glichkeiten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.9 + description: "\u2022 regelm\xE4\xDFige Sicherheitsupdates durch den Entwickelnden\ + \ der Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.10 + description: "\u2022 Schutzmechanismen vor verbreiteten Angriffen auf Webanwendungen\ + \ und Webservices sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a9 + ref_id: APP.3.1.A9.11 + description: "\u2022 Zugriff auf den Quelltext der Webanwendung oder des Webservices." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A11 + name: Sichere Anbindung von Hintergrundsystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a11 + ref_id: APP.3.1.A11.1 + description: "Der Zugriff auf Hintergrundsysteme, auf denen Funktionen und Daten\ + \ ausgelagert werden, SOLLTE ausschlie\xDFlich \xFCber definierte Schnittstellen\ + \ und von definierten IT-Systemen aus m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a11 + ref_id: APP.3.1.A11.2 + description: "Bei der Kommunikation \xFCber Netz- und Standortgrenzen hinweg\ + \ SOLLTE der Datenverkehr authentisiert und verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A12 + name: Sichere Konfiguration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.1 + description: "Webanwendungen und Webservices SOLLTEN so konfiguriert sein, dass\ + \ auf ihre Ressourcen und Funktionen ausschlie\xDFlich \xFCber die vorgesehenen,\ + \ abgesicherten Kommunikationspfade zugegriffen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.2 + description: "Der Zugriff auf nicht ben\xF6tigte Ressourcen und Funktionen SOLLTE\ + \ deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.3 + description: "Falls dies nicht m\xF6glich ist, SOLLTE der Zugriff soweit wie\ + \ m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.4 + description: 'Folgendes SOLLTE bei der Konfiguration von Webanwendungen und + Webservices umgesetzt werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.5 + description: "\u2022 Deaktivieren nicht ben\xF6tigter HTTP-Methoden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.6 + description: "\u2022 Konfigurieren der Zeichenkodierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.7 + description: "\u2022 Vermeiden von sicherheitsrelevanten Informationen in Fehlermeldungen\ + \ und Antworten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.8 + description: "\u2022 Speichern von Konfigurationsdateien au\xDFerhalb des Web-Root-Verzeichnisses\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a12 + ref_id: APP.3.1.A12.9 + description: "\u2022 Festlegen von Grenzwerten f\xFCr Zugriffsversuche." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A14 + name: Schutz vertraulicher Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14 + ref_id: APP.3.1.A14.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass Zugangsdaten zur Webanwendung\ + \ oder zum Webservice serverseitig mithilfe von sicheren kryptografischen\ + \ Algorithmen vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14 + ref_id: APP.3.1.A14.2 + description: "Dazu M\xDCSSEN Salted Hash-Verfahren verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a14 + ref_id: APP.3.1.A14.3 + description: "Die Dateien mit den Quelltexten der Webanwendung oder des Webservices\ + \ M\xDCSSEN vor unerlaubten Abrufen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A20 + name: Einsatz von Web Application Firewalls + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20 + ref_id: APP.3.1.A20.1 + description: Institutionen SOLLTEN Web Application Firewalls (WAF) einsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20 + ref_id: APP.3.1.A20.2 + description: "Die Konfiguration der eingesetzten WAF SOLLTE auf die zu sch\xFC\ + tzende Webanwendung oder den Webservice angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a20 + ref_id: APP.3.1.A20.3 + description: "Nach jedem Update der Webanwendung oder des Webservices SOLLTE\ + \ die Konfiguration der WAF gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A21 + name: Sichere HTTP-Konfiguration bei Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.1 + description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen + SOLLTE der IT-Betrieb geeignete HTTP-Response-Header setzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.2 + description: 'Dazu SOLLTEN mindestens die folgenden HTTP-Header verwendet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.3 + description: "\u2022 Content-Security-Policy," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.4 + description: "\u2022 Strict-Transport-Security," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.5 + description: "\u2022 Content-Type," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.6 + description: "\u2022 X-Content-Type-Options sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.7 + description: "\u2022 Cache-Control." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.8 + description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a21 + ref_id: APP.3.1.A21.9 + description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ + \ und httponly gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1 + ref_id: APP.3.1.A22 + name: Penetrationstest und Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + ref_id: APP.3.1.A22.1 + description: "Webanwendungen und Webservices SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + ref_id: APP.3.1.A22.2 + description: "Insbesondere SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + ref_id: APP.3.1.A22.3 + description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ + \ gesch\xFCtzt und vertraulich behandelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + ref_id: APP.3.1.A22.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.1.a22 + ref_id: APP.3.1.A22.5 + description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + assessable: false + depth: 1 + ref_id: APP.3.2 + name: Webserver + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A1 + name: Sichere Konfiguration eines Webservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.1 + description: Nachdem der IT-Betrieb einen Webserver installiert hat, MUSS er + eine sichere Grundkonfiguration vornehmen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.2 + description: Dazu MUSS er insbesondere den Webserver-Prozess einem Konto mit + minimalen Rechten zuweisen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.3 + description: "Der Webserver MUSS in einer gekapselten Umgebung ausgef\xFChrt\ + \ werden, sofern dies vom Betriebssystem unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.4 + description: "Ist dies nicht m\xF6glich, SOLLTE jeder Webserver auf einem eigenen\ + \ physischen oder virtuellen Server ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.5 + description: "Dem Webserver-Dienst M\xDCSSEN alle nicht notwendige Schreibberechtigungen\ + \ entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a1 + ref_id: APP.3.2.A1.6 + description: "Nicht ben\xF6tigte Module und Funktionen des Webservers M\xDC\ + SSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A2 + name: Schutz der Webserver-Dateien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.1 + description: "Der IT-Betrieb MUSS alle Dateien auf dem Webserver, insbesondere\ + \ Skripte und Konfigurationsdateien, so sch\xFCtzen, dass sie nicht unbefugt\ + \ gelesen und ge\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.2 + description: "Es MUSS sichergestellt werden, dass Webanwendungen nur auf einen\ + \ definierten Verzeichnisbaum zugreifen k\xF6nnen (WWW-Wurzelverzeichnis)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.3 + description: Der Webserver MUSS so konfiguriert sein, dass er nur Dateien ausliefert, + die sich innerhalb des WWW-Wurzelverzeichnisses befinden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.4 + description: "Der IT-Betrieb MUSS alle nicht ben\xF6tigten Funktionen, die Verzeichnisse\ + \ auflisten, deaktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.5 + description: "Vertrauliche Daten M\xDCSSEN vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.6 + description: "Insbesondere MUSS der IT-Betrieb sicherstellen, dass vertrauliche\ + \ Dateien nicht in \xF6ffentlichen Verzeichnissen des Webservers liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a2 + ref_id: APP.3.2.A2.7 + description: "Der IT-Betrieb MUSS regelm\xE4\xDFig \xFCberpr\xFCfen, ob vertrauliche\ + \ Dateien in \xF6ffentlichen Verzeichnissen gespeichert wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A3 + name: Absicherung von Datei-Uploads und -Downloads + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3 + ref_id: APP.3.2.A3.1 + description: "Alle mithilfe des Webservers ver\xF6ffentlichten Dateien M\xDC\ + SSEN vorher auf Schadprogramme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3 + ref_id: APP.3.2.A3.2 + description: "Es MUSS eine Maximalgr\xF6\xDFe f\xFCr Datei-Uploads spezifiziert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a3 + ref_id: APP.3.2.A3.3 + description: "F\xFCr Uploads MUSS gen\xFCgend Speicherplatz reserviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A4 + name: Protokollierung von Ereignissen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + ref_id: APP.3.2.A4.1 + description: 'Der Webserver MUSS mindestens folgende Ereignisse protokollieren:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + ref_id: APP.3.2.A4.2 + description: "\u2022 erfolgreiche Zugriffe auf Ressourcen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + ref_id: APP.3.2.A4.3 + description: "\u2022 fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder\ + \ Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + ref_id: APP.3.2.A4.4 + description: "\u2022 allgemeine Fehlermeldungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a4 + ref_id: APP.3.2.A4.5 + description: "Die Protokollierungsdaten SOLLTEN regelm\xE4\xDFig ausgewertet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A5 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a5 + ref_id: APP.3.2.A5.1 + description: "Wenn sich Clients mit Hilfe von Passw\xF6rtern am Webserver authentisieren,\ + \ M\xDCSSEN diese kryptografisch gesichert und vor unbefugtem Zugriff gesch\xFC\ + tzt gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A7 + name: "Rechtliche Rahmenbedingungen f\xFCr Webangebote" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a7 + ref_id: APP.3.2.A7.1 + description: "Werden \xFCber den Webserver Inhalte f\xFCr Dritte publiziert\ + \ oder Dienste angeboten, M\xDCSSEN dabei die relevanten rechtlichen Rahmenbedingungen\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a7 + ref_id: APP.3.2.A7.2 + description: Die Institution MUSS die jeweiligen Telemedien- und Datenschutzgesetze + sowie das Urheberrecht einhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A8 + name: Planung des Einsatzes eines Webservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8 + ref_id: APP.3.2.A8.1 + description: "Es SOLLTE geplant und dokumentiert werden, f\xFCr welchen Zweck\ + \ der Webserver eingesetzt und welche Inhalte er bereitstellen soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8 + ref_id: APP.3.2.A8.2 + description: In der Dokumentation SOLLTEN auch die Informationen oder Dienstleistungen + des Webangebots und die jeweiligen Zielgruppen beschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a8 + ref_id: APP.3.2.A8.3 + description: "F\xFCr den technischen Betrieb und die Webinhalte SOLLTEN geeignete\ + \ Zust\xE4ndige festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A9 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr den Webserver" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9 + ref_id: APP.3.2.A9.1 + description: "Es SOLLTE eine Sicherheitsrichtlinie erstellt werden, in der die\ + \ erforderlichen Ma\xDFnahmen und Zust\xE4ndigkeiten benannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9 + ref_id: APP.3.2.A9.2 + description: "Weiterhin SOLLTE geregelt werden, wie Informationen zu aktuellen\ + \ Sicherheitsl\xFCcken besorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a9 + ref_id: APP.3.2.A9.3 + description: "Auch SOLLTE geregelt werden, wie Sicherheitsma\xDFnahmen umgesetzt\ + \ werden und wie vorgegangen werden soll, wenn Sicherheitsvorf\xE4lle eintreten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A10 + name: Auswahl eines geeigneten Webhosters + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.1 + description: 'Betreibt die Institution den Webserver nicht selbst, sondern nutzt + Angebote externer Unternehmen im Rahmen von Webhosting, SOLLTE die Institution + bei der Auswahl eines geeigneten Webhosters auf folgende Punkte achten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.2 + description: "\u2022 Es SOLLTE vertraglich geregelt werden, wie die Dienste\ + \ zu erbringen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.3 + description: Dabei SOLLTEN Sicherheitsaspekte innerhalb des Vertrags schriftlich + in einem Service Level Agreement (SLA) festgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.4 + description: "\u2022 Die eingesetzten IT-Systeme SOLLTEN vom Webhoster regelm\xE4\ + \xDFig kontrolliert und gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.5 + description: Der Webhoster SOLLTE dazu verpflichtet werden, bei technischen + Problemen oder einer Kompromittierung von Kundschaftssystemen zeitnah zu reagieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a10 + ref_id: APP.3.2.A10.6 + description: "\u2022 Der Webhoster SOLLTE grundlegende technische und organisatorische\ + \ Ma\xDFnahmen umsetzen, um seinen Informationsverbund zu sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A11 + name: "Verschl\xFCsselung \xFCber TLS" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11 + ref_id: APP.3.2.A11.1 + description: "Der Webserver MUSS f\xFCr alle Verbindungen durch nicht vertrauensw\xFC\ + rdige Netze eine sichere Verschl\xFCsselung \xFCber TLS anbieten (HTTPS)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11 + ref_id: APP.3.2.A11.2 + description: "Falls es aus Kompatibilit\xE4tsgr\xFCnden erforderlich ist, veraltete\ + \ Verfahren zu verwenden, SOLLTEN diese auf so wenige F\xE4lle wie m\xF6glich\ + \ beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11 + ref_id: APP.3.2.A11.3 + description: "Wenn eine HTTPS-Verbindung genutzt wird, M\xDCSSEN alle Inhalte\ + \ \xFCber HTTPS ausgeliefert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a11 + ref_id: APP.3.2.A11.4 + description: Sogenannter Mixed Content DARF NICHT verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A12 + name: Geeigneter Umgang mit Fehlern und Fehlermeldungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + ref_id: APP.3.2.A12.1 + description: Aus den HTTP-Informationen und den angezeigten Fehlermeldungen + SOLLTEN weder der Produktname noch die verwendete Version des Webservers ersichtlich + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + ref_id: APP.3.2.A12.2 + description: Fehlermeldungen SOLLTEN keine Details zu Systeminformationen oder + Konfigurationen ausgeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + ref_id: APP.3.2.A12.3 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass der Webserver ausschlie\xDF\ + lich allgemeine Fehlermeldungen ausgibt, die Clients darauf hinweisen, dass\ + \ ein Fehler aufgetreten ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + ref_id: APP.3.2.A12.4 + description: "Die Fehlermeldung SOLLTE ein eindeutiges Merkmal enthalten, das\ + \ es dem IT-Betrieb erm\xF6glicht, den Fehler nachzuvollziehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a12 + ref_id: APP.3.2.A12.5 + description: "Bei unerwarteten Fehlern SOLLTE sichergestellt sein, dass der\ + \ Webserver nicht in einem Zustand verbleibt, in dem er anf\xE4llig f\xFC\ + r Angriffe ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A13 + name: "Zugriffskontrolle f\xFCr Webcrawler" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a13 + ref_id: APP.3.2.A13.1 + description: Der Zugriff von Webcrawlern SOLLTE nach dem Robots-Exclusion-Standard + geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a13 + ref_id: APP.3.2.A13.2 + description: "Inhalte SOLLTEN mit einem Zugriffsschutz versehen werden, um sie\ + \ vor Webcrawlern zu sch\xFCtzen, die sich nicht an diesen Standard halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A14 + name: "Integrit\xE4tspr\xFCfungen und Schutz vor Schadsoftware" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a14 + ref_id: APP.3.2.A14.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig pr\xFCfen, ob die Konfigurationen\ + \ des Webservers und die von ihm bereitgestellten Dateien noch integer sind\ + \ und nicht durch Angriffe ver\xE4ndert wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a14 + ref_id: APP.3.2.A14.2 + description: "Die zur Ver\xF6ffentlichung vorgesehenen Dateien SOLLTEN regelm\xE4\ + \xDFig auf Schadsoftware gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A15 + name: Redundanz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a15 + ref_id: APP.3.2.A15.1 + description: Webserver SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a15 + ref_id: APP.3.2.A15.2 + description: Auch die Internetanbindung des Webservers und weiterer IT-Systeme, + wie etwa der Webanwendungsserver, SOLLTEN redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A16 + name: Penetrationstest und Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + ref_id: APP.3.2.A16.1 + description: "Webserver SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme hin\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + ref_id: APP.3.2.A16.2 + description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + ref_id: APP.3.2.A16.3 + description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ + \ gesch\xFCtzt und vertraulich behandelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + ref_id: APP.3.2.A16.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a16 + ref_id: APP.3.2.A16.5 + description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A18 + name: Schutz vor Denial-of-Service-Angriffen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a18 + ref_id: APP.3.2.A18.1 + description: "Der Webserver SOLLTE st\xE4ndig \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a18 + ref_id: APP.3.2.A18.2 + description: "Des Weiteren SOLLTEN Ma\xDFnahmen definiert und umgesetzt werden,\ + \ die DDoS-Angriffe verhindern oder zumindest abschw\xE4chen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2 + ref_id: APP.3.2.A20 + name: Benennung von Anzusprechenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20 + ref_id: APP.3.2.A20.1 + description: "Bei umfangreichen Webangeboten SOLLTE die Institution zentrale\ + \ Anzusprechende f\xFCr die Webangebote bestimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20 + ref_id: APP.3.2.A20.2 + description: "Es SOLLTEN Prozesse, Vorgehensweisen und Zust\xE4ndige f\xFCr\ + \ Probleme oder Sicherheitsvorf\xE4lle benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20 + ref_id: APP.3.2.A20.3 + description: "Die Institution SOLLTE eine Kontaktm\xF6glichkeit auf ihrer Webseite\ + \ ver\xF6ffentlichen, \xFCber die Sicherheitsprobleme an die Institution gemeldet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.2.a20 + ref_id: APP.3.2.A20.4 + description: "F\xFCr die Behandlung von externen Sicherheitsmeldungen SOLLTE\ + \ die Institution Prozesse definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + assessable: false + depth: 1 + ref_id: APP.3.3 + name: Fileserver + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A2 + name: Einsatz von RAID-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.1 + description: Der IT-Betrieb MUSS festlegen, ob im Fileserver ein RAID-System + eingesetzt werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.2 + description: Eine Entscheidung gegen ein solches System MUSS nachvollziehbar + dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.3 + description: 'Falls ein RAID-System eingesetzt werden soll, MUSS der IT-Betrieb + entscheiden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.4 + description: "\u2022 welches RAID-Level benutzt werden soll," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.5 + description: "\u2022 wie lang die Zeitspanne f\xFCr einen RAID-Rebuild-Prozess\ + \ sein darf und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.6 + description: "\u2022 ob ein Software- oder ein Hardware-RAID eingesetzt werden\ + \ soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a2 + ref_id: APP.3.3.A2.7 + description: In einem RAID SOLLTEN Hotspare-Festplatten vorgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A3 + name: Einsatz von Viren-Schutzprogrammen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a3 + ref_id: APP.3.3.A3.1 + description: "Alle Daten M\xDCSSEN durch ein Viren-Schutzprogramm auf Schadsoftware\ + \ untersucht werden, bevor sie auf dem Fileserver abgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A6 + name: Beschaffung eines Fileservers und Auswahl eines Dienstes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6 + ref_id: APP.3.3.A6.1 + description: "Die Fileserver-Software SOLLTE geeignet ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6 + ref_id: APP.3.3.A6.2 + description: "Der Fileserver-Dienst SOLLTE den Einsatzzweck des Fileservers\ + \ unterst\xFCtzen, z. B. Einbindung von Netzlaufwerken in den Clients, Streaming\ + \ von Multimedia-Inhalten, \xDCbertragung von Boot-Images von festplattenlosen\ + \ IT-Systemen oder ausschlie\xDFliche Datei\xFCbertragung \xFCber FTP." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a6 + ref_id: APP.3.3.A6.3 + description: "Die Leistung, die Speicherkapazit\xE4t, die Bandbreite sowie die\ + \ Anzahl der Benutzenden, die den Fileserver nutzen, SOLLTEN bei der Beschaffung\ + \ des Fileservers ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A7 + name: Auswahl eines Dateisystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7 + ref_id: APP.3.3.A7.1 + description: Der IT-Betrieb SOLLTE eine Anforderungsliste erstellen, nach der + die Dateisysteme des Fileservers bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7 + ref_id: APP.3.3.A7.2 + description: Das Dateisystem SOLLTE den Anforderungen der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7 + ref_id: APP.3.3.A7.3 + description: Das Dateisystem SOLLTE eine Journaling-Funktion bieten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a7 + ref_id: APP.3.3.A7.4 + description: "Auch SOLLTE es \xFCber einen Schutzmechanismus verf\xFCgen, der\ + \ verhindert, dass mehrere Benutzende oder Anwendungen gleichzeitig schreibend\ + \ auf eine Datei zugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A8 + name: Strukturierte Datenhaltung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.1 + description: Es SOLLTE eine Struktur festgelegt werden, nach der Daten abzulegen + sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.2 + description: "Die Benutzenden SOLLTEN regelm\xE4\xDFig \xFCber die geforderte\ + \ strukturierte Datenhaltung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.3 + description: "Die Dateien SOLLTEN ausschlie\xDFlich strukturiert auf den Fileserver\ + \ abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.4 + description: "Es SOLLTE schriftlich festgelegt werden, welche Daten lokal und\ + \ welche auf dem Fileserver gespeichert werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.5 + description: Programm- und Arbeitsdaten SOLLTEN in getrennten Verzeichnissen + gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a8 + ref_id: APP.3.3.A8.6 + description: "Die Institution SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ Vorgaben zur strukturierten Datenhaltung eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A9 + name: Sicheres Speichermanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + ref_id: APP.3.3.A9.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ Massenspeicher des Fileservers noch wie vorgesehen funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + ref_id: APP.3.3.A9.2 + description: Es SOLLTEN geeignete Ersatzspeicher vorgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + ref_id: APP.3.3.A9.3 + description: "Wurde eine Speicherhierarchie (Prim\xE4r-, Sekund\xE4r- bzw. Terti\xE4\ + rspeicher) aufgebaut, SOLLTE ein (teil-)automatisiertes Speichermanagement\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + ref_id: APP.3.3.A9.4 + description: "Werden Daten automatisiert verteilt, SOLLTE regelm\xE4\xDFig manuell\ + \ \xFCberpr\xFCft werden, ob dies korrekt funktioniert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a9 + ref_id: APP.3.3.A9.5 + description: "Es SOLLTEN mindestens nicht-autorisierte Zugriffsversuche auf\ + \ Dateien und \xC4nderungen von Zugriffsrechten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A11 + name: "Einsatz von Speicherbeschr\xE4nkungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a11 + ref_id: APP.3.3.A11.1 + description: "Der IT-Betrieb SOLLTE bei mehreren Benutzenden auf dem Fileserver\ + \ pr\xFCfen, Beschr\xE4nkungen des Speicherplatzes f\xFCr einzelne Benutzende\ + \ (Quotas) einzurichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a11 + ref_id: APP.3.3.A11.2 + description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ + \ genutzt werden, um die Benutzenden bei einem bestimmten F\xFCllstand der\ + \ Festplatte zu warnen oder in diesem Fall nur noch dem IT-Betrieb Schreibrechte\ + \ einzur\xE4umen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A12 + name: "Verschl\xFCsselung des Datenbestandes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12 + ref_id: APP.3.3.A12.1 + description: "Die Massenspeicher des Fileservers SOLLTEN auf Dateisystem- oder\ + \ Hardwareebene verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12 + ref_id: APP.3.3.A12.2 + description: "Falls Hardwareverschl\xFCsselung eingesetzt wird, SOLLTEN Produkte\ + \ verwendet werden, deren Verschl\xFCsselungsfunktion zertifiziert wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a12 + ref_id: APP.3.3.A12.3 + description: "Es SOLLTE sichergestellt werden, dass der Virenschutz die verschl\xFC\ + sselten Daten auf Schadsoftware pr\xFCfen kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A13 + name: Replikation zwischen Standorten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13 + ref_id: APP.3.3.A13.1 + description: "F\xFCr hochverf\xFCgbare Fileserver SOLLTE eine angemessene Replikation\ + \ der Daten auf mehreren Massenspeichern stattfinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13 + ref_id: APP.3.3.A13.2 + description: "Daten SOLLTEN zudem zwischen unabh\xE4ngigen Fileservern repliziert\ + \ werden, die sich an unabh\xE4ngigen Standorten befinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13 + ref_id: APP.3.3.A13.3 + description: "Daf\xFCr SOLLTE vom IT-Betrieb ein geeigneter Replikationsmechanismus\ + \ ausgew\xE4hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a13 + ref_id: APP.3.3.A13.4 + description: Damit die Replikation wie vorgesehen funktionieren kann, SOLLTEN + hinreichend genaue Zeitdienste genutzt und betrieben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A14 + name: Einsatz von Error-Correction-Codes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14 + ref_id: APP.3.3.A14.1 + description: Der IT-Betrieb SOLLTE ein fehlererkennendes bzw. fehlerkorrigierendes + Dateisystem einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14 + ref_id: APP.3.3.A14.2 + description: "Hierf\xFCr SOLLTE gen\xFCgend Speicherplatz vorgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a14 + ref_id: APP.3.3.A14.3 + description: "Der IT-Betrieb SOLLTE beachten, dass, je nach eingesetztem Verfahren,\ + \ Fehler nur mit einer gewissen Wahrscheinlichkeit erkannt und auch nur in\ + \ begrenzter Gr\xF6\xDFenordnung behoben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3 + ref_id: APP.3.3.A15 + name: Planung von Fileservern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.1 + description: "Bevor eine Institution einen oder mehrere Fileserver einf\xFC\ + hrt, SOLLTE sie entscheiden, wof\xFCr die Fileserver genutzt und welche Informationen\ + \ darauf verarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.2 + description: "Die Institution SOLLTE jede benutzte Funktion eines Fileservers\ + \ einschlie\xDFlich deren Sicherheitsaspekte planen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.3 + description: "Arbeitsplatzrechner D\xDCRFEN NICHT als Fileserver eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.4 + description: Der Speicherplatz des Fileservers MUSS ausreichend dimensioniert + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.5 + description: Auch ausreichende Speicherreserven SOLLTEN vorgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.6 + description: "Es SOLLTE ausschlie\xDFlich Massenspeicher verwendet werden, der\ + \ f\xFCr einen Dauerbetrieb ausgelegt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.3.a15 + ref_id: APP.3.3.A15.7 + description: "Die Geschwindigkeit und die Anbindung der Massenspeicher MUSS\ + \ f\xFCr den Einsatzzweck angemessen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + assessable: false + depth: 1 + ref_id: APP.3.4 + name: Samba + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A1 + name: Planung des Einsatzes eines Samba-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.1 + description: "Der IT-Betrieb MUSS die Einf\xFChrung eines Samba-Servers sorgf\xE4\ + ltig planen und regeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.2 + description: "Der IT-Betrieb MUSS abh\xE4ngig vom Einsatzszenario definieren,\ + \ welche Aufgaben der Samba-Server zuk\xFCnftig erf\xFCllen soll und in welcher\ + \ Betriebsart er betrieben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.3 + description: "Au\xDFerdem MUSS festgelegt werden, welche Komponenten von Samba\ + \ und welche weiteren Komponenten daf\xFCr erforderlich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.4 + description: "Soll die Cluster-L\xF6sung CTDB (Cluster Trivia Data Base) eingesetzt\ + \ werden, MUSS der IT-Betrieb diese L\xF6sung sorgf\xE4ltig konzeptionieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.5 + description: "Falls Samba die Active-Directory-(AD)-Dienste auch f\xFCr Linux-\ + \ und Unix-Systeme bereitstellen soll, M\xDCSSEN diese Dienste ebenfalls sorgf\xE4\ + ltig geplant und getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.6 + description: "Des Weiteren MUSS das Authentisierungsverfahren f\xFCr das AD\ + \ sorgf\xE4ltig konzipiert und implementiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.7 + description: "Die Einf\xFChrung und die Reihenfolge, in der die Stackable-Virtual-File-System-(VFS)-Module\ + \ ausgef\xFChrt werden, MUSS sorgf\xE4ltig konzipiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.8 + description: Die Umsetzung SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.9 + description: "Soll IPv6 unter Samba eingesetzt werden, MUSS auch dies sorgf\xE4\ + ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a1 + ref_id: APP.3.4.A1.10 + description: "Zudem MUSS in einer betriebsnahen Testumgebung \xFCberpr\xFCft\ + \ werden, ob die Integration fehlerfrei funktioniert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A2 + name: Sichere Grundkonfiguration eines Samba-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.1 + description: Der IT-Betrieb MUSS den Samba-Server sicher konfigurieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.2 + description: "Hierf\xFCr M\xDCSSEN unter anderem die Einstellungen f\xFCr die\ + \ Zugriffskontrollen angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.3 + description: "Das gleiche SOLLTE auch f\xFCr Einstellungen gelten, welche die\ + \ Leistungsf\xE4higkeit des Servers beeinflussen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.4 + description: Samba MUSS vom IT-Betrieb so konfiguriert werden, dass Verbindungen + nur von sicheren Hosts und Netzen entgegengenommen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.5 + description: "\xC4nderungen an der Konfiguration SOLLTEN sorgf\xE4ltig dokumentiert\ + \ werden, sodass zu jeder Zeit nachvollzogen werden kann, wer aus welchem\ + \ Grund was ge\xE4ndert hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.6 + description: "Dabei MUSS nach jeder \xC4nderung \xFCberpr\xFCft werden, ob die\ + \ Syntax der Konfigurationsdatei noch korrekt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a2 + ref_id: APP.3.4.A2.7 + description: "Zus\xE4tzliche Softwaremodule wie SWAT D\xDCRFEN NICHT installiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A3 + name: Sichere Konfiguration eines Samba-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + ref_id: APP.3.4.A3.1 + description: Datenbanken im Trivial-Database-(TDB)-Format SOLLTEN NICHT auf + einer Partition gespeichert werden, die ReiserFS als Dateisystem benutzt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + ref_id: APP.3.4.A3.2 + description: "Wird eine netlogon-Freigabe konfiguriert, SOLLTEN unberechtigte\ + \ Benutzende KEINE Dateien in dieser Freigabe modifizieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + ref_id: APP.3.4.A3.3 + description: "Das Betriebssystem eines Samba-Servers SOLLTE Access Control Lists\ + \ (ACLs) in Verbindung mit dem eingesetzten Dateisystem unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + ref_id: APP.3.4.A3.4 + description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass das Dateisystem\ + \ mit den passenden Parametern eingebunden wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a3 + ref_id: APP.3.4.A3.5 + description: Die Voreinstellungen von SMB Message Signing SOLLTEN beibehalten + werden, sofern sie nicht im Widerspruch zu den existierenden Sicherheitsrichtlinien + im Informationsverbund stehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A4 + name: Vermeidung der NTFS-Eigenschaften auf einem Samba-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a4 + ref_id: APP.3.4.A4.1 + description: "Wird eine Version von Samba eingesetzt, die im New Technology\ + \ File System (NTFS) keine ADS abbilden kann und sollen Dateisystemobjekte\ + \ \xFCber Systemgrenzen hinweg kopiert oder verschoben werden, SOLLTEN Dateisystemobjekte\ + \ KEINE ADS mit wichtigen Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A5 + name: Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5 + ref_id: APP.3.4.A5.1 + description: "Die von Samba standardm\xE4\xDFig verwendeten Parameter, mit denen\ + \ DOS-Attribute auf das Unix-Dateisystem abgebildet werden, SOLLTEN NICHT\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5 + ref_id: APP.3.4.A5.2 + description: Stattdessen SOLLTE Samba so konfiguriert werden, dass es DOS-Attribute + und die Statusindikatoren zur Vererbung (Flag) in Extended Attributes speichert. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5 + ref_id: APP.3.4.A5.3 + description: "Die Freigaben SOLLTEN ausschlie\xDFlich \xFCber die Samba-Registry\ + \ verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a5 + ref_id: APP.3.4.A5.4 + description: "Ferner SOLLTEN die effektiven Zugriffsberechtigungen auf die Freigaben\ + \ des Samba-Servers regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A6 + name: Sichere Konfiguration von Winbind unter Samba + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6 + ref_id: APP.3.4.A6.1 + description: "F\xFCr jedes Dom\xE4nen-Konto einer Windows-Dom\xE4ne SOLLTE im\ + \ Betriebssystem des Servers ein Konto mit allen notwendigen Gruppenmitgliedschaften\ + \ vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6 + ref_id: APP.3.4.A6.2 + description: "Falls das nicht m\xF6glich ist, SOLLTE Winbind eingesetzt werden,\ + \ um Dom\xE4nen-Konten in Unix-Konten umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6 + ref_id: APP.3.4.A6.3 + description: "Beim Einsatz von Winbind SOLLTE sichergestellt werden, dass Kollisionen\ + \ zwischen lokalen Benutzenden in Unix und Benutzenden in der Dom\xE4ne verhindert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a6 + ref_id: APP.3.4.A6.4 + description: Des Weiteren SOLLTEN die PAM (Pluggable Authentication Modules) + eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A7 + name: Sichere Konfiguration von DNS unter Samba + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a7 + ref_id: APP.3.4.A7.1 + description: "Wenn Samba als DNS-Server eingesetzt wird, SOLLTE die Einf\xFC\ + hrung sorgf\xE4ltig geplant und die Umsetzung vorab getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a7 + ref_id: APP.3.4.A7.2 + description: "Da Samba verschiedene AD-Integrationsmodi unterst\xFCtzt, SOLLTE\ + \ der IT-Betrieb die DNS-Einstellungen entsprechend dem Verwendungsszenario\ + \ von Samba vornehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A8 + name: Sichere Konfiguration von LDAP unter Samba + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a8 + ref_id: APP.3.4.A8.1 + description: "Werden die Benutzenden unter Samba mit LDAP verwaltet, SOLLTE\ + \ die Konfiguration sorgf\xE4ltig vom IT-Betrieb geplant und dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a8 + ref_id: APP.3.4.A8.2 + description: Die Zugriffsberechtigungen auf das LDAP SOLLTEN mittels ACLs geregelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A9 + name: Sichere Konfiguration von Kerberos unter Samba + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + ref_id: APP.3.4.A9.1 + description: Zur Authentisierung SOLLTE das von Samba implementierte Heimdal + Kerberos Key Distribution Center (KDC) verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + ref_id: APP.3.4.A9.2 + description: Es SOLLTE darauf geachtet werden, dass die von Samba vorgegebene + Kerberos-Konfigurationsdatei verwendet wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + ref_id: APP.3.4.A9.3 + description: "Es SOLLTEN nur sichere Verschl\xFCsselungsverfahren f\xFCr Kerberos-Tickets\ + \ benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + ref_id: APP.3.4.A9.4 + description: Wird mit Kerberos authentisiert, SOLLTE der zentrale Zeitserver + lokal auf dem Samba-Server installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a9 + ref_id: APP.3.4.A9.5 + description: "Der NTP-Dienst SOLLTE so konfiguriert werden, dass nur autorisierte\ + \ Clients die Zeit abfragen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A10 + name: Sicherer Einsatz externer Programme auf einem Samba-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a10 + ref_id: APP.3.4.A10.1 + description: "Vom IT-Betrieb SOLLTE sichergestellt werden, dass Samba nur auf\ + \ schadhafte Funktionen \xFCberpr\xFCfte und vertrauensw\xFCrdige externe\ + \ Programme aufruft." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A12 + name: Schulung der Administrierenden eines Samba-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a12 + ref_id: APP.3.4.A12.1 + description: Die Administrierenden SOLLTEN zu den genutzten spezifischen Bereichen + von Samba wie z. B. Benutzendenauthentisierung, Windows- und Unix-Rechtemodelle, + aber auch zu NTFS ACLs und NTFS ADS geschult werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A13 + name: "Regelm\xE4\xDFige Sicherung wichtiger Systemkomponenten eines Samba-Servers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13 + ref_id: APP.3.4.A13.1 + description: Es SOLLTEN alle Systemkomponenten in das institutionsweite Datensicherungskonzept + eingebunden werden, die erforderlich sind, um einen Samba-Server wiederherzustellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13 + ref_id: APP.3.4.A13.2 + description: "Auch die Kontoinformationen aus allen eingesetzten Backends SOLLTEN\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13 + ref_id: APP.3.4.A13.3 + description: Ebenso SOLLTEN alle TDB-Dateien gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a13 + ref_id: APP.3.4.A13.4 + description: "Des Weiteren SOLLTE die Samba-Registry mit gesichert werden, falls\ + \ sie f\xFCr Freigaben eingesetzt wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4 + ref_id: APP.3.4.A15 + name: "Verschl\xFCsselung der Datenpakete unter Samba" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.4.a15 + ref_id: APP.3.4.A15.1 + description: "Um die Sicherheit der Datenpakete auf dem Transportweg zu gew\xE4\ + hrleisten, SOLLTEN die Datenpakete mit den ab SMB Version 3 integrierten Verschl\xFC\ + sselungsverfahren verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + assessable: false + depth: 1 + ref_id: APP.3.6 + name: DNS-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A1 + name: Planung des DNS-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + ref_id: APP.3.6.A1.1 + description: "Der Einsatz von DNS-Servern MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + ref_id: APP.3.6.A1.2 + description: Es MUSS zuerst festgelegt werden, wie der Netzdienst DNS aufgebaut + werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + ref_id: APP.3.6.A1.3 + description: "Es MUSS festgelegt werden, welche Domain-Informationen sch\xFC\ + tzenswert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + ref_id: APP.3.6.A1.4 + description: Es MUSS geplant werden, wie DNS-Server in das Netz des Informationsverbunds + eingebunden werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a1 + ref_id: APP.3.6.A1.5 + description: "Die getroffenen Entscheidungen M\xDCSSEN geeignet dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A2 + name: Einsatz redundanter DNS-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a2 + ref_id: APP.3.6.A2.1 + description: "Advertising DNS-Server M\xDCSSEN redundant ausgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a2 + ref_id: APP.3.6.A2.2 + description: "F\xFCr jeden Advertising DNS-Server MUSS es mindestens einen zus\xE4\ + tzlichen Secondary DNS-Server geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A3 + name: "Verwendung von separaten DNS-Servern f\xFCr interne und externe Anfragen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a3 + ref_id: APP.3.6.A3.1 + description: "Advertising DNS-Server und Resolving DNS-Server M\xDCSSEN serverseitig\ + \ getrennt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a3 + ref_id: APP.3.6.A3.2 + description: "Die Resolver der internen IT-Systeme D\xDCRFEN NUR die internen\ + \ Resolving DNS-Server verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A4 + name: Sichere Grundkonfiguration eines DNS-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.1 + description: "Ein Resolving DNS-Server MUSS so konfiguriert werden, dass er\ + \ ausschlie\xDFlich Anfragen aus dem internen Netz akzeptiert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.2 + description: "Wenn ein Resolving DNS-Server Anfragen versendet, MUSS er zuf\xE4\ + llige Source Ports benutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.3 + description: Sind DNS-Server bekannt, die falsche Domain-Informationen liefern, + MUSS der Resolving DNS-Server daran gehindert werden, Anfragen dorthin zu + senden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.4 + description: Ein Advertising DNS-Server MUSS so konfiguriert werden, dass er + Anfragen aus dem Internet immer iterativ behandelt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.5 + description: Es MUSS sichergestellt werden, dass DNS-Zonentransfers zwischen + Primary und Secondary DNS-Servern funktionieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.6 + description: "Zonentransfers M\xDCSSEN so konfiguriert werden, dass diese nur\ + \ zwischen Primary und Secondary DNS-Servern m\xF6glich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.7 + description: "Zonentransfers M\xDCSSEN auf bestimmte IP-Adressen beschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a4 + ref_id: APP.3.6.A4.8 + description: Die Version des verwendeten DNS-Server-Produktes MUSS verborgen + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A6 + name: Absicherung von dynamischen DNS-Updates + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a6 + ref_id: APP.3.6.A6.1 + description: "Es MUSS sichergestellt werden, dass nur legitimierte IT-Systeme\ + \ Domain-Informationen \xE4ndern d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a6 + ref_id: APP.3.6.A6.2 + description: "Es MUSS festgelegt werden, welche Domain-Informationen die IT-Systeme\ + \ \xE4ndern d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A7 + name: "\xDCberwachung von DNS-Servern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.1 + description: "DNS-Server M\xDCSSEN laufend \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.2 + description: "Es MUSS \xFCberwacht werden, wie ausgelastet die DNS-Server sind,\ + \ um rechtzeitig die Leistungskapazit\xE4t der Hardware anpassen zu k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.3 + description: "DNS-Server M\xDCSSEN so konfiguriert werden, dass mindestens die\ + \ folgenden sicherheitsrelevanten Ereignisse protokolliert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.4 + description: "\u2022 Anzahl der DNS-Anfragen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.5 + description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.6 + description: "\u2022 EDNS-Fehler (EDNS - Extension Mechanisms for DNS)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.7 + description: "\u2022 auslaufende Zonen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a7 + ref_id: APP.3.6.A7.8 + description: "\u2022 fehlgeschlagene Zonentransfers." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A8 + name: Verwaltung von Domainnamen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8 + ref_id: APP.3.6.A8.1 + description: "Es MUSS sichergestellt sein, dass die Registrierungen f\xFCr alle\ + \ Domains, die von einer Institution benutzt werden, regelm\xE4\xDFig und\ + \ rechtzeitig verl\xE4ngert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8 + ref_id: APP.3.6.A8.2 + description: "Eine Person MUSS bestimmt werden, die daf\xFCr zust\xE4ndig ist,\ + \ die Internet-Domainnamen zu verwalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a8 + ref_id: APP.3.6.A8.3 + description: "Falls Dienstleistende mit der Domainverwaltung beauftragt werden,\ + \ MUSS darauf geachtet werden, dass die Institution die Kontrolle \xFCber\ + \ die Domains beh\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A9 + name: "Erstellen eines Notfallplans f\xFCr DNS-Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + ref_id: APP.3.6.A9.1 + description: "Ein Notfallplan f\xFCr DNS-Server MUSS erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + ref_id: APP.3.6.A9.2 + description: "Der Notfallplan f\xFCr DNS-Server MUSS in die bereits vorhandenen\ + \ Notfallpl\xE4ne der Institution integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + ref_id: APP.3.6.A9.3 + description: "Im Notfallplan f\xFCr DNS-Server MUSS ein Datensicherungskonzept\ + \ f\xFCr die Zonen- und Konfigurationsdateien beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + ref_id: APP.3.6.A9.4 + description: "Das Datensicherungskonzept f\xFCr die Zonen- und Konfigurationsdateien\ + \ MUSS in das existierende Datensicherungskonzept der Institution integriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a9 + ref_id: APP.3.6.A9.5 + description: "Der Notfallplan f\xFCr DNS-Server MUSS einen Wiederanlaufplan\ + \ f\xFCr alle DNS-Server im Informationsverbund enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A10 + name: Auswahl eines geeigneten DNS-Server-Produktes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10 + ref_id: APP.3.6.A10.1 + description: "Wird ein DNS-Server-Produkt beschafft, dann SOLLTE darauf geachtet\ + \ werden, dass es sich in der Praxis ausreichend bew\xE4hrt hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10 + ref_id: APP.3.6.A10.2 + description: "Das DNS-Server-Produkt SOLLTE die aktuellen RFC-Standards unterst\xFC\ + tzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a10 + ref_id: APP.3.6.A10.3 + description: "Das DNS-Server-Produkt SOLLTE die Zust\xE4ndigen dabei unterst\xFC\ + tzen, syntaktisch korrekte Master Files zu erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A11 + name: Ausreichende Dimensionierung der DNS-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11 + ref_id: APP.3.6.A11.1 + description: Die Hardware des DNS-Servers SOLLTE ausreichend dimensioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11 + ref_id: APP.3.6.A11.2 + description: "Die Hardware des DNS-Servers SOLLTE ausschlie\xDFlich f\xFCr den\ + \ Betrieb dieses DNS-Servers benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a11 + ref_id: APP.3.6.A11.3 + description: "Die Netzanbindungen s\xE4mtlicher DNS-Server im Informationsverbund\ + \ SOLLTEN ausreichend bemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A13 + name: "Einschr\xE4nkung der Sichtbarkeit von Domain-Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13 + ref_id: APP.3.6.A13.1 + description: "Der Namensraum eines Informationsverbunds SOLLTE in einen \xF6\ + ffentlichen und einen institutionsinternen Bereich aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13 + ref_id: APP.3.6.A13.2 + description: "Im \xF6ffentlichen Teil SOLLTEN nur solche Domain-Informationen\ + \ enthalten sein, die von Diensten ben\xF6tigt werden, die von extern erreichbar\ + \ sein sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a13 + ref_id: APP.3.6.A13.3 + description: "IT-Systeme im internen Netz SOLLTEN selbst dann keinen von au\xDF\ + en aufl\xF6sbaren DNS-Namen erhalten, wenn sie eine \xF6ffentliche IP-Adresse\ + \ besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A14 + name: Platzierung der Nameserver + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a14 + ref_id: APP.3.6.A14.1 + description: Primary und Secondary Advertising DNS-Server SOLLTEN in verschiedenen + Netzsegmenten platziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A15 + name: Auswertung der Logdaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.1 + description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.2 + description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig ausgewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.3 + description: 'Mindestens die folgenden sicherheitsrelevanten Ereignisse SOLLTEN + ausgewertet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.4 + description: "\u2022 Anzahl der DNS-Anfragen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.5 + description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.6 + description: "\u2022 EDNS-Fehler," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.7 + description: "\u2022 auslaufende Zonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.8 + description: "\u2022 fehlgeschlagene Zonentransfers sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a15 + ref_id: APP.3.6.A15.9 + description: "\u2022 Ver\xE4nderungen im Verh\xE4ltnis von Fehlern zu DNS-Anfragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A16 + name: Integration eines DNS-Servers in eine "P-A-P"-Struktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16 + ref_id: APP.3.6.A16.1 + description: "Die DNS-Server SOLLTEN in eine \u201EPaketfilter - Application-Level-Gateway\ + \ - Paketfilter\u201C-(P-A-P)-Struktur integriert werden (siehe auch NET.1.1\ + \ Netzarchitektur und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16 + ref_id: APP.3.6.A16.2 + description: "Der Advertising DNS-Server SOLLTE in diesem Fall in einer demilitarisierten\ + \ Zone (DMZ) des \xE4u\xDFeren Paketfilters angesiedelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a16 + ref_id: APP.3.6.A16.3 + description: Der Resolving DNS-Server SOLLTE in einer DMZ des inneren Paketfilters + aufgestellt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A17 + name: Einsatz von DNSSEC + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a17 + ref_id: APP.3.6.A17.1 + description: Die DNS-Protokollerweiterung DNSSEC SOLLTE sowohl auf Resolving + DNS-Servern als auch auf Advertising DNS-Servern aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a17 + ref_id: APP.3.6.A17.2 + description: "Die dabei verwendeten Schl\xFCssel Key-Signing-Keys (KSK) und\ + \ Zone-Signing-Keys (ZSK) SOLLTEN regelm\xE4\xDFig gewechselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A18 + name: Erweiterte Absicherung von Zonentransfers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a18 + ref_id: APP.3.6.A18.1 + description: "Um Zonentransfers st\xE4rker abzusichern, SOLLTEN zus\xE4tzlich\ + \ Transaction Signatures (TSIG) eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A19 + name: Aussonderung von DNS-Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a19 + ref_id: APP.3.6.A19.1 + description: "Der DNS-Server SOLLTE sowohl aus dem Domain-Namensraum als auch\ + \ aus dem Netzverbund gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A20 + name: "Pr\xFCfung des Notfallplans auf Durchf\xFChrbarkeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a20 + ref_id: APP.3.6.A20.1 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob der Notfallplan\ + \ f\xFCr DNS-Server durchf\xFChrbar ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A21 + name: Hidden Master + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a21 + ref_id: APP.3.6.A21.1 + description: "Um Angriffe auf den prim\xE4ren Advertising DNS-Server zu erschweren,\ + \ SOLLTE eine sogenannte Hidden-Master-Anordnung vorgenommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6 + ref_id: APP.3.6.A22 + name: "Anbindung der DNS-Server \xFCber unterschiedliche Provider" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.3.6.a22 + ref_id: APP.3.6.A22.1 + description: "Extern erreichbare DNS-Server SOLLTEN \xFCber unterschiedliche\ + \ Provider angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + assessable: false + depth: 1 + ref_id: APP.4.2 + name: SAP-ERP-System + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A1 + name: Sichere Konfiguration des SAP-ABAP-Stacks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1 + ref_id: APP.4.2.A1.1 + description: Der SAP-ABAP-Stack MUSS sicher konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1 + ref_id: APP.4.2.A1.2 + description: "Dazu M\xDCSSEN die jeweiligen Profilparameter gesetzt werden,\ + \ z. B. f\xFCr die Passwortsicherheit, Authentisierung und Verschl\xFCsselung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a1 + ref_id: APP.4.2.A1.3 + description: "Auch M\xDCSSEN die System\xE4nderbarkeit und die Mandanten konfiguriert,\ + \ das IMG-Customizing durchgef\xFChrt und die Betriebssystemkommandos abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A2 + name: Sichere Konfiguration des SAP-JAVA-Stacks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2 + ref_id: APP.4.2.A2.1 + description: Der SAP-JAVA-Stack MUSS sicher konfiguriert werden, falls dieser + eingesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2 + ref_id: APP.4.2.A2.2 + description: "Daf\xFCr M\xDCSSEN andere Sicherheitsmechanismen und -konzepte\ + \ erstellt werden als f\xFCr den SAP-ABAP-Stack." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2 + ref_id: APP.4.2.A2.3 + description: "Deshalb M\xDCSSEN Administrierende die Architektur des JAVA-Stacks\ + \ kennen und wissen, wie er administriert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a2 + ref_id: APP.4.2.A2.4 + description: "Zudem M\xDCSSEN nicht ben\xF6tigte Dienste abgeschaltet, Standardinhalte\ + \ entfernt, HTTP-Dienste gesch\xFCtzt und Zugriffe auf Administrationsschnittstellen\ + \ eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A3 + name: Netzsicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3 + ref_id: APP.4.2.A3.1 + description: "Um die Netzsicherheit zu gew\xE4hrleisten, M\xDCSSEN entsprechende\ + \ Konzepte unter Ber\xFCcksichtigung des SAP-ERP-Systems erstellt und Einstellungen\ + \ am System durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3 + ref_id: APP.4.2.A3.2 + description: Weiterhin SOLLTEN der SAP-Router und SAP Web Dispatcher eingesetzt + werden, um ein sicheres SAP-Netz zu implementieren und aufrechtzuerhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a3 + ref_id: APP.4.2.A3.3 + description: "Um Sicherheitsl\xFCcken aufgrund von Fehlinterpretationen oder\ + \ Missverst\xE4ndnissen zu vermeiden, M\xDCSSEN sich die Bereiche IT-Betrieb,\ + \ Firewall-Betrieb, Portalbetrieb und SAP-Betrieb miteinander abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A4 + name: Absicherung der ausgelieferten SAP-Standard-Konten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4 + ref_id: APP.4.2.A4.1 + description: "Direkt nach der Installation eines SAP-ERP-Systems M\xDCSSEN die\ + \ voreingestellten Passw\xF6rter der SAP-Standard-Konten ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4 + ref_id: APP.4.2.A4.2 + description: "Auch M\xDCSSEN die eingerichteten SAP-Standard-Konten mithilfe\ + \ geeigneter Ma\xDFnahmen abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a4 + ref_id: APP.4.2.A4.3 + description: "Bestimmte SAP-Standard-Konten D\xDCRFEN NICHT benutzt werden,\ + \ z. B. f\xFCr RFC-Verbindungen und Background-Jobs." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A5 + name: Konfiguration und Absicherung der SAP-Konten-Verwaltung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a5 + ref_id: APP.4.2.A5.1 + description: "Die SAP-Konten-Verwaltung f\xFCr ABAP-Systeme MUSS sorgf\xE4ltig\ + \ und sicher administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a5 + ref_id: APP.4.2.A5.2 + description: "Aktivit\xE4ten, wie Konten anlegen, \xE4ndern und l\xF6schen,\ + \ Passw\xF6rter zur\xFCcksetzen und entsperren sowie Rollen und Profile zuordnen,\ + \ M\xDCSSEN zu den Aufgaben der Konto-Administration geh\xF6ren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A6 + name: Erstellung und Umsetzung eines Konten- und Berechtigungskonzeptes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.1 + description: "F\xFCr SAP-ERP-Systeme MUSS ein Konten- und Berechtigungskonzept\ + \ ausgearbeitet und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.2 + description: "Dabei M\xDCSSEN folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.3 + description: "\u2022 Identit\xE4tsprinzip, Minimalprinzip, Stellenprinzip, Belegprinzip\ + \ der Buchhaltung, Belegprinzip der Berechtigungsverwaltung, Funktionstrennungsprinzip\ + \ (Segregation of Duties, SoD), Genehmigungsprinzip, Standardprinzip, Schriftformprinzip\ + \ und Kontrollprinzip M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.4 + description: "\u2022 Konto-, Berechtigungs- und gegebenenfalls Profiladministrierender\ + \ M\xDCSSEN getrennte Verantwortlichkeiten und damit Berechtigungen haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.5 + description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsadministration\ + \ f\xFCr Rollen anlegen, \xE4ndern, l\xF6schen, transportieren und SU24 Vorschlagswerte\ + \ transportieren M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.6 + description: Dabei SOLLTEN Berechtigungsrollen nur im Entwicklungssystem angelegt + und gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.7 + description: Sie SOLLTEN mit Hilfe des Transport-Management-Systems (TMS) transportiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.8 + description: Berechtigungen SOLLTEN in Berechtigungsrollen (PFCG-Rollen) angelegt, + gespeichert und den Konten zugeordnet werden (rollenbasiertes Berechtigungskonzept). + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.9 + description: Da sich einzelne kritische Aktionen in den Rollen nicht immer vermeiden + lassen, SOLLTEN sie von kompensierenden Kontrollen (mitigation controls) abgedeckt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.10 + description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsvergabe f\xFC\ + r Konten und Berechtigungen beantragen, genehmigen, \xE4ndern und l\xF6schen\ + \ M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.11 + description: "\u2022 Namenskonventionen f\xFCr Konten-Kennungen und technische\ + \ Rollennamen M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.12 + description: "\u2022 Vorschlagswerte und Pr\xFCfkennzeichen SOLLTEN in der Transaktion\ + \ SU24 gepflegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.13 + description: Die Vorgehensweise dazu SOLLTE im Konten- und Berechtigungskonzept + beschrieben sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.14 + description: "\u2022 Gesetzliche und interne Rahmenbedingungen wie die Grunds\xE4\ + tze ordnungsgem\xE4\xDFer Buchf\xFChrung (GoB), das Handelsgesetzbuch (HGB)\ + \ oder interne Vorgaben der Institution M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.15 + description: Das Konten- und Berechtigungskonzept SOLLTE auch den Betrieb technischer + Konten abdecken, also auch die Berechtigung von Hintergrund- und Schnittstellenkonten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.16 + description: "Es SOLLTEN geeignete Kontrollmechanismen angewandt werden, um\ + \ SoD-Konfliktfreiheit von Rollen und die Vergabe von kritischen Berechtigungen\ + \ an Konten zu \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a6 + ref_id: APP.4.2.A6.17 + description: "Werden neben dem ABAP-Backend weitere Komponenten wie SAP HANA\ + \ und SAP NetWeaver Gateway (f\xFCr Fiori-Anwendungen) verwendet, MUSS das\ + \ Design der Berechtigungen zwischen den Komponenten abgestimmt und synchronisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A7 + name: Absicherung der SAP-Datenbanken + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + ref_id: APP.4.2.A7.1 + description: Der Zugriff auf SAP-Datenbanken MUSS abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + ref_id: APP.4.2.A7.2 + description: "Administrierende SOLLTEN m\xF6glichst nur mit SAP-Tools auf die\ + \ Datenbanken zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + ref_id: APP.4.2.A7.3 + description: "Wird dazu Software von fremden Institutionen benutzt, M\xDCSSEN\ + \ zus\xE4tzliche Sicherheitsma\xDFnahmen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + ref_id: APP.4.2.A7.4 + description: "Es DARF dann kein Schema-Konto des SAP Systems f\xFCr die Verbindung\ + \ zur Datenbank genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a7 + ref_id: APP.4.2.A7.5 + description: "Au\xDFerdem M\xDCSSEN Standardpassw\xF6rter ge\xE4ndert und bestimmte\ + \ Datenbanktabellen (z. B. USR* Tabellen) besonders gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A8 + name: Absicherung der SAP-RFC-Schnittstelle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.1 + description: "Zum Schutz der Remote-Function-Call (RFC)-Schnittstelle M\xDC\ + SSEN RFC-Verbindungen, RFC-Berechtigungen und die RFC-Gateways sicher konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.2 + description: "Es M\xDCSSEN f\xFCr alle RFC-Verbindungen einheitliche Verwaltungsrichtlinien\ + \ erstellt und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.3 + description: "Dazu SOLLTEN die ben\xF6tigten RFC-Verbindungen definiert und\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.4 + description: "Verbindungen mit hinterlegtem Passwort SOLLTEN nicht von niedriger\ + \ privilegierten auf h\xF6her privilegierte Systeme (z. B. von Dev nach Prod)\ + \ konfiguriert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.5 + description: "Nicht mehr benutzte RFC-Verbindungen M\xDCSSEN gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.6 + description: "Alle RFC-Gateways M\xDCSSEN sicher administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.7 + description: "Dazu M\xDCSSEN geeignete Profilparameter gesetzt werden, z. B.\ + \ gw/monitor, gw/reg_no_conn_info und snc/permit_insecure_start." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.8 + description: "Alle Verbindungen \xFCber ein Gateway M\xDCSSEN unter dem Sicherheitsaspekt\ + \ analysiert und bewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.9 + description: "Au\xDFerdem MUSS die Protokollierung aktiv sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a8 + ref_id: APP.4.2.A8.10 + description: "Es M\xDCSSEN Zugriffssteuerungslisten (ACLs) definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A9 + name: "Absicherung und \xDCberwachung des Message-Servers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9 + ref_id: APP.4.2.A9.1 + description: Der Message-Server MUSS durch geeignete Einstellungen in den Profilparametern + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9 + ref_id: APP.4.2.A9.2 + description: "Es MUSS unter anderem entschieden werden, ob f\xFCr den internen\ + \ Message-Server noch ACLs aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a9 + ref_id: APP.4.2.A9.3 + description: "Der Message-Server MUSS mithilfe von geeigneten Mechanismen \xFC\ + berwacht werden, damit z. B. Systemausf\xE4lle des Message-Servers schnell\ + \ erkannt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A11 + name: Sichere Installation eines SAP-ERP-Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11 + ref_id: APP.4.2.A11.1 + description: "Bei der Installation eines SAP-ERP-Systems SOLLTEN aktuelle SAP-Sicherheitsleitf\xE4\ + den und - Dokumentationen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11 + ref_id: APP.4.2.A11.2 + description: "Au\xDFerdem SOLLTEN die Sicherheitsrichtlinien der Institution\ + \ eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a11 + ref_id: APP.4.2.A11.3 + description: "Ebenso SOLLTE gew\xE4hrleistet sein, dass das SAP-ERP-System auf\ + \ einem abgesicherten Betriebssystem installiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A12 + name: SAP-Berechtigungsentwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.1 + description: Die technischen Berechtigungen SOLLTEN aufgrund fachlicher Vorgaben + entwickelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.2 + description: Des Weiteren SOLLTEN SAP-Berechtigungen auf dem Entwicklungssystem + der SAP-Landschaft angepasst oder neu erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.3 + description: "Das SOLLTE auch bei S/4HANA die Berechtigungsentwicklung auf HANA-Datenbanken\ + \ mit einschlie\xDFen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.4 + description: Hier SOLLTEN Repository-Rollen aufgebaut und transportiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.5 + description: Datenbankprivilegien SOLLTEN NICHT direkt an Konten vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.6 + description: "Bei Eigenentwicklungen f\xFCr z. B. Transaktionen oder Berechtigungsobjekte\ + \ SOLLTE die Transaktion SU24 gepflegt werden (Zuordnungen von Berechtigungsobjekten\ + \ zu Transaktionen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.7 + description: "Die Gesamtberechtigung * oder Intervalle in Objektauspr\xE4gungen\ + \ SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.8 + description: "Die Berechtigungsentwicklung SOLLTE im Rahmen eines \xC4nderungsmanagements\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.9 + description: "Es SOLLTE sichergestellt sein, dass das Produktivsystem ausreichend\ + \ vor Berechtigungs\xE4nderungen gesch\xFCtzt ist und keine Entwicklerschl\xFC\ + ssel vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a12 + ref_id: APP.4.2.A12.10 + description: "Das Qualit\xE4tssicherungssystem SOLLTE bei der Berechtigungsvergabe\ + \ und erg\xE4nzenden Einstellungen analog zum Produktivsystem betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A13 + name: SAP-Passwortsicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13 + ref_id: APP.4.2.A13.1 + description: "Um eine sichere Anmeldung am SAP-ERP-System zu gew\xE4hrleisten,\ + \ SOLLTEN Profilparameter, Customizing-Schalter oder Sicherheitsrichtlinien\ + \ geeignet eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13 + ref_id: APP.4.2.A13.2 + description: "Die eingesetzten Hash-Algorithmen f\xFCr die gespeicherten Hashwerte\ + \ der Passw\xF6rter in einem SAP-ERP-System SOLLTEN den aktuellen Sicherheitsstandards\ + \ entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a13 + ref_id: APP.4.2.A13.3 + description: "Zugriffe auf Tabellen mit Hashwerten SOLLTEN eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A14 + name: Identifizierung kritischer SAP-Berechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.1 + description: Der Umgang mit kritischen Berechtigungen SOLLTE streng kontrolliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.2 + description: Es SOLLTE darauf geachtet werden, dass diese Berechtigungen, Rollen + und Profile nur restriktiv vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.3 + description: "Dies SOLLTE auch f\xFCr kritische Rollenkombinationen und additive\ + \ Effekte wie z. B. Kreuzberechtigungen sichergestellt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.4 + description: "Kritische Berechtigungen SOLLTEN regelm\xE4\xDFig identifiziert,\ + \ \xFCberpr\xFCft und bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.5 + description: "Die SAP-Profile SAP_ALL und SAP_NEW* sowie das SAP-Berechtigungsobjekt\ + \ S_DEVELOP (mit \xC4nderungsberechtigungen ACTVT 01 und 02) SOLLTEN im Produktivsystem\ + \ nicht vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a14 + ref_id: APP.4.2.A14.6 + description: Notfall-Konten SOLLTEN von dieser Vorgabe ausgeschlossen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A15 + name: Sichere Konfiguration des SAP-Routers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a15 + ref_id: APP.4.2.A15.1 + description: "Der SAP-Router SOLLTE den Zugang zum Netz regeln und die bestehende\ + \ Firewall-Architektur zweckm\xE4\xDFig erg\xE4nzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a15 + ref_id: APP.4.2.A15.2 + description: Auch SOLLTE er den Zugang zum SAP-ERP-System kontrollieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A16 + name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Windows" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.1 + description: Das SAP-ERP-System SOLLTE NICHT auf einem Windows-Domaincontroller + installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.2 + description: Die SAP-spezifischen Konten wie adm oder SAPService + SOLLTEN abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.3 + description: Nach der Installation SOLLTE das Konto gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.4 + description: Das Konto SAPService SOLLTE KEINE Rechte zur interaktiven + Anmeldung besitzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.5 + description: "In Bezug auf diese Berechtigungen SOLLTEN die zum SAP-ERP-System\ + \ dazugeh\xF6rigen Systemressourcen wie Dateien, Prozesse und gemeinsam genutzte\ + \ Speicher gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a16 + ref_id: APP.4.2.A16.6 + description: Die spezifischen Berechtigungen der vom SAP-ERP-System angelegten + Konten Guest, System, SAP system users = adm, SAPService und + Database users = und Benutzendengruppen SOLLTEN + mithilfe geeigneter Einstellungen abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A17 + name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Unix" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17 + ref_id: APP.4.2.A17.1 + description: "F\xFCr die SAP-ERP-Systemverzeichnisse unter Unix SOLLTEN Zugriffsberechtigungen\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17 + ref_id: APP.4.2.A17.2 + description: "Auch SOLLTEN die Passw\xF6rter der systemspezifischen Konten adm\ + \ und ge\xE4ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a17 + ref_id: APP.4.2.A17.3 + description: Nach der Installation SOLLTE das Konto gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A18 + name: Abschaltung von unsicherer Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18 + ref_id: APP.4.2.A18.1 + description: Die Kommunikation mit und zwischen SAP-ERP-Systemen SOLLTE mit + SNC abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18 + ref_id: APP.4.2.A18.2 + description: "Sofern Datenbank und SAP-Applikationsserver auf verschiedenen\ + \ Systemen betrieben werden, SOLLTE die Datenbankverbindung in geeigneter\ + \ Weise verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a18 + ref_id: APP.4.2.A18.3 + description: Die internen Dienste des SAP-Applikationsservers SOLLTEN NUR mittels + TLS miteinander kommunizieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A19 + name: "Definition der Sicherheitsrichtlinien f\xFCr Konten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19 + ref_id: APP.4.2.A19.1 + description: "F\xFCr die jeweiligen Konten und Kontengruppen SOLLTEN spezifische\ + \ Sicherheitsrichtlinien f\xFCr Passw\xF6rter und Anmelderestriktionen erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19 + ref_id: APP.4.2.A19.2 + description: So SOLLTEN beispielsweise Konten mit kritischen Berechtigungen + durch starke Passwortregeln abgesichert sein (Transaktion SECPOL). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a19 + ref_id: APP.4.2.A19.3 + description: "Die Sicherheitsrichtlinien SOLLTEN den Konten korrekt zugeordnet\ + \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A20 + name: Sichere SAP-GUI-Einstellungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a20 + ref_id: APP.4.2.A20.1 + description: "Die SAP GUI SOLLTE auf allen Clients installiert und regelm\xE4\ + \xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a20 + ref_id: APP.4.2.A20.2 + description: Auch SOLLTEN SAP GUI ACLs aktiviert sowie angemessene Administrationsregeln + verteilt und aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A22 + name: Schutz des Spools im SAP-ERP-System + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22 + ref_id: APP.4.2.A22.1 + description: "Es SOLLTE sichergestellt sein, dass auf Daten der sequenziellen\ + \ Datenverarbeitung wie Spool oder Druck nur eingeschr\xE4nkt zugegriffen\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22 + ref_id: APP.4.2.A22.2 + description: "Auch SOLLTE verhindert werden, dass unberechtigte Konten auf die\ + \ vom SAP-Spoolsystem benutzte Datenablage TemSe zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a22 + ref_id: APP.4.2.A22.3 + description: "Die hierf\xFCr vergebenen Berechtigungen SOLLTEN regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A23 + name: Schutz der SAP-Hintergrundverarbeitung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23 + ref_id: APP.4.2.A23.1 + description: "Die SAP-Hintergrundverarbeitung SOLLTE vor unberechtigten Zugriffen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23 + ref_id: APP.4.2.A23.2 + description: "Daf\xFCr SOLLTEN f\xFCr Batch-Jobs verschiedene System-Konten\ + \ nach ihren Funktionsbereichen definiert und angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a23 + ref_id: APP.4.2.A23.3 + description: "Der so genannte Benutzertyp Dialog SOLLTE daf\xFCr grunds\xE4\ + tzlich NICHT zugelassen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A24 + name: Aktivierung und Absicherung des Internet Communication Frameworks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24 + ref_id: APP.4.2.A24.1 + description: Es SOLLTE darauf geachtet werden, dass nur notwendige ICF-Dienste + aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24 + ref_id: APP.4.2.A24.2 + description: Alle ICF-Dienste, die unter einem ICF-Objekt sind, SOLLTEN nur + einzeln aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24 + ref_id: APP.4.2.A24.3 + description: ICF-Berechtigungen SOLLTEN restriktiv vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a24 + ref_id: APP.4.2.A24.4 + description: "Die Kommunikation SOLLTE verschl\xFCsselt erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A25 + name: Sichere Konfiguration des SAP Web Dispatchers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25 + ref_id: APP.4.2.A25.1 + description: Der SAP Web Dispatcher SOLLTE nicht der erste Einstiegspunkt aus + dem Internet zum SAP-ERP-System sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25 + ref_id: APP.4.2.A25.2 + description: Der SAP Web Dispatcher SOLLTE auf dem aktuellen Stand sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a25 + ref_id: APP.4.2.A25.3 + description: Er SOLLTE sicher konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A26 + name: Schutz von selbstentwickeltem Code im SAP-ERP-System + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a26 + ref_id: APP.4.2.A26.1 + description: Es SOLLTE ein Custom-Code-Managementprozess definiert werden, damit + selbstentwickelter Code ausgetauscht oder entfernt wird, falls er durch SAP-Standard-Code + ersetzt werden kann oder er nicht mehr benutzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a26 + ref_id: APP.4.2.A26.2 + description: "Ferner SOLLTEN die Anforderungen aus der Richtlinie f\xFCr die\ + \ Entwicklung von ABAP-Programmen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A27 + name: Audit des SAP-ERP-Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27 + ref_id: APP.4.2.A27.1 + description: "Damit sichergestellt ist, dass alle internen und externen Richtlinien\ + \ sowie Vorgaben eingehalten werden, SOLLTEN alle SAP-ERP-Systeme regelm\xE4\ + \xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27 + ref_id: APP.4.2.A27.2 + description: "Daf\xFCr SOLLTE der Security Optimization Service im SAP Solution\ + \ Manager benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a27 + ref_id: APP.4.2.A27.3 + description: Die Ergebnisse des Audits SOLLTEN ausgewertet und dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A28 + name: Erstellung eines Notfallkonzeptes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.1 + description: "F\xFCr SAP-ERP-Systeme SOLLTE ein Notfallkonzept erstellt und\ + \ betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.2 + description: "Es SOLLTE die Gesch\xE4ftsaktivit\xE4ten absichern und mit den\ + \ Vorgaben aus dem Krisenmanagement oder dem Business-Continuity-Management\ + \ \xFCbereinstimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.3 + description: 'Im Notfallkonzept SOLLTEN folgende Punkte beschrieben und definiert + werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.4 + description: "\u2022 Detektion von und Reaktion auf Zwischenf\xE4lle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.5 + description: "\u2022 Datensicherungs- und Wiederherstellungskonzept sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.6 + description: "\u2022 Notfalladministration." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a28 + ref_id: APP.4.2.A28.7 + description: "Das Notfallkonzept SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A29 + name: Einrichten von Notfall-Konten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29 + ref_id: APP.4.2.A29.1 + description: Es SOLLTEN Notfall-Konten angelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29 + ref_id: APP.4.2.A29.2 + description: Die eingerichteten Konten und Berechtigungen SOLLTEN stark kontrolliert + und genau dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a29 + ref_id: APP.4.2.A29.3 + description: "Au\xDFerdem SOLLTEN alle von Notfall-Konten durchgef\xFChrten\ + \ Aktivit\xE4ten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A30 + name: Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30 + ref_id: APP.4.2.A30.1 + description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob alle Sicherheitseinstellungen\ + \ des SAP-ERP-Systems korrekt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30 + ref_id: APP.4.2.A30.2 + description: "Au\xDFerdem SOLLTE \xFCberwacht werden, ob alle Patches und Updates\ + \ ordnungsgem\xE4\xDF eingespielt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a30 + ref_id: APP.4.2.A30.3 + description: "Das SAP-Monitoring SOLLTE in die allgemeine System\xFCberwachung\ + \ der Institution integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A31 + name: Konfiguration von SAP Single-Sign-On + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31 + ref_id: APP.4.2.A31.1 + description: Sind mehrere SAP-ERP-Systeme vorhanden, SOLLTEN die Benutzenden + auf die Systeme mit SAP Single-Sign-On (SAP SSO) zugreifen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31 + ref_id: APP.4.2.A31.2 + description: Es SOLLTE in der Planungsphase entschieden werden, zwischen welchen + SAP-ERP-Systemen der SSO-Mechanismus benutzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a31 + ref_id: APP.4.2.A31.3 + description: Das SSO SOLLTE sicher konfiguriert und betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2 + ref_id: APP.4.2.A32 + name: "Echtzeiterfassung und Alarmierung von irregul\xE4ren Vorg\xE4ngen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32 + ref_id: APP.4.2.A32.1 + description: "Die wichtigsten Sicherheitsaufzeichnungsfunktionen der SAP-ERP-Systeme\ + \ wie Security Audit Log oder System Log SOLLTEN kontinuierlich \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32 + ref_id: APP.4.2.A32.2 + description: "Bei verd\xE4chtigen Vorg\xE4ngen SOLLTEN automatisch die zust\xE4\ + ndigen Mitarbeitenden alarmiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.2.a32 + ref_id: APP.4.2.A32.3 + description: "Um SAP-spezifische Sicherheitsvorf\xE4lle analysieren und Falschmeldungen\ + \ von echten Sicherheitsvorf\xE4llen abgrenzen zu k\xF6nnen, SOLLTEN entweder\ + \ Mitarbeitende geschult oder entsprechende Serviceleistungen von Drittanbietenden\ + \ genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + assessable: false + depth: 1 + ref_id: APP.4.3 + name: Relationale Datenbanken + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Datenbanksysteme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr Datenbanksysteme erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.2 + description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ + \ sein, wie Datenbanksysteme sicher betrieben werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.3 + description: "Die Richtlinie MUSS allen im Bereich Datenbanksysteme zust\xE4\ + ndigen Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.4 + description: "Sie MUSS grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.5 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.6 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a1 + ref_id: APP.4.3.A1.7 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A3 + name: "Basish\xE4rtung des Datenbankmanagementsystems" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3 + ref_id: APP.4.3.A3.1 + description: "Das Datenbankmanagementsystem MUSS geh\xE4rtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3 + ref_id: APP.4.3.A3.2 + description: "Hierf\xFCr MUSS eine Checkliste mit den durchzuf\xFChrenden Schritten\ + \ zusammengestellt und abgearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3 + ref_id: APP.4.3.A3.3 + description: "Passw\xF6rter D\xDCRFEN NICHT im Klartext gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a3 + ref_id: APP.4.3.A3.4 + description: "Die Basish\xE4rtung MUSS regelm\xE4\xDFig \xFCberpr\xFCft und,\ + \ falls erforderlich, angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A4 + name: Geregeltes Anlegen neuer Datenbanken + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a4 + ref_id: APP.4.3.A4.1 + description: "Neue Datenbanken M\xDCSSEN nach einem definierten Prozess angelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a4 + ref_id: APP.4.3.A4.2 + description: "Wenn eine neue Datenbank angelegt wird, M\xDCSSEN Grundinformationen\ + \ zur Datenbank nachvollziehbar dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A9 + name: Datensicherung eines Datenbanksystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.1 + description: "Es M\xDCSSEN regelm\xE4\xDFig Systemsicherungen des DBMS und der\ + \ Daten durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.2 + description: Auch bevor eine Datenbank neu erzeugt wird, MUSS das Datenbanksystem + gesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.3 + description: "Hierf\xFCr SOLLTEN die daf\xFCr zul\xE4ssigen Dienstprogramme\ + \ benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.4 + description: Alle Transaktionen SOLLTEN so gesichert werden, dass sie jederzeit + wiederherstellbar sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.5 + description: "Wenn die Datensicherung die verf\xFCgbaren Kapazit\xE4ten \xFC\ + bersteigt, SOLLTE ein erweitertes Konzept erstellt werden, um die Datenbank\ + \ zu sichern, z. B. eine inkrementelle Sicherung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a9 + ref_id: APP.4.3.A9.6 + description: "Abh\xE4ngig vom Schutzbedarf der Daten SOLLTEN die Wiederherstellungsparameter\ + \ vorgegeben werden (siehe CON.3 Datensicherungskonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A11 + name: Ausreichende Dimensionierung der Hardware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11 + ref_id: APP.4.3.A11.1 + description: Datenbankmanagementsysteme SOLLTEN auf ausreichend dimensionierter + Hardware installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11 + ref_id: APP.4.3.A11.2 + description: "Die Hardware SOLLTE \xFCber gen\xFCgend Reserven verf\xFCgen,\ + \ um auch eventuell steigenden Anforderungen gerecht zu werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11 + ref_id: APP.4.3.A11.3 + description: "Zeichnen sich trotzdem w\xE4hrend des Betriebs Ressourcenengp\xE4\ + sse ab, SOLLTEN diese fr\xFChzeitig behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a11 + ref_id: APP.4.3.A11.4 + description: "Wenn die Hardware dimensioniert wird, SOLLTE das erwartete Wachstum\ + \ f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A12 + name: Einheitlicher Konfigurationsstandard von Datenbankmanagementsystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12 + ref_id: APP.4.3.A12.1 + description: "F\xFCr alle eingesetzten Datenbankmanagementsysteme SOLLTE ein\ + \ einheitlicher Konfigurationsstandard definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12 + ref_id: APP.4.3.A12.2 + description: Alle Datenbankmanagementsysteme SOLLTEN nach diesem Standard konfiguriert + und einheitlich betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12 + ref_id: APP.4.3.A12.3 + description: Falls es bei einer Installation notwendig ist, vom Konfigurationsstandard + abzuweichen, SOLLTEN alle Schritte von dem oder der ISB freigegeben und nachvollziehbar + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a12 + ref_id: APP.4.3.A12.4 + description: "Der Konfigurationsstandard SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und, falls erforderlich, angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A13 + name: Restriktive Handhabung von Datenbank-Links + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13 + ref_id: APP.4.3.A13.1 + description: "Es SOLLTE sichergestellt sein, dass nur Zust\xE4ndige dazu berechtigt\ + \ sind, Datenbank-Links (DB-Links) anzulegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13 + ref_id: APP.4.3.A13.2 + description: "Werden solche Links angelegt, M\xDCSSEN so genannte Private DB-Links\ + \ vor Public DB-Links bevorzugt angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13 + ref_id: APP.4.3.A13.3 + description: "Alle von den Zust\xE4ndigen angelegten DB-Links SOLLTEN dokumentiert\ + \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a13 + ref_id: APP.4.3.A13.4 + description: "Zudem SOLLTEN DB-Links mitber\xFCcksichtigt werden, wenn das Datenbanksystem\ + \ gesichert wird (siehe APP.4.3.A9 Datensicherung eines Datenbanksystems)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A16 + name: "Verschl\xFCsselung der Datenbankanbindung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a16 + ref_id: APP.4.3.A16.1 + description: "Das Datenbankmanagementsystem SOLLTE so konfiguriert werden, dass\ + \ Datenbankverbindungen immer verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a16 + ref_id: APP.4.3.A16.2 + description: Die dazu eingesetzten kryptografischen Verfahren und Protokolle + SOLLTEN den internen Vorgaben der Institution entsprechen (siehe CON.1 Kryptokonzept). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A17 + name: "Daten\xFCbernahme oder Migration" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a17 + ref_id: APP.4.3.A17.1 + description: "Es SOLLTE vorab definiert werden, wie initial oder regelm\xE4\xDF\ + ig Daten in eine Datenbank \xFCbernommen werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a17 + ref_id: APP.4.3.A17.2 + description: "Nachdem Daten \xFCbernommen wurden, SOLLTE gepr\xFCft werden,\ + \ ob sie vollst\xE4ndig und unver\xE4ndert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A18 + name: "\xDCberwachung des Datenbankmanagementsystems" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.1 + description: "Die f\xFCr den sicheren Betrieb kritischen Parameter, Ereignisse\ + \ und Betriebszust\xE4nde des Datenbankmanagementsystems SOLLTEN definiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.2 + description: "Diese SOLLTEN mithilfe eines Monitoring-Systems \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.3 + description: "F\xFCr alle kritischen Parameter, Ereignisse und Betriebszust\xE4\ + nde SOLLTEN Schwellwerte festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.4 + description: "Wenn diese Werte \xFCberschritten werden, MUSS geeignet reagiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.5 + description: "Hierbei SOLLTEN die zust\xE4ndigen Mitarbeitenden alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a18 + ref_id: APP.4.3.A18.6 + description: "Anwendungsspezifische Parameter, Ereignisse, Betriebszust\xE4\ + nde und deren Schwellwerte SOLLTEN mit den Zust\xE4ndigen f\xFCr die Fachanwendungen\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A19 + name: "Schutz vor sch\xE4dlichen Datenbank-Skripten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19 + ref_id: APP.4.3.A19.1 + description: "Werden Datenbank-Skripte entwickelt, SOLLTEN daf\xFCr verpflichtende\ + \ Qualit\xE4tskriterien definiert werden (siehe CON.8 Software-Entwicklung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19 + ref_id: APP.4.3.A19.2 + description: "Datenbank-Skripte SOLLTEN ausf\xFChrlichen Funktionstests auf\ + \ gesonderten Testsystemen unterzogen werden, bevor sie produktiv eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a19 + ref_id: APP.4.3.A19.3 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A20 + name: "Regelm\xE4\xDFige Audits" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.1 + description: "Bei allen Komponenten des Datenbanksystems SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen umgesetzt\ + \ und diese korrekt konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob der dokumentierte Stand dem\ + \ Ist-Zustand entspricht und ob die Konfiguration des Datenbankmanagementsystems\ + \ der dokumentierten Standardkonfiguration entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.3 + description: "Zudem SOLLTE gepr\xFCft werden, ob alle Datenbank-Skripte ben\xF6\ + tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.4 + description: "Auch SOLLTE gepr\xFCft werden, ob sie dem Qualit\xE4tsstandard\ + \ der Institution gen\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.5 + description: "Zus\xE4tzlich SOLLTEN die Protokolldateien des Datenbanksystems\ + \ und des Betriebssystems nach Auff\xE4lligkeiten untersucht werden (siehe\ + \ DER.1 Detektion von sicherheitsrelevanten Ereignissen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.6 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.7 + description: Sie SOLLTEN mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a20 + ref_id: APP.4.3.A20.8 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A21 + name: Einsatz von Datenbank Security Tools + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.1 + description: "Es SOLLTEN Informationssicherheitsprodukte f\xFCr Datenbanken\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.2 + description: 'Die eingesetzten Produkte SOLLTEN folgende Funktionen bereitstellen:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.3 + description: "\u2022 Erstellung einer \xDCbersicht \xFCber alle Datenbanksysteme," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.4 + description: "\u2022 erweiterte Konfigurationsm\xF6glichkeiten und Rechtemanagement\ + \ der Datenbanken," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.5 + description: "\u2022 Erkennung und Unterbindung von m\xF6glichen Angriffen (z.\ + \ B. Brute Force Angriffe auf Konten, SQL-Injection) und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a21 + ref_id: APP.4.3.A21.6 + description: "\u2022 Auditfunktionen (z. B. \xDCberpr\xFCfung von Konfigurationsvorgaben)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A22 + name: Notfallvorsorge + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + ref_id: APP.4.3.A22.1 + description: "F\xFCr das Datenbankmanagementsystem SOLLTE ein Notfallplan erstellt\ + \ werden, der festlegt, wie ein Notbetrieb realisiert werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + ref_id: APP.4.3.A22.2 + description: "Die f\xFCr den Notfallplan notwendigen Ressourcen SOLLTEN ermittelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + ref_id: APP.4.3.A22.3 + description: "Zus\xE4tzlich SOLLTE der Notfallplan definieren, wie aus dem Notbetrieb\ + \ der Regelbetrieb wiederhergestellt werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + ref_id: APP.4.3.A22.4 + description: "Der Notfallplan SOLLTE die n\xF6tigen Meldewege, Reaktionswege,\ + \ Ressourcen und Reaktionszeiten der Fachverantwortlichen festlegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a22 + ref_id: APP.4.3.A22.5 + description: "Auf Basis eines Koordinationsplans zum Wiederanlauf SOLLTEN alle\ + \ von der Datenbank abh\xE4ngigen IT-Systeme vorab ermittelt und ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A23 + name: Archivierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.1 + description: Ist es erforderlich, Daten eines Datenbanksystems zu archivieren, + SOLLTE ein entsprechendes Archivierungskonzept erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.2 + description: "Es SOLLTE sichergestellt sein, dass die Datenbest\xE4nde zu einem\ + \ sp\xE4teren Zeitpunkt wieder vollst\xE4ndig und konsistent verf\xFCgbar\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.3 + description: Im Archivierungskonzept SOLLTEN sowohl die Intervalle der Archivierung + als auch die Vorhaltefristen der archivierten Daten festgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.4 + description: "Zus\xE4tzlich SOLLTE dokumentiert werden, mit welcher Technik\ + \ die Datenbanken archiviert wurden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.5 + description: "Mit den archivierten Daten SOLLTEN regelm\xE4\xDFig Wiederherstellungstests\ + \ durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a23 + ref_id: APP.4.3.A23.6 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A24 + name: "Datenverschl\xFCsselung in der Datenbank" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.1 + description: "Die Daten in den Datenbanken SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.2 + description: 'Dabei SOLLTEN vorher unter anderem folgende Faktoren betrachtet + werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.3 + description: "\u2022 Einfluss auf die Performance," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.4 + description: "\u2022 Schl\xFCsselverwaltungsprozesse und -verfahren, einschlie\xDF\ + lich separater Schl\xFCsselaufbewahrung und -sicherung," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.5 + description: "\u2022 Einfluss auf Backup-Recovery-Konzepte," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a24 + ref_id: APP.4.3.A24.6 + description: "\u2022 funktionale Auswirkungen auf die Datenbank, beispielsweise\ + \ Sortierm\xF6glichkeiten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3 + ref_id: APP.4.3.A25 + name: "Sicherheitspr\xFCfungen von Datenbanksystemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a25 + ref_id: APP.4.3.A25.1 + description: "Datenbanksysteme SOLLTEN regelm\xE4\xDFig mithilfe von Sicherheitspr\xFC\ + fungen kontrolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.3.a25 + ref_id: APP.4.3.A25.2 + description: "Bei den Sicherheitspr\xFCfungen SOLLTEN die systemischen und spezifischen\ + \ Aspekte des herstellenden Unternehmens der eingesetzten Datenbank-Infrastruktur\ + \ (z. B. Verzeichnisdienste) sowie des eingesetzten Datenbankmanagementsystems\ + \ betrachtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + assessable: false + depth: 1 + ref_id: APP.4.4 + name: Kubernetes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A1 + name: Planung der Separierung der Anwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.1 + description: Vor der Inbetriebnahme MUSS geplant werden, wie die in den Pods + betriebenen Anwendungen und deren unterschiedlichen Test- und Produktions-Betriebsumgebungen + separiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.2 + description: Auf Basis des Schutzbedarfs der Anwendungen MUSS festgelegt werden, + welche Architektur der Namespaces, Meta-Tags, Cluster und Netze angemessen + auf die Risiken eingeht und ob auch virtualisierte Server und Netze zum Einsatz + kommen sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.3 + description: Die Planung MUSS Regelungen zu Netz-, CPU- und Festspeicherseparierung + enthalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.4 + description: Die Separierung SOLLTE auch das Netzzonenkonzept und den Schutzbedarf + beachten und auf diese abgestimmt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.5 + description: Anwendungen SOLLTEN jeweils in einem eigenen Kubernetes-Namespace + laufen, der alle Programme der Anwendung umfasst. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a1 + ref_id: APP.4.4.A1.6 + description: "Nur Anwendungen mit \xE4hnlichem Schutzbedarf und \xE4hnlichen\ + \ m\xF6glichen Angriffsvektoren SOLLTEN einen Kubernetes-Cluster teilen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A2 + name: Planung der Automatisierung mit CI/CD + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2 + ref_id: APP.4.4.A2.1 + description: Wenn eine Automatisierung des Betriebs von Anwendungen in Kubernetes + mithilfe von CI/CD stattfindet, DARF diese NUR nach einer geeigneten Planung + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2 + ref_id: APP.4.4.A2.2 + description: "Die Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ + \ Au\xDFerbetriebnahme inklusive Entwicklung, Tests, Betrieb, \xDCberwachung\ + \ und Updates umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a2 + ref_id: APP.4.4.A2.3 + description: "Das Rollen- und Rechtekonzept sowie die Absicherung von Kubernetes\ + \ Secrets M\xDCSSEN Teil der Planung sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A3 + name: "Identit\xE4ts- und Berechtigungsmanagement bei Kubernetes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.1 + description: "Kubernetes und alle anderen Anwendungen der Control Plane M\xDC\ + SSEN jede Aktion eines Benutzenden oder, im automatisierten Betrieb, einer\ + \ entsprechenden Software authentifizieren und autorisieren, unabh\xE4ngig\ + \ davon, ob die Aktionen \xFCber einen Client, eine Weboberfl\xE4che oder\ + \ \xFCber eine entsprechende Schnittstelle (API) erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.2 + description: "Administrative Handlungen D\xDCRFEN NICHT anonym erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.3 + description: "Benutzende D\xDCRFEN NUR die unbedingt notwendigen Rechte erhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.4 + description: "Berechtigungen ohne Einschr\xE4nkungen M\xDCSSEN sehr restriktiv\ + \ vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.5 + description: Nur ein kleiner Kreis von Personen SOLLTE berechtigt sein, Prozesse + der Automatisierung zu definieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a3 + ref_id: APP.4.4.A3.6 + description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes das\ + \ Recht erhalten, Freigaben f\xFCr Festspeicher (Persistent Volumes) anzulegen\ + \ oder zu \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A4 + name: Separierung von Pods + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a4 + ref_id: APP.4.4.A4.1 + description: "Der Betriebssystem-Kernel der Nodes MUSS \xFCber Isolationsmechanismen\ + \ zur Beschr\xE4nkung von Sichtbarkeit und Ressourcennutzung der Pods untereinander\ + \ verf\xFCgen (vergleiche Linux Namespaces und cgroups)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a4 + ref_id: APP.4.4.A4.2 + description: Die Trennung MUSS dabei mindestens IDs von Prozessen sowie Benutzenden, + Inter-Prozess-Kommunikation, Dateisystem und Netz inklusive Hostname umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A5 + name: Datensicherung im Cluster + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.1 + description: Es MUSS eine Datensicherung des Clusters erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.2 + description: 'Die Datensicherung MUSS umfassen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.3 + description: "\u2022 Festspeicher (Persistent Volumes)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.4 + description: "\u2022 Konfigurationsdateien von Kubernetes und den weiteren Programmen\ + \ der Control Plane," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.5 + description: "\u2022 den aktuellen Zustand des Kubernetes-Clusters inklusive\ + \ der Erweiterungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.6 + description: "\u2022 Datenbanken der Konfiguration, namentlich hier etcd," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.7 + description: "\u2022 alle Infrastrukturanwendungen, die zum Betrieb des Clusters\ + \ und der darin befindlichen Dienste notwendig sind und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.8 + description: "\u2022 die Datenhaltung der Code und Image Registries." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.9 + description: "Es SOLLTEN auch Snapshots f\xFCr den Betrieb der Anwendungen betrachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a5 + ref_id: APP.4.4.A5.10 + description: "Snapshots D\xDCRFEN die Datensicherung NICHT ersetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A6 + name: Initialisierung von Pods + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6 + ref_id: APP.4.4.A6.1 + description: Sofern im Pod zum Start eine Initialisierung z. B. einer Anwendung + erfolgt, SOLLTE diese in einem eigenen Init-Container stattfinden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6 + ref_id: APP.4.4.A6.2 + description: Es SOLLTE sichergestellt sein, dass die Initialisierung alle bereits + laufenden Prozesse beendet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a6 + ref_id: APP.4.4.A6.3 + description: Kubernetes SOLLTE nur bei erfolgreicher Initialisierung die weiteren + Container starten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A7 + name: Separierung der Netze bei Kubernetes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + ref_id: APP.4.4.A7.1 + description: "Die Netze f\xFCr die Administration der Nodes, der Control Plane\ + \ sowie die einzelnen Netze der Anwendungsdienste SOLLTEN separiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + ref_id: APP.4.4.A7.2 + description: "Es SOLLTEN NUR die f\xFCr den Betrieb notwendigen Netzports der\ + \ Pods in die daf\xFCr vorgesehenen Netze freigegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + ref_id: APP.4.4.A7.3 + description: "Bei mehreren Anwendungen auf einem Kubernetes-Cluster SOLLTEN\ + \ zun\xE4chst alle Netzverbindungen zwischen den Kubernetes-Namespaces untersagt\ + \ und nur ben\xF6tigte Netzverbindungen gestattet sein (Whitelisting)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + ref_id: APP.4.4.A7.4 + description: "Die zur Administration der Nodes, der Runtime und von Kubernetes\ + \ inklusive seiner Erweiterungen notwendigen Netzports SOLLTEN NUR aus dem\ + \ Administrationsnetz und von Pods, die diese ben\xF6tigen, erreichbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a7 + ref_id: APP.4.4.A7.5 + description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes berechtigt\ + \ sein, das CNI zu verwalten und Regeln f\xFCr das Netz anzulegen oder zu\ + \ \xE4ndern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A8 + name: Absicherung von Konfigurationsdateien bei Kubernetes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8 + ref_id: APP.4.4.A8.1 + description: Die Konfigurationsdateien des Kubernetes-Clusters, inklusive aller + Erweiterungen und Anwendungen, SOLLTEN versioniert und annotiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8 + ref_id: APP.4.4.A8.2 + description: Zugangsrechte auf die Verwaltungssoftware der Konfigurationsdateien + SOLLTEN minimal vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a8 + ref_id: APP.4.4.A8.3 + description: "Zugriffsrechte f\xFCr lesenden und schreibenden Zugriff auf die\ + \ Konfigurationsdateien der Control Plane SOLLTEN besonders sorgf\xE4ltig\ + \ vergeben und eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A9 + name: Nutzung von Kubernetes Service-Accounts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.1 + description: Pods SOLLTEN NICHT den "default"-Service-Account nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.2 + description: "Dem \"default\"-Service-Account SOLLTEN keine Rechte einger\xE4\ + umt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.3 + description: "Pods f\xFCr unterschiedliche Anwendungen SOLLTEN jeweils unter\ + \ eigenen Service-Accounts laufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.4 + description: "Berechtigungen f\xFCr die Service-Accounts der Pods der Anwendungen\ + \ SOLLTEN auf die unbedingt notwendigen Rechte beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.5 + description: "Pods, die keinen Service-Account ben\xF6tigen, SOLLTEN diesen\ + \ nicht einsehen k\xF6nnen und keinen Zugriff auf entsprechende Token haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.6 + description: "Nur Pods der Control Plane und Pods, die diese unbedingt ben\xF6\ + tigen, SOLLTEN privilegierte Service-Accounts nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a9 + ref_id: APP.4.4.A9.7 + description: "Programme der Automatisierung SOLLTEN jeweils eigene Token erhalten,\ + \ auch wenn sie aufgrund \xE4hnlicher Aufgaben einen gemeinsamen Service-Account\ + \ nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A10 + name: Absicherung von Prozessen der Automatisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a10 + ref_id: APP.4.4.A10.1 + description: Alle Prozesse der Automatisierungssoftware, wie CI/CD und deren + Pipelines, SOLLTEN nur mit unbedingt notwendigen Rechten arbeiten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a10 + ref_id: APP.4.4.A10.2 + description: "Wenn unterschiedliche Gruppen von Benutzenden die Konfiguration\ + \ \xFCber die Automatisierungssoftware ver\xE4ndern oder Pods starten k\xF6\ + nnen, SOLLTE dies f\xFCr jede Gruppe durch eigene Prozesse durchgef\xFChrt\ + \ werden, die nur die f\xFCr die jeweilige Gruppe notwendigen Rechte besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A11 + name: "\xDCberwachung der Container" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + ref_id: APP.4.4.A11.1 + description: "In Pods SOLLTE jeder Container einen Health Check f\xFCr den Start\ + \ und den Betrieb (\u201Ereadiness\u201C und \u201Eliveness\u201C) definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + ref_id: APP.4.4.A11.2 + description: "Diese Checks SOLLTEN Auskunft \xFCber die Verf\xFCgbarkeit der\ + \ im Pod ausgef\xFChrten Software geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + ref_id: APP.4.4.A11.3 + description: "Die Checks SOLLTEN fehlschlagen, wenn die \xFCberwachte Software\ + \ ihre Aufgaben nicht ordnungsgem\xE4\xDF wahrnehmen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + ref_id: APP.4.4.A11.4 + description: "F\xFCr jede dieser Kontrollen SOLLTE eine dem im Pod betriebenen\ + \ Dienst angemessene Zeitspanne definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a11 + ref_id: APP.4.4.A11.5 + description: "Auf Basis dieser Checks SOLLTE Kubernetes die Pods l\xF6schen\ + \ oder neu starten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A12 + name: Absicherung der Infrastruktur-Anwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.1 + description: "Sofern eine eigene Registry f\xFCr Images oder eine Software zur\ + \ Automatisierung, zur Verwaltung des Festspeichers, zur Speicherung von Konfigurationsdateien\ + \ oder \xE4hnliches im Einsatz ist, SOLLTE deren Absicherung mindestens betrachten:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.2 + description: "\u2022 Verwendung von personenbezogenen und Service-Accounts f\xFC\ + r den Zugang," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.3 + description: "\u2022 verschl\xFCsselte Kommunikation auf allen Netzports," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.4 + description: "\u2022 minimale Vergabe der Berechtigungen an Benutzende und Service\ + \ Accounts," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.5 + description: "\u2022 Protokollierung der Ver\xE4nderungen und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a12 + ref_id: APP.4.4.A12.6 + description: "\u2022 regelm\xE4\xDFige Datensicherung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A13 + name: Automatisierte Auditierung der Konfiguration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a13 + ref_id: APP.4.4.A13.1 + description: Es SOLLTE ein automatisches Audit der Einstellungen der Nodes, + von Kubernetes und der Pods der Anwendungen gegen eine definierte Liste der + erlaubten Einstellungen und gegen standardisierte Benchmarks erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a13 + ref_id: APP.4.4.A13.2 + description: Kubernetes SOLLTE die aufgestellten Regeln im Cluster durch Anbindung + geeigneter Werkzeuge durchsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A14 + name: Verwendung dedizierter Nodes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14 + ref_id: APP.4.4.A14.1 + description: In einem Kubernetes-Cluster SOLLTEN die Nodes dedizierte Aufgaben + zugewiesen bekommen und jeweils nur Pods betreiben, welche der jeweiligen + Aufgabe zugeordnet sind. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14 + ref_id: APP.4.4.A14.2 + description: "Bastion Nodes SOLLTEN alle ein- und ausgehenden Datenverbindungen\ + \ der Anwendungen zu anderen Netzen \xFCbernehmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14 + ref_id: APP.4.4.A14.3 + description: "Management Nodes SOLLTEN die Pods der Control Plane betreiben\ + \ und sie SOLLTEN nur die Datenverbindungen der Control Plane \xFCbernehmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a14 + ref_id: APP.4.4.A14.4 + description: Sofern eingesetzt, SOLLTEN Speicher-Nodes nur die Pods der Festspeicherdienste + im Cluster betreiben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A15 + name: Trennung von Anwendungen auf Node- und Cluster-Ebene + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a15 + ref_id: APP.4.4.A15.1 + description: "Anwendungen mit einem sehr hohen Schutzbedarf SOLLTEN jeweils\ + \ eigene Kubernetes-Cluster oder dedizierte Nodes nutzen, die nicht f\xFC\ + r andere Anwendungen bereitstehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A16 + name: Verwendung von Operatoren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a16 + ref_id: APP.4.4.A16.1 + description: Die Automatisierung von Betriebsaufgaben in Operatoren SOLLTE bei + besonders kritischen Anwendungen und den Programmen der Control Plane zum + Einsatz kommen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A17 + name: Attestierung von Nodes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a17 + ref_id: APP.4.4.A17.1 + description: "Nodes SOLLTEN eine kryptografisch und m\xF6glichst mit einem TPM\ + \ verifizierte gesicherte Zustandsmeldung an die Control Plane senden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a17 + ref_id: APP.4.4.A17.2 + description: Die Control Plane SOLLTE nur Nodes in den Cluster aufnehmen, die + erfolgreich ihre Unversehrtheit nachweisen konnten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A18 + name: Verwendung von Mikro-Segmentierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18 + ref_id: APP.4.4.A18.1 + description: "Die Pods SOLLTEN auch innerhalb eines Kubernetes-Namespace nur\ + \ \xFCber die notwendigen Netzports miteinander kommunizieren k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18 + ref_id: APP.4.4.A18.2 + description: "Es SOLLTEN Regeln innerhalb des CNI existieren, die alle bis auf\ + \ die f\xFCr den Betrieb notwendigen Netzverbindungen innerhalb des Kubernetes-Namespace\ + \ unterbinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18 + ref_id: APP.4.4.A18.3 + description: "Diese Regeln SOLLTEN Quelle und Ziel der Verbindungen genau definieren\ + \ und daf\xFCr mindestens eines der folgenden Kriterien nutzen: Service-Name,\ + \ Metadaten (\u201ELabels\"), die Kubernetes Service Accounts oder zertifikatsbasierte\ + \ Authentifizierung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a18 + ref_id: APP.4.4.A18.4 + description: "Alle Kriterien, die als Bezeichnung f\xFCr diese Verbindung dienen,\ + \ SOLLTEN so abgesichert sein, dass sie nur von berechtigten Personen und\ + \ Verwaltungs-Diensten ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A19 + name: "Hochverf\xFCgbarkeit von Kubernetes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19 + ref_id: APP.4.4.A19.1 + description: "Der Betrieb SOLLTE so aufgebaut sein, dass bei Ausfall eines Standortes\ + \ die Cluster und damit die Anwendungen in den Pods entweder ohne Unterbrechung\ + \ weiterlaufen oder in kurzer Zeit an einem anderen Standort neu anlaufen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19 + ref_id: APP.4.4.A19.2 + description: "F\xFCr den Wiederanlauf SOLLTEN alle notwendigen Konfigurationsdateien,\ + \ Images, Nutzdaten, Netzverbindungen und sonstige f\xFCr den Betrieb ben\xF6\ + tigten Ressourcen inklusive der zum Betrieb n\xF6tigen Hardware bereits an\ + \ diesem Standort verf\xFCgbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a19 + ref_id: APP.4.4.A19.3 + description: "F\xFCr den unterbrechungsfreien Betrieb des Clusters SOLLTEN die\ + \ Control Plane von Kubernetes, die Infrastruktur-Anwendungen der Cluster\ + \ sowie die Pods der Anwendungen anhand von Standort-Daten der Nodes \xFC\ + ber mehrere Brandabschnitte so verteilt werden, dass der Ausfall eines Brandabschnitts\ + \ nicht zum Ausfall der Anwendung f\xFChrt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A20 + name: "Verschl\xFCsselte Datenhaltung bei Pods" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a20 + ref_id: APP.4.4.A20.1 + description: "Die Dateisysteme mit den persistenten Daten der Control Plane\ + \ (hier besonders etcd) und der Anwendungsdienste SOLLTEN verschl\xFCsselt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4 + ref_id: APP.4.4.A21 + name: "Regelm\xE4\xDFiger Restart von Pods" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21 + ref_id: APP.4.4.A21.1 + description: "Bei einem erh\xF6hten Risiko f\xFCr Fremdeinwirkung und einem\ + \ sehr hohen Schutzbedarf SOLLTEN Pods regelm\xE4\xDFig gestoppt und neu gestartet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21 + ref_id: APP.4.4.A21.2 + description: "Kein Pod SOLLTE l\xE4nger als 24 Stunden laufen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.4.a21 + ref_id: APP.4.4.A21.3 + description: "Dabei SOLLTE die Verf\xFCgbarkeit der Anwendungen im Pod sichergestellt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + assessable: false + depth: 1 + ref_id: APP.4.6 + name: SAP ABAP-Programmierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A1 + name: "Absicherung von Reports mit Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a1 + ref_id: APP.4.6.A1.1 + description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen selbst\ + \ programmierte Auswertungen (Reports) starten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a1 + ref_id: APP.4.6.A1.2 + description: "Deswegen MUSS jeder Report explizite, zum Kontext passende Berechtigungspr\xFC\ + fungen durchf\xFChren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A2 + name: "Formal korrekte Auswertung von Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a2 + ref_id: APP.4.6.A2.1 + description: "Jede Berechtigungspr\xFCfung im Code MUSS durch Abfrage des R\xFC\ + ckgabewertes SY-SUBRC ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A3 + name: "Berechtigungspr\xFCfung vor dem Start einer Transaktion" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a3 + ref_id: APP.4.6.A3.1 + description: "Wenn Entwickelnde den Befehl CALL TRANSACTION verwenden, MUSS\ + \ vorher immer eine Startberechtigungspr\xFCfung durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A4 + name: "Verzicht auf propriet\xE4re Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a4 + ref_id: APP.4.6.A4.1 + description: "Jede Berechtigungspr\xFCfung MUSS technisch \xFCber den daf\xFC\ + r vorgesehenen Befehl AUTHORITY-CHECK erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a4 + ref_id: APP.4.6.A4.2 + description: "Propriet\xE4re Berechtigungspr\xFCfungen, z. B. basierend auf\ + \ Konto-Kennungen, D\xDCRFEN NICHT benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A5 + name: "Erstellung einer Richtlinie f\xFCr die ABAP-Entwicklung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5 + ref_id: APP.4.6.A5.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Entwicklung von ABAP-Programmen\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5 + ref_id: APP.4.6.A5.2 + description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ + \ ABAP-Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFC\ + rfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5 + ref_id: APP.4.6.A5.3 + description: Die Anforderungen aus diesem Baustein SOLLTEN in die Richtlinie + aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a5 + ref_id: APP.4.6.A5.4 + description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A6 + name: "Vollst\xE4ndige Ausf\xFChrung von Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6 + ref_id: APP.4.6.A6.1 + description: "Bei einer Berechtigungspr\xFCfung im ABAP-Code (AUTHORITY-CHECK\ + \ ) SOLLTE sichergestellt sein, dass alle Felder des relevanten Berechtigungsobjekts\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6 + ref_id: APP.4.6.A6.2 + description: "Wenn einzelne Felder tats\xE4chlich nicht ben\xF6tigt werden,\ + \ SOLLTEN sie als DUMMY gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a6 + ref_id: APP.4.6.A6.3 + description: "Zus\xE4tzlich SOLLTE am Feld der Grund f\xFCr die Ausnahme dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A7 + name: "Berechtigungspr\xFCfung w\xE4hrend der Eingabeverarbeitung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7 + ref_id: APP.4.6.A7.1 + description: Funktionscodes und Bildschirmelemente von ABAP-Dynpro-Anwendungen + SOLLTEN konsistent sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7 + ref_id: APP.4.6.A7.2 + description: "Wenn ein Bildschirmelement abgeschaltet wurde, dann SOLLTE eine\ + \ Anwendung NICHT ohne ad\xE4quate Berechtigungspr\xFCfungen auf Ereignisse\ + \ dieses Elements reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a7 + ref_id: APP.4.6.A7.3 + description: "Wenn bestimmte Eintr\xE4ge eines Dynpro-Men\xFCs ausgeblendet\ + \ oder einzelne Schaltfl\xE4chen deaktiviert werden, dann SOLLTEN auch die\ + \ zugeh\xF6rigen Funktionscodes nicht ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A8 + name: Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a8 + ref_id: APP.4.6.A8.1 + description: "Wenn Zugriffe auf Dateien des SAP-Servers von Eingaben der Benutzenden\ + \ abh\xE4ngen, SOLLTEN diese Eingaben vor dem Zugriff validiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A9 + name: "Berechtigungspr\xFCfung in remote-f\xE4higen Funktionsbausteinen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a9 + ref_id: APP.4.6.A9.1 + description: "Es SOLLTE sichergestellt werden, dass alle remote-f\xE4higen Funktionsbausteine\ + \ im Programmcode explizit pr\xFCfen, ob der Aufrufende berechtigt ist, die\ + \ zugeh\xF6rige Businesslogik auszuf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A10 + name: "Verhinderung der Ausf\xFChrung von Betriebssystemkommandos" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10 + ref_id: APP.4.6.A10.1 + description: "Jedem Aufruf eines erlaubten Betriebssystemkommandos SOLLTE eine\ + \ entsprechende Berechtigungspr\xFCfung (Berechtigungsobjekt S_LOG_COM) vorangestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10 + ref_id: APP.4.6.A10.2 + description: Eingaben von Benutzenden SOLLTEN NICHT Teil eines Kommandos sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a10 + ref_id: APP.4.6.A10.3 + description: "Deswegen SOLLTEN Betriebssystemaufrufe ausschlie\xDFlich \xFC\ + ber daf\xFCr vorgesehene SAP-Standardfunktionsbausteine ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A11 + name: Vermeidung von eingeschleustem Schadcode + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a11 + ref_id: APP.4.6.A11.1 + description: Die ABAP-Befehle INSERT REPORT und GENERATE SUBROUTINE POOL SOLLTEN + NICHT verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A12 + name: "Vermeidung von generischer Modulausf\xFChrung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12 + ref_id: APP.4.6.A12.1 + description: "Transaktionen, Programme, Funktionsbausteine und Methoden SOLLTEN\ + \ NICHT generisch ausf\xFChrbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12 + ref_id: APP.4.6.A12.2 + description: "Sollte es wichtige Gr\xFCnde f\xFCr eine generische Ausf\xFChrung\ + \ geben, SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12 + ref_id: APP.4.6.A12.3 + description: "Zus\xE4tzlich SOLLTE eine Allowlist definiert werden, die alle\ + \ erlaubten Module enth\xE4lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a12 + ref_id: APP.4.6.A12.4 + description: Bevor ein Modul aufgerufen wird, SOLLTE die Eingabe von Benutzenden + mit der Allowlist abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A13 + name: Vermeidung von generischem Zugriff auf Tabelleninhalte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13 + ref_id: APP.4.6.A13.1 + description: Tabelleninhalte SOLLTEN NICHT generisch ausgelesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13 + ref_id: APP.4.6.A13.2 + description: "Sollte es wichtige Gr\xFCnde daf\xFCr geben, dies doch zu tun,\ + \ SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a13 + ref_id: APP.4.6.A13.3 + description: "Au\xDFerdem SOLLTE dann gew\xE4hrleistet sein, dass sich der dynamische\ + \ Tabellenname auf eine kontrollierbare Liste von Werten beschr\xE4nkt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A14 + name: Vermeidung von nativen SQL-Anweisungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a14 + ref_id: APP.4.6.A14.1 + description: Die Schnittstelle ABAP Database Connectivity (ADBC) SOLLTE NICHT + verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a14 + ref_id: APP.4.6.A14.2 + description: Eingaben von Benutzenden SOLLTEN NICHT Teil von ADBC-Befehlen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A15 + name: Vermeidung von Datenlecks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a15 + ref_id: APP.4.6.A15.1 + description: "Es SOLLTE eine ausreichend sichere Berechtigungspr\xFCfung durchgef\xFC\ + hrt werden, bevor gesch\xE4ftskritische Daten angezeigt, \xFCbermittelt oder\ + \ exportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a15 + ref_id: APP.4.6.A15.2 + description: "Vorgesehene (gewollte) M\xF6glichkeiten des Exports SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A16 + name: "Verzicht auf systemabh\xE4ngige Funktionsausf\xFChrung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16 + ref_id: APP.4.6.A16.1 + description: "ABAP-Programme SOLLTEN NICHT systemabh\xE4ngig programmiert werden,\ + \ so dass sie nur auf einem bestimmten SAP-System ausgef\xFChrt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16 + ref_id: APP.4.6.A16.2 + description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a16 + ref_id: APP.4.6.A16.3 + description: "Au\xDFerdem SOLLTE der Code dann manuell \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A17 + name: "Verzicht auf mandantenabh\xE4ngige Funktionsausf\xFChrung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17 + ref_id: APP.4.6.A17.1 + description: "ABAP-Programme SOLLTEN NICHT mandantenabh\xE4ngig programmiert\ + \ werden, so dass sie nur von einem bestimmten Mandanten ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17 + ref_id: APP.4.6.A17.2 + description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a17 + ref_id: APP.4.6.A17.3 + description: "Au\xDFerdem SOLLTEN dann zus\xE4tzliche Sicherheitsma\xDFnahmen\ + \ ergriffen werden, wie beispielsweise eine manuelle Code-\xDCberpr\xFCfung\ + \ (manuelles Code-Review) oder eine Qualit\xE4tssicherung auf dem entsprechenden\ + \ Mandanten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A18 + name: Vermeidung von Open-SQL-Injection-Schwachstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18 + ref_id: APP.4.6.A18.1 + description: Dynamisches Open SQL SOLLTE NICHT verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18 + ref_id: APP.4.6.A18.2 + description: "Falls Datenbankzugriffe mit dynamischen SQL-Bedingungen notwendig\ + \ sind, SOLLTEN KEINE Eingaben von Benutzenden in der jeweiligen Abfrage \xFC\ + bertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a18 + ref_id: APP.4.6.A18.3 + description: "Wenn das dennoch der Fall ist, SOLLTEN die Eingaben von Benutzenden\ + \ zwingend gepr\xFCft werden (Output Encoding)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A19 + name: Schutz vor Cross-Site-Scripting + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a19 + ref_id: APP.4.6.A19.1 + description: "Auf selbst entwickeltes HTML in Business-Server-Pages-(BSP)-Anwendungen\ + \ oder HTTP-Handlern SOLLTE m\xF6glichst verzichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A20 + name: Keine Zugriffe auf Daten eines anderen Mandanten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a20 + ref_id: APP.4.6.A20.1 + description: Die automatische Mandantentrennung SOLLTE NICHT umgangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a20 + ref_id: APP.4.6.A20.2 + description: Auf Daten anderer Mandanten SOLLTE NICHT mittels EXEC SQL oder + der Open SQL Option CLIENT SPECIFIED zugegriffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A21 + name: Verbot von verstecktem ABAP-Quelltext + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a21 + ref_id: APP.4.6.A21.1 + description: Der Quelltext eines selbst erstellten ABAP-Programms SOLLTE immer + lesbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a21 + ref_id: APP.4.6.A21.2 + description: Techniken, die das verhindern (Obfuskation), SOLLTEN NICHT verwendet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6 + ref_id: APP.4.6.A22 + name: Einsatz von ABAP-Codeanalyse Werkzeugen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.4.6.a22 + ref_id: APP.4.6.A22.1 + description: "Zur automatisierten \xDCberpr\xFCfung von ABAP-Code auf sicherheitsrelevante\ + \ Programmierfehler, funktionale und technische Fehler sowie auf qualitative\ + \ Schwachstellen SOLLTE ein ABAP-Codeanalyse-Werkzeug eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + assessable: false + depth: 1 + ref_id: APP.5.2 + name: Microsoft Exchange und Outlook + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A1 + name: Planung des Einsatzes von Exchange und Outlook + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.1 + description: "Bevor Exchange und Outlook eingesetzt werden, MUSS die Institution\ + \ deren Einsatz sorgf\xE4ltig planen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.2 + description: 'Dabei MUSS sie mindestens folgende Punkte beachten:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.3 + description: "\u2022 Aufbau der E-Mail-Infrastruktur," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.4 + description: "\u2022 einzubindende Clients beziehungsweise Server," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.5 + description: "\u2022 Nutzung von funktionalen Erweiterungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a1 + ref_id: APP.5.2.A1.6 + description: "\u2022 die zu verwendenden Protokolle." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A2 + name: Auswahl einer geeigneten Exchange-Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a2 + ref_id: APP.5.2.A2.1 + description: Der IT-Betrieb MUSS auf Basis der Planung des Einsatzes von Exchange + entscheiden, mit welchen IT-Systemen und Anwendungskomponenten sowie in welcher + hierarchischen Abstufung die Exchange-Infrastruktur realisiert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a2 + ref_id: APP.5.2.A2.2 + description: Im Rahmen der Auswahl MUSS auch entschieden werden, ob die Exchange-Systeme + als Cloud- oder lokaler Dienst betrieben werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A3 + name: Berechtigungsmanagement und Zugriffsrechte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3 + ref_id: APP.5.2.A3.1 + description: "Zus\xE4tzlich zum allgemeinen Berechtigungskonzept MUSS die Institution\ + \ ein Berichtigungskonzept f\xFCr die Systeme der Exchange-Infrastruktur erstellen,\ + \ geeignet dokumentieren und anwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3 + ref_id: APP.5.2.A3.2 + description: "Der IT-Betrieb MUSS serverseitige Benutzendenprofile f\xFCr einen\ + \ rechnerunabh\xE4ngigen Zugriff der Benutzenden auf Exchange-Daten verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a3 + ref_id: APP.5.2.A3.3 + description: "Er MUSS die Standard-NTFS-Berechtigungen f\xFCr das Exchange-Verzeichnis\ + \ so anpassen, dass nur autorisierte Administrierende und Systemkonten auf\ + \ die Daten in diesem Verzeichnis zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A5 + name: Datensicherung von Exchange + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5 + ref_id: APP.5.2.A5.1 + description: "Exchange-Server M\xDCSSEN vor Installationen und Konfigurations\xE4\ + nderungen sowie in zyklischen Abst\xE4nden gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5 + ref_id: APP.5.2.A5.2 + description: "Dabei M\xDCSSEN insbesondere die Exchange-Server-Datenbanken gesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a5 + ref_id: APP.5.2.A5.3 + description: "Gel\xF6schte Exchange-Objekte SOLLTEN erst nach einiger Zeit aus\ + \ der Datenbank entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A7 + name: Migration von Exchange-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7 + ref_id: APP.5.2.A7.1 + description: "Der IT-Betrieb SOLLTE alle Migrationsschritte gr\xFCndlich planen\ + \ und dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7 + ref_id: APP.5.2.A7.2 + description: "Der IT-Betrieb SOLLTE dabei Postf\xE4cher, Objekte, Sicherheitsrichtlinien,\ + \ Active-Directory-Konzepte sowie die Anbindung an andere E-Mail-Systeme ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7 + ref_id: APP.5.2.A7.3 + description: "Au\xDFerdem SOLLTE er Funktionsunterschiede zwischen verschiedenen\ + \ Versionen von Exchange beachten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a7 + ref_id: APP.5.2.A7.4 + description: "Das neue Exchange-System SOLLTE, bevor es installiert wird, in\ + \ einem separaten Testnetz gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A9 + name: Sichere Konfiguration von Exchange-Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + ref_id: APP.5.2.A9.1 + description: Der IT-Betrieb SOLLTE Exchange-Server entsprechend der Vorgaben + aus der Sicherheitsrichtlinie installieren und konfigurieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + ref_id: APP.5.2.A9.2 + description: Konnektoren SOLLTEN sicher konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + ref_id: APP.5.2.A9.3 + description: Der IT-Betrieb SOLLTE die Protokollierung des Exchange-Systems + aktivieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + ref_id: APP.5.2.A9.4 + description: "F\xFCr vorhandene benutzendenspezifische Anpassungen SOLLTE ein\ + \ entsprechendes Konzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a9 + ref_id: APP.5.2.A9.5 + description: "Bei der Verwendung von funktionalen Erweiterungen SOLLTE sichergestellt\ + \ sein, dass die definierten Anforderungen an die Schutzziele Vertraulichkeit,\ + \ Integrit\xE4t und Verf\xFCgbarkeit weiterhin erf\xFCllt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A10 + name: Sichere Konfiguration von Outlook + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10 + ref_id: APP.5.2.A10.1 + description: "Der IT-Betrieb SOLLTE f\xFCr jeden Benutzenden ein eigenes Outlook-Profil\ + \ mit benutzendenspezifischen Einstellungen anlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10 + ref_id: APP.5.2.A10.2 + description: "Der IT-Betrieb SOLLTE Outlook so konfigurieren, dass nur notwendige\ + \ Informationen an andere Benutzende \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10 + ref_id: APP.5.2.A10.3 + description: "Der IT-Betrieb SOLLTE die Benutzenden dar\xFCber informieren,\ + \ welche Informationen automatisiert an andere Benutzende \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a10 + ref_id: APP.5.2.A10.4 + description: "Lesebest\xE4tigungen und Informationen, die auf die interne Struktur\ + \ der Institution schlie\xDFen lassen, SOLLTEN NICHT an Externe \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A11 + name: Absicherung der Kommunikation zwischen Exchange-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.1 + description: Der IT-Betrieb SOLLTE nachvollziehbar entscheiden, mit welchen + Schutzmechanismen die Kommunikation zwischen Exchange-Systemen abgesichert + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.2 + description: 'Insbesondere SOLLTE der IT-Betrieb festlegen, wie die Kommunikation + zu folgenden Schnittstellen abgesichert wird:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.3 + description: "\u2022 Administrationsschnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.4 + description: "\u2022 Client-Server-Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.5 + description: "\u2022 vorhandene Web-based-Distributed-Authoring-and-Versioning-(WebDAV)-Schnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.6 + description: "\u2022 Server-Server-Kommunikation und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a11 + ref_id: APP.5.2.A11.7 + description: "\u2022 Public-Key-Infrastruktur, auf der die E-Mail-Verschl\xFC\ + sselung von Outlook basiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A12 + name: Einsatz von Outlook Anywhere, MAPI over HTTP und Outlook im Web + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a12 + ref_id: APP.5.2.A12.1 + description: Der IT-Betrieb SOLLTE Outlook Anywhere, MAPI over HTTP und Outlook + im Web entsprechend den Sicherheitsanforderungen der Institution konfigurieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a12 + ref_id: APP.5.2.A12.2 + description: "Der Zugriff auf Exchange \xFCber das Internet SOLLTE auf die notwendigen\ + \ Benutzenden beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2 + ref_id: APP.5.2.A17 + name: "Verschl\xFCsselung von Exchange-Datenbankdateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.1 + description: "Der IT-Betrieb SOLLTE ein Konzept f\xFCr die Verschl\xFCsselung\ + \ von PST-Dateien und Informationsspeicher-Dateien erstellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.2 + description: "Die Institution SOLLTE die Benutzenden \xFCber die Funktionsweise\ + \ und die Schutzmechanismen bei der Verschl\xFCsselung von PST-Dateien informieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.3 + description: "Weitere Aspekte f\xFCr lokale PST-Dateien, die ber\xFCcksichtigt\ + \ werden SOLLTEN, wenn Exchange-Systemdatenbanken verschl\xFCsselt werden,\ + \ sind:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.4 + description: "\u2022 eigene Verschl\xFCsselungsfunktionen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.5 + description: "\u2022 Verschl\xFCsselungsgrade sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.6 + description: "\u2022 Mechanismen zur Absicherung der Daten in einer PST-Datei." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.2.a17 + ref_id: APP.5.2.A17.7 + description: "Mechanismen wie z. B. Encrypting File System oder Windows BitLocker\ + \ Laufwerkverschl\xFCsselung SOLLTEN zur Absicherung der PST-Dateien genutzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + assessable: false + depth: 1 + ref_id: APP.5.3 + name: Allgemeiner E-Mail-Client und -Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A1 + name: Sichere Konfiguration der E-Mail-Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.1 + description: "Die Institution MUSS eine sichere Konfiguration f\xFCr die E-Mail-Clients\ + \ vorgeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.2 + description: "Die E-Mail-Clients M\xDCSSEN den Benutzenden vorkonfiguriert zur\ + \ Verf\xFCgung gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.3 + description: "Die Institution SOLLTE sicherstellen, dass sicherheitsrelevante\ + \ Teile der Konfiguration nicht von Benutzenden ge\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.4 + description: "Ist dies nicht m\xF6glich, MUSS die Institution darauf hinweisen,\ + \ dass die Konfiguration nicht selbstst\xE4ndig ge\xE4ndert werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.5 + description: "Bevor Dateianh\xE4nge aus E-Mails ge\xF6ffnet werden, M\xDCSSEN\ + \ sie auf Schadsoftware \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.6 + description: "Die Dateianh\xE4nge M\xDCSSEN auf dem Client oder auf dem E-Mail-Server\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.7 + description: "E-Mail-Clients M\xDCSSEN so konfiguriert werden, dass sie eventuell\ + \ vorhandenen HTML-Code und andere aktive Inhalte in E-Mails nicht automatisch\ + \ interpretieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.8 + description: "Vorschaufunktionen f\xFCr Datei-Anh\xE4nge M\xDCSSEN so konfiguriert\ + \ werden, dass sie Dateien nicht automatisch interpretieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.9 + description: "E-Mail-Filterregeln sowie die automatische Weiterleitung von E-Mails\ + \ M\xDCSSEN auf notwendige Anwendungsf\xE4lle beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a1 + ref_id: APP.5.3.A1.10 + description: "E-Mail-Clients M\xDCSSEN f\xFCr die Kommunikation mit E-Mail-Servern\ + \ \xFCber nicht vertrauensw\xFCrdige Netze eine sichere Transportverschl\xFC\ + sselung einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A2 + name: Sicherer Betrieb von E-Mail-Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.1 + description: "F\xFCr den E-Mail-Empfang \xFCber nicht vertrauensw\xFCrdige Netze\ + \ M\xDCSSEN E-Mail-Server eine sichere Transportverschl\xFCsselung anbieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.2 + description: "Der Empfang von E-Mails \xFCber unverschl\xFCsselte Verbindungen\ + \ SOLLTE deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.3 + description: "Versenden E-Mail-Server von sich aus E-Mails an andere E-Mail-Server,\ + \ SOLLTEN sie eine sichere Transportverschl\xFCsselung nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.4 + description: "Der IT-Betrieb SOLLTE den E-Mail-Versand durch unsichere Netze\ + \ \xFCber unverschl\xFCsselte Verbindungen deaktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.5 + description: "Der IT-Betrieb MUSS den E-Mail-Server so konfigurieren, dass E-Mail-Clients\ + \ nur \xFCber eine sichere Transportverschl\xFCsselung auf Postf\xE4cher zugreifen\ + \ k\xF6nnen, wenn dies \xFCber nicht vertrauensw\xFCrdige Netze passiert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.6 + description: Die Institution MUSS alle erlaubten E-Mail-Protokolle und Dienste + festlegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.7 + description: Der IT-Betrieb MUSS Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken + ergreifen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.8 + description: "Werden Nachrichten auf einem E-Mail-Server gespeichert, MUSS der\ + \ IT-Betrieb eine geeignete Gr\xF6\xDFenbeschr\xE4nkung f\xFCr das serverseitige\ + \ Postfach einrichten und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a2 + ref_id: APP.5.3.A2.9 + description: "Au\xDFerdem MUSS der IT-Betrieb den E-Mail-Server so einstellen,\ + \ dass er nicht als Spam-Relay missbraucht werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A3 + name: Datensicherung und Archivierung von E-Mails + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3 + ref_id: APP.5.3.A3.1 + description: "Der IT-Betrieb MUSS die Daten der E-Mail-Server und -Clients regelm\xE4\ + \xDFig sichern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3 + ref_id: APP.5.3.A3.2 + description: "Daf\xFCr MUSS die Institution regeln, wie die gesendeten und empfangenen\ + \ E-Mails der E-Mail-Clients sowie die E-Mails auf den Servern gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a3 + ref_id: APP.5.3.A3.3 + description: "Die Institution SOLLTE ebenfalls bei der Archivierung beachten,\ + \ dass E-Mails m\xF6glicherweise nur lokal auf Clients gespeichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A4 + name: Spam- und Virenschutz auf dem E-Mail-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4 + ref_id: APP.5.3.A4.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass auf E-Mail-Servern eingehende\ + \ und ausgehende E-Mails, insbesondere deren Anh\xE4nge, auf Spam-Merkmale\ + \ und sch\xE4dliche Inhalte \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4 + ref_id: APP.5.3.A4.2 + description: "Die Einf\xFChrung und Nutzung von E-Mail-Filterprogrammen MUSS\ + \ mit den Datenschutzbeauftragten und der Personalvertretung abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a4 + ref_id: APP.5.3.A4.3 + description: "Die Institution MUSS festlegen, wie mit verschl\xFCsselten E-Mails\ + \ zu verfahren ist, wenn diese nicht durch das Virenschutzprogramm entschl\xFC\ + sselt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A5 + name: Festlegung von Vertretungsregelungen bei E-Mail-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + ref_id: APP.5.3.A5.1 + description: "Die Institution SOLLTE Vertretungsregelungen f\xFCr die Bearbeitung\ + \ von E-Mails festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + ref_id: APP.5.3.A5.2 + description: "Werden E-Mails weitergeleitet, SOLLTEN die Vertretenen mindestens\ + \ dar\xFCber informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + ref_id: APP.5.3.A5.3 + description: "Bei der Weiterleitung von E-Mails M\xDCSSEN datenschutzrechtliche\ + \ Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + ref_id: APP.5.3.A5.4 + description: "Die Institution SOLLTE f\xFCr Autoreply-Funktionen in E-Mail-Programmen\ + \ Regelungen etablieren, die beschreiben, wie diese Funktionen sicher verwendet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a5 + ref_id: APP.5.3.A5.5 + description: Wenn die Autoreply-Funktion benutzt wird, SOLLTEN keine internen + Informationen weitergegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A6 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr E-Mail" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.1 + description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr die Nutzung\ + \ von E-Mails erstellen und regelm\xE4\xDFig aktualisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.2 + description: "Die Institution SOLLTE alle Benutzenden und Administrierenden\ + \ \xFCber neue oder ver\xE4nderte Sicherheitsvorgaben f\xFCr E-Mail-Anwendungen\ + \ informieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.3 + description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE konform zu den geltenden\ + \ \xFCbergeordneten Sicherheitsrichtlinien der Institution sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.4 + description: "Die Institution SOLLTE pr\xFCfen, ob die Sicherheitsrichtlinie\ + \ korrekt angewendet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.5 + description: "Die E-Mail-Sicherheitsrichtlinie f\xFCr Benutzende SOLLTE vorgeben," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.6 + description: "\u2022 welche Zugriffsrechte es gibt," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.7 + description: "\u2022 wie E-Mails auf gef\xE4lschte Absendeadressen \xFCberpr\xFC\ + ft werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.8 + description: "\u2022 wie sich \xFCbermittelte Informationen absichern lassen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.9 + description: "\u2022 wie die Integrit\xE4t von E-Mails \xFCberpr\xFCft werden\ + \ soll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.10 + description: "\u2022 welche offenen E-Mail-Verteiler verwendet werden d\xFC\ + rfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.11 + description: "\u2022 ob E-Mails privat genutzt werden d\xFCrfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.12 + description: "\u2022 wie mit E-Mails und Postf\xE4chern ausscheidender Personen\ + \ umgegangen werden soll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.13 + description: "\u2022 ob und wie Webmail-Dienste genutzt werden d\xFCrfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.14 + description: "\u2022 wer f\xFCr Gruppenpostf\xE4cher zust\xE4ndig ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.15 + description: "\u2022 wie mit Datei-Anh\xE4ngen umgegangen werden soll und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.16 + description: "\u2022 ob Benutzende die HTML-Darstellung von E-Mails aktivieren\ + \ d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.17 + description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE erg\xE4nzend f\xFCr die\ + \ Administrierenden die Einstellungsoptionen der E-Mail-Anwendungen beinhalten,\ + \ au\xDFerdem die Vorgaben f\xFCr m\xF6gliche Zugriffe von anderen Servern\ + \ auf einen E-Mail-Server." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.18 + description: Auch Angaben zu berechtigten Zugriffspunkten, von denen aus auf + einen E-Mail-Server zugegriffen werden darf, SOLLTEN in der Richtlinie enthalten + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6.19 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a6 + ref_id: APP.5.3.A6.19 + description: Die E-Mail-Sicherheitsrichtlinie SOLLTE den Umgang mit Newsgroups + und Mailinglisten regeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A7 + name: "Schulung zu Sicherheitsmechanismen von E-Mail-Clients f\xFCr Benutzende" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + ref_id: APP.5.3.A7.1 + description: "Die Institution SOLLTE das Personal dar\xFCber aufkl\xE4ren, welche\ + \ Risiken entstehen, wenn E-Mail-Anwendungen benutzt werden und wie sicher\ + \ mit E-Mails umgegangen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + ref_id: APP.5.3.A7.2 + description: "Dies SOLLTE zus\xE4tzlich zur allgemeinen Schulung und Sensibilisierung\ + \ geschehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + ref_id: APP.5.3.A7.3 + description: "Die Institution SOLLTE zu den Gefahren sensibilisieren, die entstehen\ + \ k\xF6nnen, wenn E-Mail-Anh\xE4nge ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + ref_id: APP.5.3.A7.4 + description: "Die Schulungen SOLLTEN ebenfalls darauf eingehen, wie E-Mails\ + \ von gef\xE4lschten Absendeadressen erkannt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a7 + ref_id: APP.5.3.A7.5 + description: Die Institution SOLLTE davor warnen, an E-Mail-Kettenbriefen teilzunehmen + oder zu viele Mailinglisten zu abonnieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A8 + name: Umgang mit Spam durch Benutzende + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8 + ref_id: APP.5.3.A8.1 + description: "Grunds\xE4tzlich SOLLTEN die Benutzenden alle Spam-E-Mails ignorieren\ + \ und l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8 + ref_id: APP.5.3.A8.2 + description: "Die Benutzenden SOLLTEN auf unerw\xFCnschte E-Mails nicht antworten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8 + ref_id: APP.5.3.A8.3 + description: Sie SOLLTEN Links in diesen E-Mails nicht folgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a8 + ref_id: APP.5.3.A8.4 + description: "Falls die Institution \xFCber ein zentrales Spam-Management verf\xFC\ + gt, SOLLTEN die Benutzenden Spam-E-Mails an dieses weiterleiten und die E-Mails\ + \ danach l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A9 + name: "Erweiterte Sicherheitsma\xDFnahmen auf dem E-Mail-Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.1 + description: "Die E-Mail-Server einer Institution SOLLTEN eingehende E-Mails\ + \ mittels des Sender Policy Framework (SPF) und mit Hilfe von DomainKeys Identified\ + \ Mail (DKIM) \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.2 + description: Die Institution SOLLTE selbst DKIM und SPF einsetzen, um von ihr + versendete E-Mails zu authentisieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.3 + description: "Wird SPF verwendet, SOLLTEN alle sendeberechtigten E-Mail-Server\ + \ f\xFCr eine Domain im SPF-Eintrag angegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.4 + description: Der SPF-Eintrag SOLLTE den "-all" Parameter enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.5 + description: "Der Softfail-Parameter (\u201E~\u201C) SOLLTE nur zu Testzwecken\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.6 + description: "Die Institution SOLLTE Domain-based Message Authentication, Reporting\ + \ and Conformance (DMARC) nutzen, um festzulegen, wie von ihr versendete E-Mails\ + \ durch den empfangenden E-Mail-Server \xFCberpr\xFCft werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.7 + description: "DMARC-Eintr\xE4ge SOLLTEN vorgeben, dass E-Mails im Fehlerfall\ + \ abgewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.8 + description: "DMARC-Reporte SOLLTEN regelm\xE4\xDFig ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.9 + description: "Die Institution SOLLTE festlegen, ob DMARC-Reporte \xFCber empfangene\ + \ E-Mails an andere Institutionen versendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a9 + ref_id: APP.5.3.A9.10 + description: "Die Institution SOLLTE die E-Mail-Kommunikation \xFCber DANE und\ + \ MTA-STS absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A10 + name: "Ende-zu-Ende-Verschl\xFCsselung und Signatur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a10 + ref_id: APP.5.3.A10.1 + description: "Die Institution SOLLTE eine Ende-zu-Ende-Verschl\xFCsselung sowie\ + \ digitale Signaturen f\xFCr E-Mails einsetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a10 + ref_id: APP.5.3.A10.2 + description: "Es SOLLTEN nur Protokolle zur Verschl\xFCsselung und Signatur\ + \ genutzt werden, die dem aktuellen Stand der Technik entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A11 + name: Einsatz redundanter E-Mail-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11 + ref_id: APP.5.3.A11.1 + description: Die Institution SOLLTE redundante E-Mail-Server betreiben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11 + ref_id: APP.5.3.A11.2 + description: "Die redundanten E-Mail-Server SOLLTEN mit geeigneter Priorit\xE4\ + t in den MX-Records der betroffenen Domains hinterlegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a11 + ref_id: APP.5.3.A11.3 + description: Die Institution SOLLTE festlegen, wie E-Mails zwischen den E-Mail-Servern + synchronisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A12 + name: "\xDCberwachung \xF6ffentlicher Block-Listen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a12 + ref_id: APP.5.3.A12.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ E-Mail-Server der Institution auf \xF6ffentlichen Spam- oder Block-Listen\ + \ aufgef\xFChrt sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3 + ref_id: APP.5.3.A13 + name: TLS-Reporting + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a13 + ref_id: APP.5.3.A13.1 + description: Die Institution SOLLTE TLS-Reporting einsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.3.a13 + ref_id: APP.5.3.A13.2 + description: Es SOLLTE festgelegt werden, ob TLS-Reports an andere Institutionen + versendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + assessable: false + depth: 1 + ref_id: APP.5.4 + name: 'Unified Communications und Collaboration (UCC) ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A1 + name: Planung von UCC + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.1 + description: "Es MUSS umfassend und detailliert geplant werden, wie und f\xFC\ + r welchen Zweck UCC eingesetzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.2 + description: "Die Planung MUSS insbesondere die Wechselwirkungen der UCC-Dienste\ + \ ber\xFCcksichtigen und mindestens folgende Aspekte beinhalten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.3 + description: "\u2022 Einsatzzwecke der vorgesehenen UCC-Dienste" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.4 + description: "\u2022 Funktionale Anforderungen an UCC als Gesamtheit und an\ + \ die einzelnen UCC-Dienste" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.5 + description: "\u2022 Anforderungen zur Absicherung von UCC" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.6 + description: "\u2022 Festlegung zu Informationen und Daten, die \xFCber UCC\ + \ \xFCbertragen werden d\xFCrfen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.7 + description: "\u2022 Analyse der Kommunikation und der Abh\xE4ngigkeiten von\ + \ UCC-Diensten untereinander" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.8 + description: "\u2022 Produkt- und Dienstauswahl ausgehend von den definierten\ + \ Anforderungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.9 + description: "\u2022 Aufstellen von organisatorischen Regelungen, um die UCC-Dienste\ + \ zu benutzen Bei der Planung MUSS ber\xFCcksichtigt werden, wie UCC in die\ + \ IT-Infrastruktur der Institution integriert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a1 + ref_id: APP.5.4.A1.10 + description: Hierbei MUSS insbesondere betrachtet werden, ob und wie die Systeme + der UCC-Dienste innerhalb des Netzes separiert werden sollen und welche Schnittstellen + zu weiteren benutzten Anwendungen notwendig sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A2 + name: "Ber\xFCcksichtigung von UCC in der Netzplanung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.1 + description: "Bevor UCC-Dienste eingef\xFChrt werden, MUSS gepr\xFCft werden,\ + \ ob das Netz die UCC-spezifischen Leistungsparameter erf\xFCllt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.2 + description: "Falls die Leistungsparameter nicht erf\xFCllt werden, MUSS festgelegt\ + \ werden, wie hiermit umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.3 + description: "Sollen UCC-Dienste benutzt werden, SOLLTEN im Rahmen der allgemeinen\ + \ Netzplanung insbesondere folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.4 + description: "\u2022 Erf\xFCllung der UCC-spezifischen Leistungsparameter wie\ + \ Paketverlust, Jitter und Latenz" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.5 + description: "\u2022 Netzkapazit\xE4ten (Bandbreite) f\xFCr die festgelegte\ + \ Benutzung der UCC-Dienste wie Videokonferenzen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.6 + description: "\u2022 Ber\xFCcksichtigung von Power over Ethernet (PoE) f\xFC\ + r station\xE4re Endger\xE4te" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a2 + ref_id: APP.5.4.A2.7 + description: "\u2022 Verf\xFCgbarkeit von WLAN f\xFCr mobile Endger\xE4te Falls\ + \ die UCC-Dienste erweitert werden, SOLLTEN diese Aspekte erneut gepr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A3 + name: "Initiales und regelm\xE4\xDFiges Testen der UCC-Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3 + ref_id: APP.5.4.A3.1 + description: "F\xFCr die UCC-Dienste M\xDCSSEN initial Tests durchgef\xFChrt\ + \ werden, die verifizieren, dass die UCC-Komponenten untereinander und mit\ + \ anderen UCC-Diensten interferenzfrei funktionieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3 + ref_id: APP.5.4.A3.2 + description: "Ebenfalls M\xDCSSEN Tests mit ausgew\xE4hlten Benutzenden durchgef\xFC\ + hrt werden, um insbesondere Wechselwirkungen mit anderen Anwendungen zu \xFC\ + berpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3 + ref_id: APP.5.4.A3.3 + description: "Diese Tests SOLLTEN wiederholt werden, wenn die UCC-Dienste erweitert\ + \ oder ver\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a3 + ref_id: APP.5.4.A3.4 + description: "Zus\xE4tzlich SOLLTE die Konfiguration der UCC-Dienste in regelm\xE4\ + \xDFigen Abst\xE4nden auf Plausibilit\xE4t und Konformit\xE4t f\xFCr die festgelegten\ + \ Einsatzzwecke \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A4 + name: "Deaktivierung nicht ben\xF6tigter Funktionen und Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.1 + description: "UCC-Dienste D\xDCRFEN NUR mit dem geringsten notwendigen Funktionsumfang\ + \ betrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.2 + description: "Die verf\xFCgbaren Funktionen und Dienste M\xDCSSEN entsprechend\ + \ der definierten Einsatzzwecke ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.3 + description: "Dabei M\xDCSSEN gegebenenfalls auftretende Wechselwirkungen zwischen\ + \ den verschiedenen Komponenten eines UCC-Dienstes ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.4 + description: "Au\xDFerdem M\xDCSSEN insbesondere die folgenden Dienste und Funktionen\ + \ auf Notwendigkeit gepr\xFCft und gegebenenfalls deaktiviert oder eingeschr\xE4\ + nkt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.5 + description: "\u2022 Speicherung von personenbezogenen Daten durch die UCC-Komponenten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.6 + description: "\u2022 Zugriff und Verarbeitung von personenbezogenen Daten durch\ + \ Benutzende und den UCC-Dienst" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.7 + description: "\u2022 Benutzbarkeit von Funktionen wie Chat, Erreichbarkeitsstatus,\ + \ Dateiablagen oder Team-Bereiche durch externe Teilnehmende" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.8 + description: "\u2022 Senden von Daten und Dateien an externe UCC-Dienste Konversationsbezogene\ + \ Log-Daten D\xDCRFEN NUR in minimal notwendigem Umfang gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a4 + ref_id: APP.5.4.A4.9 + description: "Funktionen und Dienste, die auf (dauerhaft) gespeicherte Log-Daten\ + \ zugreifen, M\xDCSSEN auf ihre Notwendigkeit gepr\xFCft und gegebenenfalls\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A5 + name: "Rollen- und Berechtigungskonzept f\xFCr UCC" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.1 + description: "Das Rollen- und Berechtigungskonzept MUSS um UCC-spezifische Definitionen\ + \ von Rollen und Berechtigungen erg\xE4nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.2 + description: "Solche Definitionen M\xDCSSEN sowohl f\xFCr alle internen Benutzenden\ + \ als auch f\xFCr die externen Benutzenden getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.3 + description: "Es M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.4 + description: "\u2022 Berechtigungen zur zielgerichteten Benutzung von UCC-Diensten\ + \ gem\xE4\xDF festgelegter Einsatzzwecke" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.5 + description: "\u2022 Berechtigungen zur Anpassung der Konfiguration von Konversationen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.6 + description: "\u2022 Berechtigungen f\xFCr spezielle Funktionen von UCC-Diensten\ + \ wie Aufzeichnung von Konversationen und Zugriff auf Dateiablagen eines UCC-Dienstes\ + \ Dar\xFCber hinaus M\xDCSSEN die Berechtigungen der Konten ebenfalls auf\ + \ das notwendige Minimum reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.7 + description: "Dienste, die nur f\xFCr einen Teil der Benutzenden zur Verf\xFC\ + gung stehen, D\xDCRFEN NICHT f\xFCr die restlichen Benutzenden zug\xE4nglich\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.8 + description: "Zudem SOLLTEN nur Benutzende mit einer entsprechenden Berechtigung\ + \ auf Daten wie Aufzeichnungen oder Dateiablagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a5 + ref_id: APP.5.4.A5.9 + description: "Die Festlegungen M\xDCSSEN festgehalten, regelm\xE4\xDFig und\ + \ anlassbezogen gepr\xFCft und aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A6 + name: "Verschl\xFCsselung von UCC-Daten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.1 + description: "S\xE4mtliche Kommunikation \xFCber unzureichend vertrauensw\xFC\ + rdige Netze MUSS mit sicheren Verfahren verschl\xFCsselt werden, sofern dies\ + \ durch die jeweilige UCC-Komponente unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.2 + description: "Falls eine Verschl\xFCsselung f\xFCr einzelne UCC-Komponenten\ + \ oder einzelne Konversationen nicht m\xF6glich ist, MUSS die Festlegung,\ + \ welche Informationen \xFCber diese UCC-Komponenten \xFCbertragen werden\ + \ d\xFCrfen, gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.3 + description: "Insbesondere MUSS bei anwendungs\xFCbergreifender Kommunikation\ + \ festgelegt werden, f\xFCr welche Konversationen die Medienstr\xF6me und\ + \ die Signalisierung und welche weiteren Daten wie Chat oder Dateitransfer\ + \ verschl\xFCsselt \xFCbertragen werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.4 + description: "Dateiablagen, die persistente personenbezogene oder vertrauliche\ + \ Daten enthalten, M\xDCSSEN mit Hilfe von sicheren Verschl\xFCsselungsmechanismen\ + \ abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.5 + description: "Hierbei M\xDCSSEN sowohl interne Dateiablagen der UCC-Dienste\ + \ als auch \xFCber Schnittstellen angebundene externe Dateiablagen ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a6 + ref_id: APP.5.4.A6.6 + description: "Die Benutzenden M\xDCSSEN zudem \xFCber den Status der Verschl\xFC\ + sselung innerhalb von Konversationen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A7 + name: "Regelungen f\xFCr eine sichere Benutzung der UCC-Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.1 + description: "Konversationen, die mit Hilfe von UCC durchgef\xFChrt werden,\ + \ M\xDCSSEN abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.2 + description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.3 + description: "\u2022 Auswahl der Teilnehmenden entsprechend dem Inhalt der Konversation" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.4 + description: "\u2022 zus\xE4tzliche Absicherung von geplanten Konversationen\ + \ \xFCber Mechanismen wie PIN oder ein Passwort" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.5 + description: "\u2022 Zuweisung von Moderationsrechten an ausgew\xE4hlte Benutzende\ + \ der einladenden Institution" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.6 + description: "\u2022 Regelungen zum Umgang mit Aufzeichnungen von Konversationen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.7 + description: "\u2022 Regelungen f\xFCr Endger\xE4te, die von mehreren Benutzenden\ + \ verwendet werden Die Benutzenden M\xDCSSEN \xFCber Funktionen informiert\ + \ werden, \xFCber die Konversationen abgesichert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a7 + ref_id: APP.5.4.A7.8 + description: "Ebenso M\xDCSSEN die Benutzenden daf\xFCr sensibilisiert werden,\ + \ wie die UCC-Dienste sicher benutzt werden, insbesondere f\xFCr externe Chats\ + \ oder Videokonferenzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A8 + name: "Einsatz eines Session Border Controller am Provider-\xDCbergang" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8 + ref_id: APP.5.4.A8.1 + description: "F\xFCr die UCC-Kommunikation \xFCber eingeschr\xE4nkt vertrauensw\xFC\ + rdige Netze SOLLTE mindestens f\xFCr Sprachdienste ein Session Border Controller\ + \ (SBC) am Netz\xFCbergang bzw. beim \xDCbergang zum SIP-Provider eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8 + ref_id: APP.5.4.A8.2 + description: "Der SBC SOLLTE als Verschl\xFCsselungsendpunkt die Signalisierung\ + \ und die Medienstr\xF6me terminieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a8 + ref_id: APP.5.4.A8.3 + description: "Der SBC SOLLTE f\xFCr die Signalisierung und die Medienstr\xF6\ + me Filterfunktionen unterst\xFCtzen, die die jeweiligen Konversationen zus\xE4\ + tzlich absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A9 + name: Sichere Konfiguration von UCC + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.1 + description: "Um UCC sicher zu konfigurieren, SOLLTEN mindestens die folgenden\ + \ Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.2 + description: "\u2022 Verschl\xFCsselung von Signalisierungs- und Mediendaten\ + \ auch auf vertrauensw\xFCrdigen \xDCbertragungsstrecken" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.3 + description: "\u2022 Absicherung von gespeicherten Daten, insbesondere Festlegung\ + \ f\xFCr Zugriffsberechtigung auf Aufzeichnungen von Konversationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.4 + description: "\u2022 Einschr\xE4nkung der zur Verf\xFCgung stehenden Dienste\ + \ auf ausschlie\xDFlich interne Benutzende" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.5 + description: "\u2022 Einschr\xE4nkung der \xDCbertragung von Erreichbarkeitsinformationen\ + \ Gespeicherte Daten SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.6 + description: "Auf gespeicherte Daten SOLLTEN Benutzende nur nach vorheriger\ + \ Authentisierung zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.7 + description: Der IT-Betrieb SOLLTE sichere Einstellungen vorgeben, die verwendet + werden, wenn Konversationen erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.8 + description: "F\xFCr textbasierte Konversationen SOLLTE ein Malware-Schutz aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a9 + ref_id: APP.5.4.A9.9 + description: "Die Umsetzung SOLLTE festgehalten, regelm\xE4\xDFig und anlassbezogen\ + \ auf Einhaltung der Vorgaben gepr\xFCft und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A10 + name: "Absicherung und Einschr\xE4nkung von Auswertungen von Inhalten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + ref_id: APP.5.4.A10.1 + description: "Die Art einer (automatischen) Auswertung von Konversationsinhalten\ + \ SOLLTE schon im Vorfeld sorgf\xE4ltig gepr\xFCft werden und ihr Nutzen gegen\ + \ den Schutzbedarf abgewogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + ref_id: APP.5.4.A10.2 + description: "Es SOLLTE die M\xF6glichkeit bestehen, entsprechende Funktionen\ + \ entweder vollst\xE4ndig oder pro Konversation zu deaktivieren und eine inhaltliche\ + \ Auswertung der Kommunikation zu verhindern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + ref_id: APP.5.4.A10.3 + description: "Besondere Beachtung SOLLTEN KI-Funktionen und die \xDCbertragung\ + \ von Daten an Onlinedienste erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + ref_id: APP.5.4.A10.4 + description: "Werden Inhalte \xFCber den Zweck der Konversation hinausgehend\ + \ ausgewertet, MUSS dazu auch eine Zustimmung der an der Konversation teilnehmenden\ + \ Personen eingeholt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a10 + ref_id: APP.5.4.A10.5 + description: "Werden w\xE4hrend der Auswertung von Konversationen persistente\ + \ Daten erzeugt, SOLLTEN f\xFCr diese geeignete Schutzma\xDFnahmen umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A11 + name: "Sicherstellung der Verf\xFCgbarkeit von Kommunikationsdiensten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.1 + description: "Die Verf\xFCgbarkeit von UCC-Diensten SOLLTE insbesondere durch\ + \ folgende technische Ma\xDFnahmen sichergestellt werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.2 + description: "\u2022 redundante Auslegung zentraler Server und Dienste" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.3 + description: "\u2022 Benutzung von Call Admission Control (CAC) zur Qualit\xE4\ + tssicherung von Telefonie und Video-Diensten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.4 + description: "\u2022 m\xF6glichst autark funktionierende UCC-Dienste Dar\xFC\ + ber hinaus SOLLTE bei Cloud-basierten UCC-Diensten der Cloud-Provider sowie\ + \ der Internet-Provider ausfallsicher an das eigene Netz angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.5 + description: "Zudem SOLLTE ein SIP-Provider, der Rufnummern bereitstellt und\ + \ den \xDCbergang ins \xF6ffentliche Telefonnetz bildet, hochverf\xFCgbar\ + \ an das eigene Netz angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a11 + ref_id: APP.5.4.A11.6 + description: "Die Verf\xFCgbarkeit SOLLTE durch ein Monitoring der UCC-Dienste\ + \ \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A12 + name: Einbindung von UCC in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + ref_id: APP.5.4.A12.1 + description: "Ausgehend von einer Business Impact Analyse SOLLTE gepr\xFCft\ + \ werden, welche UCC-Dienste in der Notfallplanung ber\xFCcksichtigt werden\ + \ sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + ref_id: APP.5.4.A12.2 + description: "Hierbei SOLLTEN in Notfallsituationen f\xFCr einzelne UCC-Dienste\ + \ alternative Anwendungen bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + ref_id: APP.5.4.A12.3 + description: "Insbesondere SOLLTE f\xFCr die Benutzenden die Erreichbarkeit\ + \ von wichtigen Diensten wie der Notruf gew\xE4hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + ref_id: APP.5.4.A12.4 + description: "Zudem SOLLTE ein Notfallplan f\xFCr die UCC-Dienste erstellt werden,\ + \ in dem notwendige Konfigurationen sowie Routing-Anpassungen, die \xFCber\ + \ den Telefonie-Provider realisiert werden, behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a12 + ref_id: APP.5.4.A12.5 + description: "Ebenso SOLLTE der Wiederanlauf der UCC-Komponenten und -Dienste\ + \ unter Ber\xFCcksichtigung der Wechselwirkungen innerhalb der UCC-Dienste\ + \ festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A13 + name: Sichere Administration von SIP-Trunks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + ref_id: APP.5.4.A13.1 + description: "Wenn SIP-Trunks administriert werden, SOLLTE f\xFCr folgende T\xE4\ + tigkeiten ein 4-Augen-Prinzip angewendet werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + ref_id: APP.5.4.A13.2 + description: "\u2022 \xC4nderungen an Routing-Konfigurationen" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + ref_id: APP.5.4.A13.3 + description: "\u2022 \xC4nderungen an Parametern, die im Rahmen von Call Admission\ + \ Control benutzt werden" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + ref_id: APP.5.4.A13.4 + description: "\u2022 \xC4nderungen hinsichtlich der Verschl\xFCsselung sowohl\ + \ in Richtung des eigenen Netzes als auch in Richtung des Provider-Netzes" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a13 + ref_id: APP.5.4.A13.5 + description: "\u2022 \xC4nderungen an weiteren sicherheitsrelevanten Konfigurationen\ + \ wie der lokalen Speicherung von Verbindungsdaten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A14 + name: "Ende-zu-Ende-Verschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14 + ref_id: APP.5.4.A14.1 + description: "F\xFCr UCC-Kommunikation SOLLTE eine sichere Ende-zu-Ende-Verschl\xFC\ + sselung benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14 + ref_id: APP.5.4.A14.2 + description: "Die Ende-zu-Ende-Verschl\xFCsselung SOLLTE sich sowohl auf die\ + \ Signalisierung als auch auf die Mediendaten von Audio- und Videokommunikation\ + \ mit zwei oder mehr Teilnehmenden erstrecken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a14 + ref_id: APP.5.4.A14.3 + description: "Bei Konversationen zwischen UCC-Diensten von verschiedenen Herstellenden\ + \ SOLLTEN die \xFCbertragenen Informationen eingeschr\xE4nkt werden, sofern\ + \ eine Ende-zu-Ende-Verschl\xFCsselung nach Stand der Technik nicht m\xF6\ + glich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A15 + name: "Einschr\xE4nkung von KI-Funktionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a15 + ref_id: APP.5.4.A15.1 + description: Die Benutzung von KI-Funktionen SOLLTE deaktiviert oder auf ein + Minimum reduziert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a15 + ref_id: APP.5.4.A15.2 + description: "Ist eine permanente Deaktivierung nicht m\xF6glich oder erw\xFC\ + nscht, SOLLTE festgelegt werden, dass Benutzende der UCC-Dienste zu Beginn\ + \ einer Konversation zielgerichtet KI-Funktionen deaktivieren, falls dies\ + \ m\xF6glich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A16 + name: "Einsatz eines SBC an weiteren Netz\xFCberg\xE4ngen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16 + ref_id: APP.5.4.A16.1 + description: "Erg\xE4nzend zu einem SBC am Netz\xFCbergang zum Provider, SOLLTEN\ + \ weitere SBC an internen Netz\xFCberg\xE4ngen eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16 + ref_id: APP.5.4.A16.2 + description: "Hierbei SOLLTEN insbesondere Netz\xFCberg\xE4nge zwischen Netzsegmenten\ + \ mit unterschiedlichem Schutzbedarf ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a16 + ref_id: APP.5.4.A16.3 + description: "Der SBC SOLLTE sicherstellen, dass die Verschl\xFCsselungsmechanismen\ + \ an den SBC-gesicherten Netzsegment\xFCberg\xE4ngen anforderungskonform realisiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A17 + name: "Einschr\xE4nkung der Benutzung von UCC-Diensten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.1 + description: "Folgende Aspekte SOLLTEN mindestens ber\xFCcksichtigt werden,\ + \ um die UCC-Dienste sowie die \xFCbertragenen Daten zus\xE4tzlich abzusichern:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.2 + description: "\u2022 Einschr\xE4nkung der Dienste entsprechend des Schutzbedarfs\ + \ der \xFCbertragenen Informationen" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.3 + description: "\u2022 Benutzung einer Multi-Faktor-Authentisierung f\xFCr Benutzende" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.4 + description: "\u2022 Deaktivierung von Funktionen f\xFCr externe Benutzende" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.5 + description: "\u2022 Deaktivierung der Speicherung von Metadaten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a17 + ref_id: APP.5.4.A17.6 + description: "\u2022 Einschr\xE4nkung der Sichtbarkeit von kommunikationsbezogenen\ + \ Daten f\xFCr Administrierende Dar\xFCber hinaus SOLLTEN zus\xE4tzliche technische\ + \ und organisatorische Vorkehrungen getroffen werden, um Konversationen \xFC\ + ber die Vergabe von PINs bzw. Passw\xF6rtern hinaus abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4 + ref_id: APP.5.4.A18 + name: Einbindung von UCC in ein Sicherheitsmonitoring + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18 + ref_id: APP.5.4.A18.1 + description: "Die zentralen UCC-Komponenten SOLLTEN durch ein Sicherheitsmonitoring\ + \ \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18 + ref_id: APP.5.4.A18.2 + description: "Dies SOLLTE mindestens f\xFCr Komponenten umgesetzt werden, die\ + \ wie Multipoint Control Units Verschl\xFCsselungsendpunkte realisieren oder\ + \ die wie SBCs an Vertrauensgrenzen positioniert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.5.4.a18 + ref_id: APP.5.4.A18.3 + description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ + \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ + \ SOLLTEN die zentralen UCC-Komponenten hierin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + assessable: false + depth: 1 + ref_id: APP.6 + name: Allgemeine Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A1 + name: Planung des Software-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.1 + description: "Bevor eine Institution eine (neue) Software einf\xFChrt, MUSS\ + \ sie entscheiden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.2 + description: "\u2022 wof\xFCr die Software genutzt und welche Informationen\ + \ damit verarbeitet werden sollen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.3 + description: "\u2022 wie die Benutzenden bei der Anforderungserhebung beteiligt\ + \ und bei der Einf\xFChrung unterst\xFCtzt werden sollen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.4 + description: "\u2022 wie die Software an weitere Anwendungen und IT-Systeme\ + \ \xFCber welche Schnittstellen angebunden wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.5 + description: "\u2022 auf welchen IT-Systemen die Software ausgef\xFChrt werden\ + \ soll und welche Ressourcen zur Ausf\xFChrung der Software erforderlich sind,\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.6 + description: "\u2022 ob sich die Institution in Abh\xE4ngigkeit zu einem Hersteller\ + \ oder einer Herstellerin begibt, wenn sie diese Software einsetzt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.7 + description: "Hierbei M\xDCSSEN bereits Sicherheitsaspekte ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.8 + description: "Zus\xE4tzlich MUSS die Institution die Zust\xE4ndigkeiten f\xFC\ + r fachliche Betreuung, Freigabe und betriebliche Administration schon im Vorfeld\ + \ kl\xE4ren und festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a1 + ref_id: APP.6.A1.9 + description: "Die Zust\xE4ndigkeiten M\xDCSSEN dokumentiert und bei Bedarf aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A2 + name: "Erstellung eines Anforderungskatalogs f\xFCr Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.1 + description: "Auf Basis der Ergebnisse der Planung M\xDCSSEN die Anforderungen\ + \ an die Software in einem Anforderungskatalog erhoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.2 + description: Der Anforderungskatalog MUSS dabei die grundlegenden funktionalen + Anforderungen umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.3 + description: "Dar\xFCber hinaus M\xDCSSEN die nichtfunktionalen Anforderungen\ + \ und hier insbesondere die Sicherheitsanforderungen in den Anforderungskatalog\ + \ integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.4 + description: "Hierbei M\xDCSSEN sowohl die Anforderungen von den Fachverantwortlichen\ + \ als auch vom IT-Betrieb ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.5 + description: "Insbesondere M\xDCSSEN auch die rechtlichen Anforderungen, die\ + \ sich aus dem Kontext der zu verarbeitenden Daten ergeben, ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a2 + ref_id: APP.6.A2.6 + description: Der fertige Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen + abgestimmt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A3 + name: Sichere Beschaffung von Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + ref_id: APP.6.A3.1 + description: "Wenn Software beschafft wird, MUSS auf Basis des Anforderungskatalogs\ + \ eine geeignete Software ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + ref_id: APP.6.A3.2 + description: "Die ausgew\xE4hlte Software MUSS aus vertrauensw\xFCrdigen Quellen\ + \ beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + ref_id: APP.6.A3.3 + description: "Die vertrauensw\xFCrdige Quelle SOLLTE eine M\xF6glichkeit bereitstellen,\ + \ die Software auf Integrit\xE4t zu \xFCberpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + ref_id: APP.6.A3.4 + description: "Dar\xFCber hinaus SOLLTE die Software mit einem geeigneten Wartungsvertrag\ + \ oder einer vergleichbaren Zusage des herstellenden oder anbietenden Unternehmens\ + \ beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a3 + ref_id: APP.6.A3.5 + description: "Diese Vertr\xE4ge oder Zusagen SOLLTEN insbesondere garantieren,\ + \ dass auftretende Sicherheitsl\xFCcken und Schwachstellen der Software w\xE4\ + hrend des gesamten Nutzungszeitraums zeitnah behoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A4 + name: "Regelung f\xFCr die Installation und Konfiguration von Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.1 + description: Die Installation und Konfiguration der Software MUSS durch den + IT-Betrieb so geregelt werden, dass + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.2 + description: "\u2022 die Software nur mit dem geringsten notwendigen Funktionsumfang\ + \ installiert und ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.3 + description: "\u2022 die Software mit den geringsten m\xF6glichen Berechtigungen\ + \ ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.4 + description: "\u2022 die datensparsamsten Einstellungen (in Bezug auf die Verarbeitung\ + \ von personenbezogenen Daten) konfiguriert werden sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.5 + description: "\u2022 alle relevanten Sicherheitsupdates und -patches installiert\ + \ sind, bevor die Software produktiv eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.6 + description: "Hierbei M\xDCSSEN auch abh\xE4ngige Komponenten (unter anderem\ + \ Laufzeitumgebungen, Bibliotheken, Schnittstellen sowie weitere Programme)\ + \ mitbetrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.7 + description: Der IT-Betrieb MUSS in Abstimmung mit den Fachverantwortlichen + festlegen, wer die Software wie installieren darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.8 + description: Idealerweise SOLLTE Software immer zentral durch den IT-Betrieb + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.9 + description: "Ist es erforderlich, dass die Software (teilweise) manuell installiert\ + \ wird, dann MUSS der IT-Betrieb eine Installationsanweisung erstellen, in\ + \ der klar geregelt wird, welche Zwischenschritte zur Installation durchzuf\xFC\ + hren und welche Konfigurationen vorzunehmen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.10 + description: "Dar\xFCber hinaus MUSS der IT-Betrieb regeln, wie die Integrit\xE4\ + t der Installationsdateien \xFCberpr\xFCft wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.11 + description: "Falls zu einem Installationspaket digitale Signaturen oder Pr\xFC\ + fsummen verf\xFCgbar sind, M\xDCSSEN mit diesen die Integrit\xE4t \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.12 + description: Sofern erforderlich, SOLLTE der IT-Betrieb eine sichere Standardkonfiguration + der Software festlegen, mit der die Software konfiguriert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a4 + ref_id: APP.6.A4.13 + description: Die Standardkonfiguration SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A5 + name: Sichere Installation von Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5 + ref_id: APP.6.A5.1 + description: "Software MUSS entsprechend der Regelung f\xFCr die Installation\ + \ auf den IT-Systemen installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5 + ref_id: APP.6.A5.2 + description: "Dabei M\xDCSSEN ausschlie\xDFlich unver\xE4nderte Versionen der\ + \ freigegebenen Software verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a5 + ref_id: APP.6.A5.3 + description: Wird von diesen Anweisungen abgewichen, MUSS dies durch Vorgesetzte + und den IT-Betrieb genehmigt werden und entsprechend dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A6 + name: "Ber\xFCcksichtigung empfohlener Sicherheitsanforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.1 + description: "Die Institution SOLLTE die nachfolgenden Sicherheitsanforderungen\ + \ im Anforderungskatalog f\xFCr die Software ber\xFCcksichtigen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.2 + description: "\u2022 Die Software SOLLTE generelle Sicherheitsfunktionen wie\ + \ Protokollierung und Authentifizierung umfassen, die im Anwendungskontext\ + \ erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.3 + description: "\u2022 Die Software SOLLTE es erm\xF6glichen, die H\xE4rtungsfunktionen\ + \ der Einsatzumgebung zu nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.4 + description: "Hierbei SOLLTEN insbesondere die H\xE4rtungsfunktionen des geplanten\ + \ Betriebssystems und der geplanten Ausf\xFChrungsumgebung ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.5 + description: "\u2022 Wenn durch die Software Informationen \xFCber ungesicherte,\ + \ \xF6ffentliche Netze \xFCbertragen werden, dann SOLLTE die Software sichere\ + \ Verschl\xFCsselungsfunktionen einsetzen, die dem Stand der Technik entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.6 + description: "Dar\xFCber hinaus SOLLTEN die \xFCbertragenen Daten auf Integrit\xE4\ + t \xFCberpr\xFCft werden, indem Pr\xFCfsummen oder digitale Signaturen eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.7 + description: "\u2022 Verwendet die Software Zertifikate, dann SOLLTE sie die\ + \ M\xF6glichkeit bieten, die Zertifikate transparent darzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.8 + description: "Zudem SOLLTE es m\xF6glich sein, Zertifikate zu sperren, ihnen\ + \ das Vertrauen zu entziehen oder eigene Zertifikate zu erg\xE4nzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a6 + ref_id: APP.6.A6.9 + description: Die sich aus den Sicherheitsanforderungen ergebenden Funktionen + der Software SOLLTEN im Betrieb verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A7 + name: Auswahl und Bewertung potentieller Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + ref_id: APP.6.A7.1 + description: "Anhand des Anforderungskatalogs SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte gesichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + ref_id: APP.6.A7.2 + description: Sie SOLLTEN mithilfe einer Bewertungsskala miteinander verglichen + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + ref_id: APP.6.A7.3 + description: "Danach SOLLTE untersucht werden, ob die Produkte aus der engeren\ + \ Wahl die Anforderungen der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + ref_id: APP.6.A7.4 + description: "Gibt es mehrere Alternativen f\xFCr Produkte, SOLLTEN auch die\ + \ Akzeptanz der Benutzenden und der zus\xE4tzliche Aufwand f\xFCr z. B. Schulungen\ + \ oder die Migration ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a7 + ref_id: APP.6.A7.5 + description: "Fachverantwortliche SOLLTEN gemeinsam mit dem IT-Betrieb anhand\ + \ der Bewertungen und Testergebnisse ein geeignetes Softwareprodukt ausw\xE4\ + hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A8 + name: "Regelung zur Verf\xFCgbarkeit der Installationsdateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.1 + description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit der Installationsdateien\ + \ sicherstellen, um die Installation reproduzieren zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.2 + description: Hierzu SOLLTE der IT-Betrieb + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.3 + description: "\u2022 die Installationsdateien geeignet sichern oder" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.4 + description: "\u2022 die Verf\xFCgbarkeit der Installationsdateien durch die\ + \ Bezugsquelle (z. B. App-Store) sicherstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.5 + description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass Software reproduzierbar\ + \ konfiguriert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.6 + description: Hierzu SOLLTEN die Konfigurationsdateien gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.7 + description: Alternativ SOLLTE geeignet dokumentiert werden, wie die Software + konfiguriert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a8 + ref_id: APP.6.A8.8 + description: Diese Regelung SOLLTE in das Datensicherungskonzept der Institution + integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A9 + name: Inventarisierung von Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.1 + description: Software SOLLTE inventarisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.2 + description: In einem Bestandsverzeichnis SOLLTE dokumentiert werden, auf welchen + Systemen die Software unter welcher Lizenz eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.3 + description: "Bei Bedarf SOLLTEN zus\xE4tzlich die sicherheitsrelevanten Einstellungen\ + \ miterfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.4 + description: Software SOLLTE nur mit Lizenzen eingesetzt werden, die dem Einsatzzweck + und den vertraglichen Bestimmungen entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.5 + description: Die Lizenz SOLLTE den gesamten vorgesehenen Benutzungszeitraum + der Software abdecken. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.6 + description: Wird von einer Standardkonfiguration abgewichen, SOLLTE dies dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.7 + description: Das Bestandsverzeichnis SOLLTE anlassbezogen durch den IT-Betrieb + aktualisiert werden, insbesondere wenn Software installiert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a9 + ref_id: APP.6.A9.8 + description: "Das Bestandsverzeichnis SOLLTE so aufgebaut sein, dass bei Sicherheitsvorf\xE4\ + llen eine schnelle Gesamt\xFCbersicht mit den notwendigen Details erm\xF6\ + glicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A10 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz der Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + ref_id: APP.6.A10.1 + description: Die Institution SOLLTE die Regelungen, die festlegen, wie die Software + eingesetzt und betrieben wird, in einer Sicherheitsrichtlinie zusammenfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + ref_id: APP.6.A10.2 + description: "Die Richtlinie SOLLTE allen relevanten Verantwortlichen, Zust\xE4\ + ndigen und Mitarbeitenden der Institution bekannt sein und die Grundlage f\xFC\ + r ihre Arbeit und ihr Handeln bilden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + ref_id: APP.6.A10.3 + description: "Inhaltlich SOLLTE die Richtlinie auch ein Benutzenden-Handbuch\ + \ umfassen, dass erl\xE4utert, wie die Software zu benutzen und zu administrieren\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + ref_id: APP.6.A10.4 + description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ + ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a10 + ref_id: APP.6.A10.5 + description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A11 + name: Verwendung von Plug-ins und Erweiterungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a11 + ref_id: APP.6.A11.1 + description: Es SOLLTEN nur unbedingt notwendige Plug-ins und Erweiterungen + installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a11 + ref_id: APP.6.A11.2 + description: "Werden Erweiterungen eingesetzt, SOLLTE die Software die M\xF6\ + glichkeit bieten, Erweiterungen zu konfigurieren und abzuschalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A12 + name: "Geregelte Au\xDFerbetriebnahme von Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12 + ref_id: APP.6.A12.1 + description: "Wenn Software au\xDFer Betrieb genommen wird, SOLLTE der IT-Betrieb\ + \ mit den Fachverantwortlichen regeln, wie dies im Detail durchzuf\xFChren\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12 + ref_id: APP.6.A12.2 + description: "Ebenfalls SOLLTE geregelt werden, wie die Benutzenden hier\xFC\ + ber zu informieren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12 + ref_id: APP.6.A12.3 + description: "Hierbei SOLLTE gekl\xE4rt werden, ob die funktionalen Anforderungen\ + \ fortbestehen (z. B. zur Bearbeitung von Fachaufgaben)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a12 + ref_id: APP.6.A12.4 + description: "Ist dies der Fall, dann SOLLTE geregelt werden, wie die ben\xF6\ + tigten Funktionen der betroffenen Software weiter verf\xFCgbar sein werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A13 + name: Deinstallation von Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a13 + ref_id: APP.6.A13.1 + description: "Wird Software deinstalliert, SOLLTEN alle angelegten und nicht\ + \ mehr ben\xF6tigten Dateien entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a13 + ref_id: APP.6.A13.2 + description: "Alle Eintr\xE4ge in Systemdateien, die f\xFCr das Produkt vorgenommen\ + \ wurden und nicht l\xE4nger ben\xF6tigt werden, SOLLTEN r\xFCckg\xE4ngig\ + \ gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6 + ref_id: APP.6.A14 + name: Nutzung zertifizierter Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14 + ref_id: APP.6.A14.1 + description: "Bei der Beschaffung von Software SOLLTE festgelegt werden, ob\ + \ Zusicherungen des herstellenden oder anbietenden Unternehmens \xFCber implementierte\ + \ Sicherheitsfunktionen als ausreichend vertrauensw\xFCrdig anerkannt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14 + ref_id: APP.6.A14.2 + description: Ist dies nicht der Fall, SOLLTE eine Zertifizierung der Anwendung + z. B. nach Common Criteria als Entscheidungskriterium herangezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.6.a14 + ref_id: APP.6.A14.3 + description: "Stehen mehrere Produkte zur Auswahl, SOLLTEN insbesondere dann\ + \ Sicherheitszertifikate ber\xFCcksichtigt werden, wenn der evaluierte Funktionsumfang\ + \ die Mindestfunktionalit\xE4t (weitestgehend) umfasst und die Mechanismenst\xE4\ + rke dem Schutzbedarf entspricht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + assessable: false + depth: 1 + ref_id: APP.7 + name: Entwicklung von Individualsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A1 + name: Erweiterung der Planung des Software-Einsatzes um Aspekte von Individualsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + ref_id: APP.7.A1.1 + description: "Die Planung des Software-Einsatzes MUSS um Aspekte von Individualsoftware\ + \ erg\xE4nzt werden, indem definiert wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + ref_id: APP.7.A1.2 + description: "\u2022 wer daf\xFCr zust\xE4ndig ist, die Software-Entwicklung\ + \ bzw. den Auftragnehmenden zu steuern und zu koordinieren, sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + ref_id: APP.7.A1.3 + description: "\u2022 in was f\xFCr einen organisatorischen Rahmen die Software\ + \ zu entwickeln ist (Projektmanagementmodell)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + ref_id: APP.7.A1.4 + description: Individualsoftware SOLLTE im Rahmen eines Entwicklungsprojektes + entwickelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a1 + ref_id: APP.7.A1.5 + description: Das Entwicklungsprojekt sollte anhand eines Ablaufplans zeitlich + grob geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A2 + name: Festlegung von Sicherheitsanforderungen an den Prozess der Software-Entwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a2 + ref_id: APP.7.A2.1 + description: Die Institution MUSS klare Anforderungen an den Prozess der Software-Entwicklung + definieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a2 + ref_id: APP.7.A2.2 + description: "Aus den Anforderungen MUSS hervorgehen, in was f\xFCr einer Umgebung\ + \ die Software entwickelt werden darf und welche technischen und organisatorischen\ + \ Ma\xDFnahmen von Seiten der beauftragten Software-Entwickelnden umzusetzen\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A3 + name: Festlegung der Sicherheitsfunktionen zur Systemintegration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.1 + description: "Der IT-Betrieb und die zust\xE4ndigen Fachverantwortlichen M\xDC\ + SSEN Anforderungen an die technische Einsatzumgebung der geplanten Individualsoftware\ + \ erstellen und mit der Software-Entwicklung abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.2 + description: 'Aus den Anforderungen MUSS klar hervorgehen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.3 + description: "\u2022 auf was f\xFCr einer Hardware-Plattform," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.4 + description: "\u2022 auf was f\xFCr einer Software-Plattform (inklusive gesamten\ + \ Software-Stack)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.5 + description: "\u2022 mit welchen zur Verf\xFCgung stehenden Ressourcen (z. B.\ + \ CPU-Cluster oder Arbeitsspeicher)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.6 + description: "\u2022 mit welchen Schnittstellen mit anderen IT-Systemen oder\ + \ Anwendungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.7 + description: "\u2022 mit welchen sich hieraus ergebenen Sicherheitsfunktionen\ + \ die Anwendung eingesetzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a3 + ref_id: APP.7.A3.8 + description: Schnittstellen mit anderen IT-Systemen SOLLTEN in standardisierten + technischen Formaten modelliert und definiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A4 + name: Anforderungsgerechte Beauftragung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4 + ref_id: APP.7.A4.1 + description: "Wird Individualsoftware durch die eigene Institution entwickelt\ + \ oder extern beauftragt, dann M\xDCSSEN neben den bestehenden rechtlichen\ + \ und organisatorischen Vorgaben insbesondere" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4 + ref_id: APP.7.A4.2 + description: "\u2022 der Anforderungskatalog (siehe hierzu APP.6 Allgemeine\ + \ Software)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4 + ref_id: APP.7.A4.3 + description: "\u2022 die Sicherheitsanforderungen an den Prozess der Software-Entwicklung,\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a4 + ref_id: APP.7.A4.4 + description: "\u2022 die Sicherheitsfunktionen zur Systemintegration als Grundlage\ + \ zur Software-Entwicklung verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A5 + name: Geeignete Steuerung der Anwendungsentwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.1 + description: Bei der Entwicklung von Individualsoftware SOLLTE ein geeignetes + Steuerungs- und Projektmanagementmodell verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.2 + description: "Hierbei SOLLTE das ausgew\xE4hlte Modell mit dem Auftragnehmenden\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.3 + description: "Bei der Steuerung SOLLTE es ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.4 + description: "Es SOLLTE insbesondere ber\xFCcksichtigt werden, dass das ben\xF6\ + tigte Personal ausreichend qualifiziert ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.5 + description: "Alle relevanten Phasen SOLLTEN w\xE4hrend des Lebenszyklus der\ + \ Software abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a5 + ref_id: APP.7.A5.6 + description: "Au\xDFerdem SOLLTE es ein geeignetes Entwicklungsmodell, ein Risikomanagement\ + \ sowie Qualit\xE4tsziele enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A6 + name: Dokumentation der Anforderungen an die Individualsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + ref_id: APP.7.A6.1 + description: Die Anforderungen aus den Anforderungskatalog, die Sicherheitsanforderungen + an den Prozess der Software-Entwicklung, sowie die Sicherheitsfunktionen zur + Systemintegration SOLLTEN umfassend dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + ref_id: APP.7.A6.2 + description: "Insbesondere SOLLTE ein Sicherheitsprofil f\xFCr die Anwendung\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + ref_id: APP.7.A6.3 + description: Dieses SOLLTE den Schutzbedarf der zu verarbeitenden Daten und + Funktionen dokumentieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + ref_id: APP.7.A6.4 + description: "Die Dokumentation mitsamt Sicherheitsprofil SOLLTE den Entwickelnden\ + \ zur Software-Entwicklung zur Verf\xFCgung gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a6 + ref_id: APP.7.A6.5 + description: "Die Dokumentation SOLLTE bei \xC4nderungen an der Individualsoftware\ + \ sowie bei funktionalen Updates aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A7 + name: Sichere Beschaffung von Individualsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + ref_id: APP.7.A7.1 + description: "Das Entwicklungsprojekt SOLLTE im Rahmen des hierf\xFCr bestens\ + \ geeigneten Projektmanagementmodells beauftragt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + ref_id: APP.7.A7.2 + description: "Sicherheitsaspekte SOLLTEN dabei bereits bei der Ausschreibung\ + \ und Vergabe ber\xFCcksichtigt werden, sodass" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + ref_id: APP.7.A7.3 + description: "\u2022 einerseits nur geeignete Auftragnehmende beauftragt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + ref_id: APP.7.A7.4 + description: "\u2022 andererseits aber keine weitreichenden R\xFCckschl\xFC\ + sse auf die Sicherheitsarchitektur durch die \xF6ffentlich verf\xFCgbaren\ + \ Informationen m\xF6glich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a7 + ref_id: APP.7.A7.5 + description: "In der Institution SOLLTEN definierte Prozesse und festgelegte\ + \ Kontaktpersonen existieren, die sicherstellen, dass die jeweiligen Rahmenbedingungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A8 + name: "Fr\xFChzeitige Beteiligung der Fachverantwortlichen bei entwicklungsbegleitenden\ + \ Software-Tests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a8 + ref_id: APP.7.A8.1 + description: "Fachverantwortliche SOLLTEN schon vor der endg\xFCltigen Abnahme\ + \ fr\xFChzeitig an entwicklungsbegleitenden Tests der Software-Entwickelnden\ + \ beteiligt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a8 + ref_id: APP.7.A8.2 + description: "Dies SOLLTE in Abstimmung mit dem Auftragnehmenden bereits initial\ + \ im Projektablaufplan ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A9 + name: "Treuh\xE4nderische Hinterlegung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + ref_id: APP.7.A9.1 + description: "F\xFCr institutionskritische Anwendungen SOLLTE gepr\xFCft werden,\ + \ ob diese gegen Ausfall des herstellenden Unternehmens abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + ref_id: APP.7.A9.2 + description: "Daf\xFCr SOLLTEN nicht zum Lieferumfang der Anwendung geh\xF6\ + rende Materialien und Informationen treuh\xE4nderisch hinterlegt werden, etwa\ + \ bei einer Escrow-Agentur." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + ref_id: APP.7.A9.3 + description: "Dokumentierter Code, Konstruktionspl\xE4ne, Schl\xFCssel oder\ + \ Passw\xF6rter SOLLTEN dazu geh\xF6ren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + ref_id: APP.7.A9.4 + description: Die Pflichten der Escrow-Agentur zur Hinterlegung und Herausgabe + SOLLTEN vertraglich geregelt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a9 + ref_id: APP.7.A9.5 + description: "Es SOLLTE gekl\xE4rt werden, wann das Hinterlegte an wen herausgegeben\ + \ werden darf." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7 + ref_id: APP.7.A10 + name: Beauftragung zertifizierter Software-Entwicklungsunternehmen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a10 + ref_id: APP.7.A10.1 + description: Werden besonders sicherheitskritische Anwendungen entwickelt, SOLLTEN + hierzu zertifizierte Software-Entwicklungsunternehmen beauftragt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-app-anwendungen:app.7.a10 + ref_id: APP.7.A10.2 + description: "Die Zertifizierung SOLLTE Sicherheitsaspekte f\xFCr relevante\ + \ Aspekte der Software-Entwicklung umfassen." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.yaml b/backend/library/libraries/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.yaml new file mode 100644 index 000000000..ede2666f6 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.yaml @@ -0,0 +1,5945 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-con-konzeption-und-vorgehensweisen +locale: de +ref_id: bs-it-gs-2023-con-konzeption-und-vorgehensweisen +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - CON:\ + \ Konzeption und Vorgehensweisen" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen + ref_id: bs-it-gs-2023-con-konzeption-und-vorgehensweisen + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - CON: Konzeption und Vorgehensweisen" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + assessable: false + depth: 1 + ref_id: CON.1 + name: Kryptokonzept + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A1 + name: Auswahl geeigneter kryptografischer Verfahren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + ref_id: CON.1.A1.1 + description: "Es M\xDCSSEN geeignete kryptografische Verfahren ausgew\xE4hlt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + ref_id: CON.1.A1.2 + description: "Dabei MUSS sichergestellt sein, dass etablierte Algorithmen verwendet\ + \ werden, die von der Fachwelt intensiv untersucht wurden und von denen keine\ + \ Sicherheitsl\xFCcken bekannt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + ref_id: CON.1.A1.3 + description: "Ebenso M\xDCSSEN aktuell empfohlene Schl\xFCssell\xE4ngen verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + ref_id: CON.1.A1.4 + description: "Um eine geeignete Schl\xFCssell\xE4nge auszuw\xE4hlen, SOLLTE\ + \ ber\xFCcksichtigt werden, wie lange das kryptografische Verfahren eingesetzt\ + \ werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1 + ref_id: CON.1.A1.5 + description: "Bei einer l\xE4ngeren Einsatzdauer SOLLTEN entsprechend l\xE4\ + ngere Schl\xFCssell\xE4ngen eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A2 + name: Datensicherung beim Einsatz kryptografischer Verfahren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + ref_id: CON.1.A2.1 + description: "In Datensicherungen M\xDCSSEN kryptografische Schl\xFCssel vom\ + \ IT-Betrieb derart gespeichert oder aufbewahrt werden, dass Unbefugte nicht\ + \ darauf zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + ref_id: CON.1.A2.2 + description: "Langlebige kryptografische Schl\xFCssel M\xDCSSEN offline, au\xDF\ + erhalb der eingesetzten IT-Systeme, aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + ref_id: CON.1.A2.3 + description: "Bei einer Langzeitspeicherung verschl\xFCsselter Informationen\ + \ SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die verwendeten kryptografischen\ + \ Algorithmen und die Schl\xFCssell\xE4ngen noch f\xFCr die jeweiligen Informationen\ + \ geeignet sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + ref_id: CON.1.A2.4 + description: "Der IT-Betrieb MUSS sicherstellen, dass auf verschl\xFCsselt gespeicherte\ + \ Informationen auch nach l\xE4ngeren Zeitr\xE4umen noch zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2 + ref_id: CON.1.A2.5 + description: Verwendete Hard- oder Software mit kryptografischen Funktionen + SOLLTE archiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A4 + name: "Geeignetes Schl\xFCsselmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.1 + description: "In einem geeigneten Schl\xFCsselmanagement f\xFCr kryptografische\ + \ Hard oder Software MUSS festgelegt werden, wie Schl\xFCssel und Zertifikate\ + \ erzeugt, gespeichert, ausgetauscht und wieder gel\xF6scht oder vernichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.2 + description: "Es MUSS ferner festgelegt werden, wie die Integrit\xE4t und Authentizit\xE4\ + t der Schl\xFCssel sichergestellt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.3 + description: "Kryptografische Schl\xFCssel SOLLTEN immer mit geeigneten Schl\xFC\ + sselgeneratoren und in einer sicheren Umgebung erzeugt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.4 + description: "In Hard- oder Software mit kryptografischen Funktionen SOLLTEN\ + \ voreingestellte Schl\xFCssel (ausgenommen \xF6ffentliche Zertifikate) ersetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.5 + description: "Ein Schl\xFCssel SOLLTE m\xF6glichst nur einem Einsatzzweck dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.6 + description: "Insbesondere SOLLTEN f\xFCr die Verschl\xFCsselung und Signaturbildung\ + \ unterschiedliche Schl\xFCssel benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.7 + description: "Kryptografische Schl\xFCssel SOLLTEN mit sicher geltenden Verfahren\ + \ ausgetauscht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.8 + description: "Wenn \xF6ffentliche Schl\xFCssel von Dritten verwendet werden,\ + \ MUSS sichergestellt sein, dass die Schl\xFCssel authentisch sind und die\ + \ Integrit\xE4t der Schl\xFCsseldaten gew\xE4hrleistet ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.9 + description: "Geheime Schl\xFCssel M\xDCSSEN sicher gespeichert und vor unbefugtem\ + \ Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.10 + description: "Alle kryptografischen Schl\xFCssel SOLLTEN hinreichend h\xE4ufig\ + \ gewechselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.11 + description: "Grunds\xE4tzlich SOLLTE geregelt werden, wie mit abgelaufenen\ + \ Schl\xFCsseln und damit verbundenen Signaturen verfahren wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.12 + description: "Falls die G\xFCltigkeit von Schl\xFCsseln oder Zertifikaten zeitlich\ + \ eingeschr\xE4nkt wird, dann MUSS durch die Institution sichergestellt werden,\ + \ dass die zeitlich eingeschr\xE4nkten Zertifikate oder Schl\xFCssel rechtzeitig\ + \ erneuert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.13 + description: "Eine Vorgehensweise SOLLTE f\xFCr den Fall festgelegt werden,\ + \ dass ein privater Schl\xFCssel offengelegt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4 + ref_id: CON.1.A4.14 + description: "Alle erzeugten kryptografischen Schl\xFCssel SOLLTEN sicher aufbewahrt\ + \ und verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A5 + name: "Sicheres L\xF6schen und Vernichten von kryptografischen Schl\xFCsseln" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5 + ref_id: CON.1.A5.1 + description: "Nicht mehr ben\xF6tigte private Schl\xFCssel SOLLTEN sicher gel\xF6\ + scht oder vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5 + ref_id: CON.1.A5.2 + description: "Die Vorgehensweisen und eingesetzten Methoden, um nicht mehr ben\xF6\ + tigte private Schl\xFCssel zu l\xF6schen oder zu vernichten, SOLLTEN im Kryptokonzept\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A9 + name: "Festlegung von Kriterien f\xFCr die Auswahl von Hard- oder Software mit\ + \ kryptografischen Funktionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.1 + description: Im Kryptokonzept SOLLTE festgelegt werden, anhand welcher Kriterien + und Anforderungen Hard- oder Software mit kryptografischen Funktionen ausgesucht + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.2 + description: Hierbei SOLLTEN Aspekte wie + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.3 + description: "\u2022 Funktionsumfang," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.4 + description: "\u2022 Interoperabilit\xE4t," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.5 + description: "\u2022 Wirtschaftlichkeit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.6 + description: "\u2022 Fehlbedienungs- und Fehlfunktionssicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.7 + description: "\u2022 technische Aspekte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.8 + description: "\u2022 personelle und organisatorische Aspekte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.9 + description: "\u2022 Lebensdauer von kryptografischen Verfahren und der eingesetzten\ + \ Schl\xFCssell\xE4ngen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.10 + description: "\u2022 gesetzliche Rahmenbedingungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.11 + description: "\u2022 internationale rechtliche Aspekte wie Export- und Importbeschr\xE4\ + nkungen f\xFCr Hard- oder Software mit kryptografischen Funktionen, wenn die\ + \ kryptografischen Verfahren auch im Ausland eingesetzt werden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.12 + description: "\u2022 Datenschutz ber\xFCcksichtigt und im Kryptokonzept dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9 + ref_id: CON.1.A9.13 + description: "Dabei SOLLTE grunds\xE4tzlich zertifizierte Hard- oder Software\ + \ mit kryptografischen Funktionen, deren Zertifizierung die jeweils relevanten\ + \ Aspekte der Kryptografie umfasst, bevorzugt ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A10 + name: Erstellung eines Kryptokonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.1 + description: "Ausgehend von dem allgemeinen Sicherheitskonzept der Institution\ + \ SOLLTE ein Kryptokonzept f\xFCr Hard- oder Software mit kryptografischen\ + \ Funktionen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.2 + description: Im Kryptokonzept SOLLTE beschrieben werden, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.3 + description: "\u2022 wie die Datensicherungen von kryptografischen Schl\xFC\ + sseln durchgef\xFChrt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.4 + description: "\u2022 wie das Schl\xFCsselmanagement von kryptografischen Schl\xFC\ + sseln ausgestaltet ist sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.5 + description: "\u2022 wie das Krypto-Kastaster erhoben wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.6 + description: Weiterhin SOLLTE im Kryptokonzept beschrieben werden, wie sichergestellt + wird, dass kryptografische Funktionen von Hard- oder Software sicher konfiguriert + und korrekt eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.7 + description: "Im Kryptokonzept SOLLTEN alle technischen Vorgaben f\xFCr Hard-\ + \ und Software mit kryptografischen Funktionen beschrieben werden (z. B. Anforderungen,\ + \ Konfiguration oder Parameter)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.8 + description: "Um geeignete kryptografische Verfahren auszuw\xE4hlen, SOLLTE\ + \ die BSI TR 02102 ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.9 + description: "Wird das Kryptokonzept ver\xE4ndert oder von ihm abgewichen, SOLLTE\ + \ dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.10 + description: Das Kryptokonzept SOLLTE allen bekannt sein, die kryptografische + Verfahren einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.11 + description: "Au\xDFerdem SOLLTE es bindend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10 + ref_id: CON.1.A10.12 + description: Insbesondere der IT-Betrieb SOLLTE die kryptografischen Vorgaben + des Kryptokonzepts umsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A11 + name: Test von Hardware mit kryptografischen Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11 + ref_id: CON.1.A11.1 + description: "Im Kryptokonzept SOLLTEN Testverfahren f\xFCr Hardware mit kryptografischen\ + \ Funktionen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11 + ref_id: CON.1.A11.2 + description: Bevor Hardware mit kryptografischen Funktionen eingesetzt wird, + sollte getestet werden, ob die kryptografischen Funktionen korrekt funktionieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11 + ref_id: CON.1.A11.3 + description: "Wenn ein IT-System ge\xE4ndert wird, SOLLTE getestet werden, ob\ + \ die eingesetzte kryptografische Hardware noch ordnungsgem\xE4\xDF funktioniert." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11 + ref_id: CON.1.A11.4 + description: "Die Konfiguration der kryptografischen Hardware SOLLTE regelm\xE4\ + \xDFig \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A15 + name: "Reaktion auf praktische Schw\xE4chung eines Kryptoverfahrens" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15 + ref_id: CON.1.A15.1 + description: "Die Institution SOLLTE mindestens j\xE4hrlich anhand des Krypto-Katasters\ + \ \xFCberpr\xFCfen, ob die eingesetzten kryptografischen Verfahren und die\ + \ zugeh\xF6rigen Parameter noch ausreichend sicher sind und keine bekannten\ + \ Schwachstellen aufweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15 + ref_id: CON.1.A15.2 + description: "Im Kryptokonzept SOLLTE ein Prozess f\xFCr den Fall definiert\ + \ und dokumentiert werden, dass Schwachstellen in kryptografischen Verfahren\ + \ auftreten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15 + ref_id: CON.1.A15.3 + description: "Dabei SOLLTE sichergestellt werden, dass das geschw\xE4chte kryptografische\ + \ Verfahren entweder abgesichert oder durch eine geeignete Alternative abgel\xF6\ + st wird, sodass hieraus kein Sicherheitsrisiko entsteht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A16 + name: Physische Absicherung von Hardware mit kryptografischen Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16 + ref_id: CON.1.A16.1 + description: Im Kryptokonzept SOLLTE festgelegt werden, wie der IT-Betrieb sicherstellt, + dass nicht unautorisiert physisch auf Hardware mit kryptografischen Funktionen + zugegriffen werden kann. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A17 + name: Abstrahlsicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17 + ref_id: CON.1.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob zus\xE4tzliche Ma\xDFnahmen hinsichtlich\ + \ der Abstrahlsicherheit notwendig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17 + ref_id: CON.1.A17.2 + description: "Dies SOLLTE insbesondere dann geschehen, wenn staatliche Verschlusssachen\ + \ (VS) der Geheimhaltungsgrade VS-VERTRAULICH und h\xF6her verarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17 + ref_id: CON.1.A17.3 + description: "Getroffene Ma\xDFnahmen hinsichtlich der Abstrahlsicherheit SOLLTEN\ + \ im Kryptokonzept dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A18 + name: Kryptografische Ersatzhardware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18 + ref_id: CON.1.A18.1 + description: "Hardware mit kryptografischen Funktionen (z. B. Hardware-Token\ + \ f\xFCr Zwei-Faktor-Authentifizierung) SOLLTE vorr\xE4tig sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18 + ref_id: CON.1.A18.2 + description: "Im Kryptokonzept SOLLTE dokumentiert werden, f\xFCr welche Hardware\ + \ mit kryptografischen Funktionen Ersatzhardware zur Verf\xFCgung steht und\ + \ wie diese ausgetauscht werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A19 + name: Erstellung eines Krypto-Katasters + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.1 + description: "F\xFCr jede Gruppe von IT-Systemen SOLLTEN folgende Informationen\ + \ im Krypto-Kataster festgehalten werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.2 + description: "\u2022 Einsatzzweck (z. B. Festplattenverschl\xFCsselung oder\ + \ Verschl\xFCsselung einer Kommunikationsverbindung)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.3 + description: "\u2022 Zust\xE4ndige" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.4 + description: "\u2022 eingesetztes kryptografische Verfahren" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.5 + description: "\u2022 eingesetzte Hard- oder Software mit kryptografischen Funktionen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19 + ref_id: CON.1.A19.6 + description: "\u2022 eingesetzte sicherheitsrelevante Parameter (z. B. Schl\xFC\ + ssell\xE4ngen)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1 + ref_id: CON.1.A20 + name: "Manipulationserkennung f\xFCr Hard- oder Software mit kryptografischen\ + \ Funktionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20 + ref_id: CON.1.A20.1 + description: "Hard- und Software mit kryptografischen Funktionen SOLLTE auf\ + \ Manipulationsversuche hin \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2 + assessable: false + depth: 1 + ref_id: CON.2 + name: Datenschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2 + ref_id: CON.2.A1 + name: Umsetzung Standard-Datenschutzmodell + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1 + ref_id: CON.2.A1.1 + description: "Die gesetzlichen Bestimmungen zum Datenschutz (DSGVO, BDSG, die\ + \ Datenschutzgesetze der Bundesl\xE4nder und gegebenenfalls einschl\xE4gige\ + \ bereichsspezifische Datenschutzregelungen) M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1 + ref_id: CON.2.A1.2 + description: "Wird die SDM-Methodik nicht ber\xFCcksichtigt, die Ma\xDFnahmen\ + \ also nicht auf der Basis der Gew\xE4hrleistungsziele systematisiert und\ + \ mit dem Referenzma\xDFnahmen-Katalog des SDM abgeglichen, SOLLTE dies begr\xFC\ + ndet und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + assessable: false + depth: 1 + ref_id: CON.3 + name: Datensicherungskonzept + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A1 + name: "Erhebung der Einflussfaktoren f\xFCr Datensicherungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.1 + description: "Der IT-Betrieb MUSS f\xFCr jedes IT-System und darauf ausgef\xFC\ + hrten Anwendungen die Rahmenbedingungen f\xFCr die Datensicherung erheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.2 + description: "Dazu M\xDCSSEN die Fachverantwortlichen f\xFCr die Anwendungen\ + \ ihre Anforderungen an die Datensicherung definieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.3 + description: 'Der IT-Betrieb MUSS mindestens die nachfolgenden Rahmenbedingungen + mit den Fachverantwortlichen abstimmen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.4 + description: "\u2022 zu sichernde Daten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.5 + description: "\u2022 Speichervolumen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.6 + description: "\u2022 \xC4nderungsvolumen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.7 + description: "\u2022 \xC4nderungszeitpunkte," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.8 + description: "\u2022 Verf\xFCgbarkeitsanforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.9 + description: "\u2022 Vertraulichkeitsanforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.10 + description: "\u2022 Integrit\xE4tsbedarf," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.11 + description: "\u2022 rechtliche Anforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.12 + description: "\u2022 Anforderungen an das L\xF6schen und Vernichten der Daten\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.13 + description: "\u2022 Zust\xE4ndigkeiten f\xFCr die Datensicherung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.14 + description: "Die Einflussfaktoren M\xDCSSEN nachvollziehbar und auf geeignete\ + \ Weise festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1 + ref_id: CON.3.A1.15 + description: "Neue Anforderungen M\xDCSSEN zeitnah ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A2 + name: "Festlegung der Verfahrensweisen f\xFCr die Datensicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.1 + description: Der IT-Betrieb MUSS Verfahren festlegen, wie die Daten gesichert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.2 + description: "F\xFCr die Datensicherungsverfahren M\xDCSSEN Art, H\xE4ufigkeit\ + \ und Zeitpunkte der Datensicherungen bestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.3 + description: Dies MUSS wiederum auf Basis der erhobenen Einflussfaktoren und + in Abstimmung mit den jeweiligen Fachverantwortlichen geschehen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.4 + description: "Auch MUSS definiert sein, welche Speichermedien benutzt werden\ + \ und wie die Transport- und Aufbewahrungsmodalit\xE4ten ausgestaltet sein\ + \ m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.5 + description: "Datensicherungen M\xDCSSEN immer auf separaten Speichermedien\ + \ f\xFCr die Datensicherung gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.6 + description: "Besonders sch\xFCtzenswerte Speichermedien f\xFCr die Datensicherung\ + \ SOLLTEN nur w\xE4hrend der Datensicherung und Datenwiederherstellung mit\ + \ dem Netz der Institution oder dem Ursprungssystem verbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2 + ref_id: CON.3.A2.7 + description: "In virtuellen Umgebungen sowie f\xFCr Storage-Systeme SOLLTE gepr\xFC\ + ft werden, ob das IT-System erg\xE4nzend durch Snapshot-Mechanismen gesichert\ + \ werden kann, um hierdurch mehrere schnell wiederherstellbare Zwischenversionen\ + \ zwischen den vollst\xE4ndigen Datensicherungen zu erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A4 + name: "Erstellung von Datensicherungspl\xE4nen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.1 + description: "Der IT-Betrieb MUSS Datensicherungspl\xE4ne je IT-System oder\ + \ Gruppe von IT-Systemen auf Basis der festgelegten Verfahrensweise f\xFC\ + r die Datensicherung erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.2 + description: "Diese M\xDCSSEN festlegen, welche Anforderungen f\xFCr die Datensicherung\ + \ mindestens einzuhalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.3 + description: "Die Datensicherungspl\xE4ne M\xDCSSEN mindestens eine kurze Beschreibung\ + \ dazu enthalten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.4 + description: "\u2022 welche IT-Systeme und welche darauf befindlichen Daten\ + \ durch welche Datensicherung gesichert werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.5 + description: "\u2022 in welcher Reihenfolge IT-System und Anwendungen wiederhergestellt\ + \ werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.6 + description: "\u2022 wie die Datensicherungen erstellt und wiederhergestellt\ + \ werden k\xF6nnen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.7 + description: "\u2022 wie lange Datensicherungen aufbewahrt werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.8 + description: "\u2022 wie die Datensicherungen vor unbefugtem Zugriff und \xDC\ + berschreiben gesichert werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.9 + description: "\u2022 welche Parameter zu w\xE4hlen sind sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4 + ref_id: CON.3.A4.10 + description: "\u2022 welche Hard- und Software eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A5 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5 + ref_id: CON.3.A5.1 + description: "Regelm\xE4\xDFige Datensicherungen M\xDCSSEN gem\xE4\xDF den Datensicherungspl\xE4\ + nen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5 + ref_id: CON.3.A5.2 + description: "Alle Mitarbeitenden M\xDCSSEN \xFCber die Regelungen zur Datensicherung\ + \ informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5 + ref_id: CON.3.A5.3 + description: "Auch M\xDCSSEN sie dar\xFCber informiert werden, welche Aufgaben\ + \ sie bei der Erstellung von Datensicherungen haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A6 + name: Entwicklung eines Datensicherungskonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.1 + description: 'Die Institution SOLLTE ein Datensicherungskonzept erstellen, dass + mindestens die nachfolgenden Punkte umfasst:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.2 + description: "\u2022 Definitionen zu wesentlichen Aspekten der Datensicherung\ + \ (z. B. unterschiedliche Verfahrensweisen zur Datensicherung)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.3 + description: "\u2022 Gef\xE4hrdungslage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.4 + description: "\u2022 Einflussfaktoren je IT-System oder Gruppe von IT-Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.5 + description: "\u2022 Datensicherungspl\xE4ne je IT-System oder Gruppe von IT-Systemen\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.6 + description: "\u2022 relevante Ergebnisse des Notfallmanagements/BCM, insbesondere\ + \ die Recovery Point Objective (RPO) je IT-System oder Gruppe von IT-Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.7 + description: Der IT-Betrieb SOLLTE das Datensicherungskonzept mit den jeweiligen + Fachverantwortlichen der betreffenden Anwendungen abstimmen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.8 + description: "Wird ein zentrales Datensicherungssystem f\xFCr die Sicherung\ + \ der Daten eingesetzt, SOLLTE beachtet werden, dass sich aufgrund der Konzentration\ + \ der Daten ein h\xF6herer Schutzbedarf ergeben kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.9 + description: "Datensicherungen SOLLTEN regelm\xE4\xDFig gem\xE4\xDF dem Datensicherungskonzept\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.10 + description: Das Datensicherungskonzept selbst SOLLTE auch in einer Datensicherung + enthalten sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.11 + description: "Die im Datensicherungskonzept enthaltenen technischen Informationen,\ + \ um Systeme und Datensicherungen wiederherzustellen (Datensicherungspl\xE4\ + ne), SOLLTEN in der Art gesichert werden, dass sie auch verf\xFCgbar sind,\ + \ wenn die Datensicherungssysteme selbst ausfallen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.12 + description: "Die Mitarbeitenden SOLLTEN \xFCber den Teil des Datensicherungskonzepts\ + \ unterrichtet werden, der sie betrifft." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6 + ref_id: CON.3.A6.13 + description: "Regelm\xE4\xDFig SOLLTE kontrolliert werden, ob das Datensicherungskonzept\ + \ korrekt umgesetzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A7 + name: Beschaffung eines geeigneten Datensicherungssystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7 + ref_id: CON.3.A7.1 + description: "Bevor ein Datensicherungssystem beschafft wird, SOLLTE der IT-Betrieb\ + \ eine Anforderungsliste erstellen, nach der die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7 + ref_id: CON.3.A7.2 + description: "Die angeschafften Datensicherungssysteme SOLLTEN die Anforderungen\ + \ des Datensicherungskonzepts der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A9 + name: "Voraussetzungen f\xFCr die Online-Datensicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.1 + description: "Wenn f\xFCr die Datensicherung ein Online-Speicher genutzt werden\ + \ soll, SOLLTEN mindestens folgende Punkte vertraglich geregelt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.2 + description: "\u2022 Gestaltung des Vertrages," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.3 + description: "\u2022 Ort der Datenspeicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.4 + description: "\u2022 Vereinbarungen zur Dienstg\xFCte (SLA), insbesondere in\ + \ Hinsicht auf die Verf\xFCgbarkeit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.5 + description: "\u2022 geeignete Authentisierungsmethoden f\xFCr den Zugriff," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.6 + description: "\u2022 Verschl\xFCsselung der Daten auf dem Online-Speicher sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.7 + description: "\u2022 Verschl\xFCsselung auf dem Transportweg." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9 + ref_id: CON.3.A9.8 + description: "Zudem SOLLTEN Sicherungssystem und Netzanbindung so beschaffen\ + \ sein, dass die zul\xE4ssigen Sicherungs- bzw. Wiederherstellungszeiten nicht\ + \ \xFCberschritten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A12 + name: "Sichere Aufbewahrung der Speichermedien f\xFCr die Datensicherungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12 + ref_id: CON.3.A12.1 + description: "Die Speichermedien f\xFCr die Datensicherung M\xDCSSEN r\xE4umlich\ + \ getrennt von den gesicherten IT-Systemen aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12 + ref_id: CON.3.A12.2 + description: Sie SOLLTEN in einem anderen Brandabschnitt aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12 + ref_id: CON.3.A12.3 + description: "Der Aufbewahrungsort SOLLTE so klimatisiert sein, dass die Datentr\xE4\ + ger entsprechend der zeitlichen Vorgaben des Datensicherungskonzepts aufbewahrt\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A13 + name: Einsatz kryptografischer Verfahren bei der Datensicherung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13 + ref_id: CON.3.A13.1 + description: "Um die Vertraulichkeit der gesicherten Daten zu gew\xE4hrleisten,\ + \ SOLLTE der IT-Betrieb alle Datensicherungen verschl\xFCsseln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13 + ref_id: CON.3.A13.2 + description: "Es SOLLTE sichergestellt werden, dass sich die verschl\xFCsselten\ + \ Daten auch nach l\xE4ngerer Zeit wieder einspielen lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13 + ref_id: CON.3.A13.3 + description: "Verwendete kryptografische Schl\xFCssel SOLLTEN mit einer getrennten\ + \ Datensicherung gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A14 + name: Schutz von Datensicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14 + ref_id: CON.3.A14.1 + description: "Die erstellten Datensicherungen M\xDCSSEN in geeigneter Weise\ + \ vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14 + ref_id: CON.3.A14.2 + description: "Hierbei MUSS insbesondere sichergestellt werden, dass Datensicherungen\ + \ nicht absichtlich oder unbeabsichtigt \xFCberschrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14 + ref_id: CON.3.A14.3 + description: "IT-Systeme, die f\xFCr die Datensicherung eingesetzt werden, SOLLTEN\ + \ einen schreibenden Zugriff auf die Speichermedien f\xFCr die Datensicherung\ + \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ + tigkeiten gestatten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14 + ref_id: CON.3.A14.4 + description: "Alternativ SOLLTEN die Speichermedien f\xFCr die Datensicherung\ + \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ + tigkeiten mit den entsprechenden IT-Systemen verbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3 + ref_id: CON.3.A15 + name: "Regelm\xE4\xDFiges Testen der Datensicherungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15 + ref_id: CON.3.A15.1 + description: "Es MUSS regelm\xE4\xDFig getestet werden, ob die Datensicherungen\ + \ wie gew\xFCnscht funktionieren, vor allem, ob gesicherte Daten einwandfrei\ + \ und in angemessener Zeit zur\xFCckgespielt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + assessable: false + depth: 1 + ref_id: CON.6 + name: "L\xF6schen und Vernichten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A1 + name: "Regelung f\xFCr die L\xF6schung und Vernichtung von Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.1 + description: "Die Institution MUSS das L\xF6schen und Vernichten von Informationen\ + \ regeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.2 + description: "Dabei M\xDCSSEN die Fachverantwortlichen f\xFCr jedes Fachverfahren\ + \ bzw. Gesch\xE4ftsprozess regeln, welche Informationen unter welchen Voraussetzungen\ + \ gel\xF6scht und entsorgt werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.3 + description: "Hierbei M\xDCSSEN die gesetzlichen Bestimmungen beachtet werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.4 + description: "\u2022 die einerseits minimale Aufbewahrungsfristen bestimmen\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.5 + description: "\u2022 anderseits maximale Aufbewahrungszeiten und ein Anrecht\ + \ auf das sichere L\xF6schen von personenbezogenen Daten garantieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.6 + description: "Sind personenbezogene Daten betroffen, dann M\xDCSSEN die Regelungen\ + \ zum L\xF6schen und Vernichten mit Bezug zu personenbezogenen Daten mit dem\ + \ oder der Datenschutzbeauftragten abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1 + ref_id: CON.6.A1.7 + description: "Das L\xF6schen und Vernichten von Informationen MUSS dabei f\xFC\ + r Fachverfahren, Gesch\xE4ftsprozesse und IT-Systeme geregelt werden, bevor\ + \ diese produktiv eingef\xFChrt worden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A2 + name: "Ordnungsgem\xE4\xDFes L\xF6schen und Vernichten von sch\xFCtzenswerten\ + \ Betriebsmitteln und Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.1 + description: "Bevor schutzbed\xFCrftigen Informationen und Datentr\xE4ger entsorgt\ + \ werden, M\xDCSSEN sie sicher gel\xF6scht oder vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.2 + description: Zu diesem Zweck MUSS der Prozess klar geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.3 + description: "Einzelne Mitarbeitende M\xDCSSEN dar\xFCber informiert werden,\ + \ welche Aufgaben sie zum sicheren L\xF6schen und Vernichten erf\xFCllen m\xFC\ + ssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.4 + description: "Der Prozess zum L\xF6schen und Vernichten von Datentr\xE4gern\ + \ MUSS auch Datensicherungen, wenn erforderlich, ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.5 + description: "Der Standort von Vernichtungseinrichtungen auf dem Gel\xE4nde\ + \ der Institution MUSS klar geregelt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.6 + description: "Dabei MUSS auch ber\xFCcksichtigt werden, dass Informationen und\ + \ Betriebsmittel eventuell erst gesammelt und erst sp\xE4ter gel\xF6scht oder\ + \ vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2 + ref_id: CON.6.A2.7 + description: Eine solche zentrale Sammelstelle MUSS vor unbefugten Zugriffen + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A4 + name: "Auswahl geeigneter Verfahren zur L\xF6schung oder Vernichtung von Datentr\xE4\ + gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + ref_id: CON.6.A4.1 + description: "Die Institution SOLLTE \xFCberpr\xFCfen, ob die Mindestanforderungen\ + \ an die Verfahrensweisen zur L\xF6schung und Vernichtung (siehe dazu CON.6.A12\ + \ Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung) f\xFC\ + r die tats\xE4chlich eingesetzten Datentr\xE4ger und darauf befindlichen Informationen\ + \ ausreichend sicher sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + ref_id: CON.6.A4.2 + description: "Auf diesem Ergebnis aufbauend SOLLTE die Institution geeignete\ + \ Verfahren zur L\xF6schung und Vernichtung je Datentr\xE4ger bestimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + ref_id: CON.6.A4.3 + description: "F\xFCr alle eingesetzten Datentr\xE4gerarten, die von der Institution\ + \ selbst vernichtet bzw. gel\xF6scht werden, SOLLTE es geeignete Ger\xE4te\ + \ und Werkzeuge geben, mit denen die zust\xE4ndigen Mitarbeitenden die gespeicherten\ + \ Informationen l\xF6schen oder vernichten k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + ref_id: CON.6.A4.4 + description: "Die ausgew\xE4hlten Verfahrensweisen SOLLTEN allen verantwortlichen\ + \ Mitarbeitenden bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4 + ref_id: CON.6.A4.5 + description: "Die Institution SOLLTE regelm\xE4\xDFig kontrollieren, ob die\ + \ gew\xE4hlten Verfahren noch dem Stand der Technik entsprechen und f\xFC\ + r die Institution noch ausreichend sicher sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A8 + name: "Erstellung einer Richtlinie f\xFCr die L\xF6schung und Vernichtung von\ + \ Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + ref_id: CON.6.A8.1 + description: "Die Regelungen der Institution zum L\xF6schen und Vernichten SOLLTEN\ + \ in einer Richtlinie dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + ref_id: CON.6.A8.2 + description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ + \ bekannt sein und die Grundlage f\xFCr ihre Arbeit und ihr Handeln bilden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + ref_id: CON.6.A8.3 + description: "Inhaltlich SOLLTE die Richtlinie alle eingesetzten Datentr\xE4\ + ger, Anwendungen, IT-Systeme und sonstigen Betriebsmittel und Informationen\ + \ enthalten, die vom L\xF6schen und Vernichten betroffen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + ref_id: CON.6.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ + ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8 + ref_id: CON.6.A8.5 + description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A11 + name: "L\xF6schung und Vernichtung von Datentr\xE4gern durch externe Dienstleistende" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11 + ref_id: CON.6.A11.1 + description: "Wenn externe Dienstleistende beauftragt werden, MUSS der Prozess\ + \ zum L\xF6schen und Vernichten ausreichend sicher und nachvollziehbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11 + ref_id: CON.6.A11.2 + description: "Die von externen Dienstleistenden eingesetzten Verfahrensweisen\ + \ zum sicheren L\xF6schen und Vernichten M\xDCSSEN mindestens die institutionsinternen\ + \ Anforderungen an die Verfahrensweisen zur L\xF6schung und Vernichtung erf\xFC\ + llen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11 + ref_id: CON.6.A11.3 + description: "Die mit der L\xF6schung und Vernichtung beauftragten Unternehmen\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob der L\xF6\ + sch- bzw. Vernichtungsvorgang noch korrekt abl\xE4uft." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A12 + name: "Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.1 + description: "Die Institution MUSS mindestens die nachfolgenden Verfahren zum\ + \ L\xF6schen und Vernichten von sch\xFCtzenswerten Datentr\xE4gern einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.2 + description: "Diese Verfahren SOLLTEN in Abh\xE4ngigkeit des Schutzbedarfs der\ + \ verarbeiteten Daten \xFCberpr\xFCft und, falls erforderlich, angepasst werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.3 + description: "\u2022 Digitale wiederbeschreibbare Datentr\xE4ger M\xDCSSEN vollst\xE4\ + ndig mit einem Datenstrom aus Zufallswerten (z. B. PRNG Stream) \xFCberschrieben\ + \ werden, wenn sie nicht verschl\xFCsselt eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.4 + description: "\u2022 Wenn digitale Datentr\xE4ger verschl\xFCsselt eingesetzt\ + \ werden, M\xDCSSEN sie durch ein sicheres L\xF6schen des Schl\xFCssels unter\ + \ Beachtung des Kryptokonzepts gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.5 + description: "\u2022 Optische Datentr\xE4ger M\xDCSSEN mindestens nach Sicherheitsstufe\ + \ O-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.6 + description: "\u2022 Smartphones oder sonstige Smart Devices SOLLTEN entsprechend\ + \ des Kryptokonzepts verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.7 + description: "Smartphones oder sonstige Smart Devices M\xDCSSEN auf die Werkseinstellung\ + \ (Factory Reset) zur\xFCckgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.8 + description: "Anschlie\xDFend SOLLTE der Einrichtungsvorgang zum Abschluss des\ + \ L\xF6schvorgangs durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.9 + description: "\u2022 IoT Ger\xE4te M\xDCSSEN auf den Werkszustand zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.10 + description: "Anschlie\xDFend M\xDCSSEN alle in den IoT-Ger\xE4ten hinterlegten\ + \ Zugangsdaten ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.11 + description: "\u2022 Papier MUSS mindestens nach Sicherheitsstufe P-3 entsprechend\ + \ der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.12 + description: "\u2022 In sonstigen Ger\xE4ten integrierte Datentr\xE4ger M\xDC\ + SSEN \xFCber die integrierten Funktionen sicher gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12 + ref_id: CON.6.A12.13 + description: "Ist das nicht m\xF6glich, M\xDCSSEN die Massenspeicher ausgebaut\ + \ und entweder wie herk\xF6mmliche digitale Datentr\xE4ger von einem separatem\ + \ IT-System aus sicher gel\xF6scht werden oder mindestens nach Sicherheitsstufe\ + \ E-3 bzw. H-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A13 + name: "Vernichtung defekter digitaler Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13 + ref_id: CON.6.A13.1 + description: "K\xF6nnen digitale Datentr\xE4ger mit sch\xFCtzenswerten Informationen\ + \ aufgrund eines Defekts nicht sicher entsprechend der Verfahren zur L\xF6\ + schung von Datentr\xE4gern gel\xF6scht werden, dann SOLLTEN diese mindestens\ + \ entsprechend der Sicherheitsstufe 3 nach ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13 + ref_id: CON.6.A13.2 + description: "Alternativ SOLLTE f\xFCr den Fall, dass defekte Datentr\xE4ger\ + \ ausgetauscht oder repariert werden, vertraglich mit den hierzu beauftragten\ + \ Dienstleistenden vereinbart werden, dass diese Datentr\xE4ger durch die\ + \ Dienstleistenden sicher vernichtet oder gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13 + ref_id: CON.6.A13.3 + description: "Die Verfahrensweisen der Dienstleistenden SOLLTEN hierbei mindestens\ + \ die institutionsinternen Anforderungen an die Verfahrensweisen zur L\xF6\ + schung und Vernichtung erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6 + ref_id: CON.6.A14 + name: "Vernichten von Datentr\xE4gern auf erh\xF6hter Sicherheitsstufe" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14 + ref_id: CON.6.A14.1 + description: "Die Institution SOLLTE die erforderliche Sicherheitsstufe zur\ + \ Vernichtung von Datentr\xE4gern entsprechend der ISO/IEC 21964-1 anhand\ + \ des Schutzbedarf der zu vernichtenden Datentr\xE4ger bestimmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14 + ref_id: CON.6.A14.2 + description: "Die Datentr\xE4ger SOLLTEN entsprechend der zugewiesenen Sicherheitsstufe\ + \ nach ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + assessable: false + depth: 1 + ref_id: CON.7 + name: Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A1 + name: Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + ref_id: CON.7.A1.1 + description: "Alle f\xFCr die Informationssicherheit relevanten Aspekte, die\ + \ in Verbindung mit den T\xE4tigkeiten im Ausland stehen, M\xDCSSEN betrachtet\ + \ und geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + ref_id: CON.7.A1.2 + description: "Die Sicherheitsma\xDFnahmen, die in diesem Zusammenhang ergriffen\ + \ werden, M\xDCSSEN in einer Sicherheitsrichtlinie zur Informationssicherheit\ + \ auf Auslandsreisen dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + ref_id: CON.7.A1.3 + description: "Diese Sicherheitsrichtlinie oder ein entsprechendes Merkblatt\ + \ mit zu beachtenden Sicherheitsma\xDFnahmen M\xDCSSEN transnational agierenden\ + \ Mitarbeitenden ausgeh\xE4ndigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + ref_id: CON.7.A1.4 + description: "Erweiternd MUSS ein Sicherheitskonzept zum Umgang mit tragbaren\ + \ IT-Systemen auf Auslandsreisen erstellt werden, das alle Sicherheitsanforderungen\ + \ und -ma\xDFnahmen angemessen detailliert beschreibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1 + ref_id: CON.7.A1.5 + description: "Die Umsetzung des Sicherheitskonzeptes MUSS regelm\xE4\xDFig \xFC\ + berpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A2 + name: Sensibilisierung der Mitarbeitenden zur Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.1 + description: "Benutzende M\xDCSSEN im verantwortungsvollen Umgang mit Informationstechnik\ + \ bzw. tragbaren IT-Systemen auf Auslandsreisen sensibilisiert und geschult\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.2 + description: "Benutzende M\xDCSSEN die Gefahren kennen, die durch den unangemessenen\ + \ Umgang mit Informationen, die unsachgem\xE4\xDFe Vernichtung von Daten und\ + \ Datentr\xE4gern oder durch Schadsoftware und den unsicheren Datenaustausch\ + \ entstehen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.3 + description: "Au\xDFerdem M\xDCSSEN die Grenzen der eingesetzten Sicherheitsma\xDF\ + nahmen aufgezeigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.4 + description: "Die Benutzenden M\xDCSSEN dazu bef\xE4higt und darin best\xE4\ + rkt werden, einem Verlust oder Diebstahl vorzubeugen bzw. bei Ungereimtheiten\ + \ fachliche Beratung einzuholen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.5 + description: "Au\xDFerdem SOLLTEN Mitarbeitende auf gesetzliche Anforderungen\ + \ einzelner Reiseziele in Bezug auf die Reisesicherheit hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2 + ref_id: CON.7.A2.6 + description: "Hierzu MUSS sich der oder die Informationssicherheitsbeauftragte\ + \ \xFCber die gesetzlichen Anforderungen im Rahmen der Informationssicherheit\ + \ (z. B. Datenschutz, IT-Sicherheitsgesetz) informieren und die Mitarbeitenden\ + \ sensibilisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A3 + name: "Identifikation l\xE4nderspezifischer Regelungen, Reise- und Umgebungsbedingungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3 + ref_id: CON.7.A3.1 + description: "Vor Reiseantritt M\xDCSSEN die jeweils geltenden Regelungen der\ + \ einzelnen L\xE4nder durch das Informationssicherheitsmanagement bzw. die\ + \ Personalabteilung gepr\xFCft und an die entsprechenden Mitarbeitenden kommuniziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3 + ref_id: CON.7.A3.2 + description: "Die Institution MUSS geeignete Regelungen und Ma\xDFnahmen erstellen,\ + \ umsetzen und kommunizieren, die den angemessenen Schutz interner Daten erm\xF6\ + glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3 + ref_id: CON.7.A3.3 + description: "Dabei M\xDCSSEN die individuellen Reise- und Umgebungsbedingungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3 + ref_id: CON.7.A3.4 + description: "Au\xDFerdem M\xDCSSEN sich Mitarbeitende vor Reiseantritt mit\ + \ den klimatischen Bedingungen des Reiseziels auseinandersetzen und abkl\xE4\ + ren, welche Schutzma\xDFnahmen er f\xFCr sich ben\xF6tigt, z. B. Impfungen,\ + \ und welche Schutzma\xDFnahmen f\xFCr die mitgef\xFChrte Informationstechnik\ + \ n\xF6tig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A4 + name: Verwendung von Sichtschutz-Folien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4 + ref_id: CON.7.A4.1 + description: "Benutzende M\xDCSSEN insbesondere im Ausland darauf achten, dass\ + \ bei der Arbeit mit mobilen IT-Ger\xE4ten keine sch\xFCtzenswerten Informationen\ + \ ausgesp\xE4ht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4 + ref_id: CON.7.A4.2 + description: "Dazu MUSS ein angemessener Sichtschutz verwendet werden, der den\ + \ gesamten Bildschirm des jeweiligen Ger\xE4tes umfasst und ein Aussp\xE4\ + hen von Informationen erschwert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A5 + name: Verwendung der Bildschirm-/Code-Sperre + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5 + ref_id: CON.7.A5.1 + description: "Eine Bildschirm- bzw. Code-Sperre, die verhindert, dass Dritte\ + \ auf die Daten mobiler Endger\xE4te zugreifen k\xF6nnen, MUSS verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5 + ref_id: CON.7.A5.2 + description: "Die Benutzenden M\xDCSSEN dazu einen angemessenen Code bzw. ein\ + \ sicheres Ger\xE4tepasswort verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5 + ref_id: CON.7.A5.3 + description: "Die Bildschirmsperre MUSS sich nach einer kurzen Zeit der Inaktivit\xE4\ + t automatisch aktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A6 + name: Zeitnahe Verlustmeldung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6 + ref_id: CON.7.A6.1 + description: "Mitarbeitende M\xDCSSEN ihrer Institution umgehend melden, wenn\ + \ Informationen, IT-Systeme oder Datentr\xE4ger verloren gegangen sind oder\ + \ gestohlen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6 + ref_id: CON.7.A6.2 + description: "Hierf\xFCr MUSS es klare Meldewege und Kontaktpersonen innerhalb\ + \ der Institution geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6 + ref_id: CON.7.A6.3 + description: "Die Institution MUSS die m\xF6glichen Auswirkungen des Verlustes\ + \ bewerten und geeignete Gegenma\xDFnahmen ergreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A7 + name: Sicherer Remote-Zugriff auf das Netz der Institution + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.1 + description: "Um Besch\xE4ftigten auf Auslandsreisen einen sicheren Fernzugriff\ + \ auf das Netz der Institution zu erm\xF6glichen, MUSS zuvor vom IT-Betrieb\ + \ ein sicherer Remote-Zugang eingerichtet worden sein, z. B. ein Virtual Private\ + \ Network (VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.2 + description: Der VPN-Zugang MUSS kryptografisch abgesichert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.3 + description: "Au\xDFerdem M\xDCSSEN Benutzende \xFCber angemessen sichere Zugangsdaten\ + \ verf\xFCgen, um sich gegen\xFCber dem Endger\xE4t und dem Netz der Institution\ + \ erfolgreich zu authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.4 + description: "Mitarbeitende M\xDCSSEN den sicheren Remote-Zugriff f\xFCr jegliche\ + \ dar\xFCber m\xF6gliche Kommunikation nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.5 + description: "Es MUSS sichergestellt werden, dass nur autorisierte Personen\ + \ auf IT-Systeme zugreifen d\xFCrfen, die \xFCber einen Fernzugriff verf\xFC\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7 + ref_id: CON.7.A7.6 + description: "Mobile IT-Systeme M\xDCSSEN im Rahmen der M\xF6glichkeiten vor\ + \ dem direkten Anschluss an das Internet durch eine restriktiv konfigurierte\ + \ Personal Firewall gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A8 + name: "Sichere Nutzung von \xF6ffentlichen WLANs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8 + ref_id: CON.7.A8.1 + description: "Grunds\xE4tzlich MUSS geregelt werden, ob mobile IT-Systeme direkt\ + \ auf das Internet zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8 + ref_id: CON.7.A8.2 + description: "F\xFCr den Zugriff auf das Netz der Institution \xFCber \xF6ffentlich\ + \ zug\xE4ngliche WLANs M\xDCSSEN Benutzende ein VPN oder vergleichbare Sicherheitsmechanismen\ + \ verwenden (siehe CON.7.A7 Sicherer Remote-Zugriff und NET.2.2 WLAN-Nutzung)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8 + ref_id: CON.7.A8.3 + description: "Bei der Benutzung von WLAN-Hotspots M\xDCSSEN ebenfalls Sicherheitsma\xDF\ + nahmen getroffen werden, siehe auch INF.9 Mobiler Arbeitsplatz." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A9 + name: "Sicherer Umgang mit mobilen Datentr\xE4gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9 + ref_id: CON.7.A9.1 + description: "Werden mobile Datentr\xE4ger verwendet, M\xDCSSEN Benutzende vorab\ + \ gew\xE4hrleisten, dass diese nicht mit Schadsoftware infiziert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9 + ref_id: CON.7.A9.2 + description: "Vor der Weitergabe mobiler Datentr\xE4ger M\xDCSSEN Benutzende\ + \ au\xDFerdem sicherstellen, dass keine sch\xFCtzenswerten Informationen darauf\ + \ enthalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9 + ref_id: CON.7.A9.3 + description: "Wird er nicht mehr genutzt, MUSS der Datentr\xE4ger sicher gel\xF6\ + scht werden, insbesondere wenn er an andere Personen weitergegeben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9 + ref_id: CON.7.A9.4 + description: "Dazu MUSS der Datentr\xE4ger mit einem in der Institution festgelegten,\ + \ ausreichend sicheren Verfahren \xFCberschrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A10 + name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + ref_id: CON.7.A10.1 + description: "Damit sch\xFCtzenswerte Informationen nicht durch unberechtigte\ + \ Dritte eingesehen werden k\xF6nnen, M\xDCSSEN Mitarbeitende vor Reiseantritt\ + \ sicherstellen, dass alle sch\xFCtzenswerten Informationen entsprechend den\ + \ internen Richtlinien abgesichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + ref_id: CON.7.A10.2 + description: "Mobile Datentr\xE4ger und IT-Systeme SOLLTEN dabei vor Reiseantritt\ + \ durch Benutzende oder den IT-Betrieb verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + ref_id: CON.7.A10.3 + description: "Die kryptografischen Schl\xFCssel M\xDCSSEN getrennt vom verschl\xFC\ + sselten Ger\xE4t aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + ref_id: CON.7.A10.4 + description: "Bei der Verschl\xFCsselung von Daten SOLLTEN die gesetzlichen\ + \ Regelungen des Ziellandes beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10 + ref_id: CON.7.A10.5 + description: "Insbesondere landesspezifische Gesetze zur Herausgabe von Passw\xF6\ + rtern und zur Entschl\xFCsselung von Daten SOLLTEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A11 + name: Einsatz von Diebstahl-Sicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11 + ref_id: CON.7.A11.1 + description: "Zum Schutz der mobilen IT-Systeme au\xDFerhalb der Institution\ + \ SOLLTEN Benutzende Diebstahl-Sicherungen einsetzen, vor allem dort, wo ein\ + \ erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ + \ sehr hoch ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11 + ref_id: CON.7.A11.2 + description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahl-Sicherungen\ + \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A12 + name: "Sicheres Vernichten von schutzbed\xFCrftigen Materialien und Dokumenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12 + ref_id: CON.7.A12.1 + description: "Die Institution MUSS den Besch\xE4ftigten M\xF6glichkeiten aufzeigen,\ + \ schutzbed\xFCrftige Dokumente angemessen und sicher zu vernichten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12 + ref_id: CON.7.A12.2 + description: "Benutzende M\xDCSSEN diese Regelungen einhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12 + ref_id: CON.7.A12.3 + description: "Sie D\xDCRFEN interne Unterlagen der Institution NICHT entsorgen,\ + \ bevor diese sicher vernichtet worden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12 + ref_id: CON.7.A12.4 + description: "Ist dies vor Ort nicht m\xF6glich oder handelt es sich um Dokumente\ + \ bzw. Datentr\xE4ger mit besonders sch\xFCtzenswerten Informationen, M\xDC\ + SSEN diese bis zur R\xFCckkehr behalten und anschlie\xDFend angemessen vernichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A13 + name: "Mitnahme notwendiger Daten und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.1 + description: "Vor Reiseantritt SOLLTEN Benutzende pr\xFCfen, welche Daten w\xE4\ + hrend der Reise nicht unbedingt auf den IT-Systemen gebraucht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.2 + description: "Ist es nicht notwendig, diese Daten auf den Ger\xE4ten zu lassen,\ + \ SOLLTEN diese sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.3 + description: "Ist es n\xF6tig, sch\xFCtzenswerte Daten mit auf Reisen zu nehmen,\ + \ SOLLTE dies nur in verschl\xFCsselter Form erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.4 + description: "Dar\xFCber hinaus SOLLTE schriftlich geregelt sein, welche mobilen\ + \ Datentr\xE4ger auf Auslandsreisen mitgenommen werden d\xFCrfen und welche\ + \ Sicherheitsma\xDFnahmen dabei zu ber\xFCcksichtigen sind (z. B. Schutz vor\ + \ Schadsoftware, Verschl\xFCsselung gesch\xE4ftskritischer Daten, Aufbewahrung\ + \ mobiler Datentr\xE4ger)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.5 + description: Die Mitarbeitenden SOLLTEN diese Regelungen vor Reiseantritt kennen + und beachten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13 + ref_id: CON.7.A13.6 + description: Diese sicherheitstechnischen Anforderungen SOLLTEN sich nach dem + Schutzbedarf der zu bearbeitenden Daten im Ausland und der Daten, auf die + zugegriffen werden soll, richten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A14 + name: Kryptografisch abgesicherte E-Mail-Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + ref_id: CON.7.A14.1 + description: Die E-Mail-basierte Kommunikation SOLLTEN Benutzende entsprechend + den internen Vorgaben der Institution kryptografisch absichern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + ref_id: CON.7.A14.2 + description: "Die E-Mails SOLLTEN ebenfalls geeignet verschl\xFCsselt bzw. digital\ + \ signiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + ref_id: CON.7.A14.3 + description: "\xD6ffentliche IT-Systeme, etwa in Hotels oder Internetcaf\xE9\ + s, SOLLTEN NICHT f\xFCr den Zugriff auf E-Mails genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + ref_id: CON.7.A14.4 + description: "Bei der Kommunikation \xFCber E-Mail-Dienste, z. B. Webmail, SOLLTE\ + \ durch den IT-Betrieb vorab gekl\xE4rt werden, welche Sicherheitsmechanismen\ + \ beim Provider umgesetzt werden und ob damit die internen Sicherheitsanforderungen\ + \ erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14 + ref_id: CON.7.A14.5 + description: "Hierzu SOLLTE z. B. der sichere Betrieb der Server, der Aufbau\ + \ einer verschl\xFCsselten Verbindung und die Dauer der Datenspeicherung z\xE4\ + hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A15 + name: Abstrahlsicherheit tragbarer IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15 + ref_id: CON.7.A15.1 + description: "Es SOLLTE vor Beginn der Reise festgelegt werden, welchen Schutzbedarf\ + \ die einzelnen Informationen haben, die auf dem mobilen Datentr\xE4ger bzw.\ + \ Client der Mitarbeitenden im Ausland verarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15 + ref_id: CON.7.A15.2 + description: "Die Institution SOLLTE pr\xFCfen, ob die mitgef\xFChrten Informationen\ + \ einen besonderen Schutzbedarf haben, und entsprechend abstrahlarme bzw.\ + \ -sichere Datentr\xE4ger und Clients einsetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A16 + name: "Integrit\xE4tsschutz durch Check-Summen oder digitale Signaturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16 + ref_id: CON.7.A16.1 + description: "Benutzende SOLLTEN Check-Summen im Rahmen der Daten\xFCbertragung\ + \ und Datensicherung verwenden, um die Integrit\xE4t der Daten \xFCberpr\xFC\ + fen zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16 + ref_id: CON.7.A16.2 + description: "Besser noch SOLLTEN digitale Signaturen verwendet werden, um die\ + \ Integrit\xE4t von sch\xFCtzenswerten Informationen zu bewahren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A17 + name: Verwendung vorkonfigurierter Reise-Hardware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17 + ref_id: CON.7.A17.1 + description: "Damit sch\xFCtzenswerte Informationen der Institution auf Auslandsreisen\ + \ nicht von Dritten abgegriffen werden k\xF6nnen, SOLLTE der IT-Betrieb den\ + \ Mitarbeitenden vorkonfigurierte Reise-Hardware zur Verf\xFCgung stellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17 + ref_id: CON.7.A17.2 + description: "Diese Reise-Hardware SOLLTE auf Basis des Minimalprinzips nur\ + \ die Funktionen und Informationen bereitstellen, die zur Durchf\xFChrung\ + \ der Gesch\xE4ftst\xE4tigkeit unbedingt erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7 + ref_id: CON.7.A18 + name: "Eingeschr\xE4nkte Berechtigungen auf Auslandsreisen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18 + ref_id: CON.7.A18.1 + description: "Vor Reiseantritt SOLLTE gepr\xFCft werden, welche Berechtigungen\ + \ Mitarbeitende wirklich brauchen, um ihrem Alltagsgesch\xE4ft im Ausland\ + \ nachgehen zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18 + ref_id: CON.7.A18.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob Zugriffsrechte f\xFCr die Reisedauer\ + \ der Benutzenden durch den IT-Betrieb entzogen werden k\xF6nnen, um einen\ + \ unbefugten Zugriff auf Informationen der Institution zu verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + assessable: false + depth: 1 + ref_id: CON.8 + name: Software-Entwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A1 + name: "Definition von Rollen und Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.1 + description: "F\xFCr den Software-Entwicklungsprozess SOLLTE eine gesamtzust\xE4\ + ndige Person ein benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.2 + description: "Au\xDFerdem SOLLTEN die Rollen und Zust\xE4ndigkeiten f\xFCr alle\ + \ Aktivit\xE4ten im Rahmen der Software-Entwicklung festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.3 + description: 'Die Rollen SOLLTEN dabei fachlich die nachfolgenden Themen abdecken:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.4 + description: "\u2022 Requirements-Engineering (Anforderungsmanagement) und \xC4\ + nderungsmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.5 + description: "\u2022 Software-Entwurf und -Architektur," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.6 + description: "\u2022 Informationssicherheit in der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.7 + description: "\u2022 Software-Implementierung in dem f\xFCr das Entwicklungsvorhaben\ + \ relevanten Bereichen, sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.8 + description: "\u2022 Software-Tests." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1 + ref_id: CON.8.A1.9 + description: "F\xFCr jedes Entwicklungsvorhaben SOLLTE eine zust\xE4ndige Person\ + \ f\xFCr die Informationssicherheit benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A2 + name: Auswahl eines Vorgehensmodells + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + ref_id: CON.8.A2.1 + description: Ein geeignetes Vorgehensmodell zur Software-Entwicklung MUSS festgelegt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + ref_id: CON.8.A2.2 + description: "Anhand des gew\xE4hlten Vorgehensmodells MUSS ein Ablaufplan f\xFC\ + r die Software-Entwicklung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + ref_id: CON.8.A2.3 + description: "Die Sicherheitsanforderungen der Auftraggebenden an die Vorgehensweise\ + \ M\xDCSSEN im Vorgehensmodell integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + ref_id: CON.8.A2.4 + description: "Das ausgew\xE4hlte Vorgehensmodell, einschlie\xDFlich der festgelegten\ + \ Sicherheitsanforderungen, MUSS eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2 + ref_id: CON.8.A2.5 + description: "Das Personal SOLLTE in der Methodik des gew\xE4hlten Vorgehensmodells\ + \ geschult sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A3 + name: Auswahl einer Entwicklungsumgebung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3 + ref_id: CON.8.A3.1 + description: "Eine Liste der erforderlichen und optionalen Auswahlkriterien\ + \ f\xFCr eine Entwicklungsumgebung MUSS von Fachverantwortlichen f\xFCr die\ + \ Software-Entwicklung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3 + ref_id: CON.8.A3.2 + description: "Die Entwicklungsumgebung MUSS anhand der vorgegebenen Kriterien\ + \ ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A5 + name: Sicheres Systemdesign + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.1 + description: "Folgende Grundregeln des sicheren Systemdesigns M\xDCSSEN in der\ + \ zu entwickelnden Software ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.2 + description: "\u2022 Grunds\xE4tzlich M\xDCSSEN alle Eingabedaten vor der Weiterverarbeitung\ + \ gepr\xFCft und validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.3 + description: "\u2022 Bei Client-Server-Anwendungen M\xDCSSEN die Daten grunds\xE4\ + tzlich auf dem Server validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.4 + description: "\u2022 Die Standardeinstellungen der Software M\xDCSSEN derart\ + \ voreingestellt sein, dass ein sicherer Betrieb der Software erm\xF6glicht\ + \ wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.5 + description: "\u2022 Bei Fehlern oder Ausf\xE4llen von Komponenten des Systems\ + \ D\xDCRFEN NICHT sch\xFCtzenswerte Informationen preisgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.6 + description: "\u2022 Die Software MUSS mit m\xF6glichst geringen Privilegien\ + \ ausgef\xFChrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.7 + description: "\u2022 Sch\xFCtzenswerte Daten M\xDCSSEN entsprechend der Vorgaben\ + \ des Kryptokonzepts verschl\xFCsselt \xFCbertragen und gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.8 + description: "\u2022 Zur Benutzenden-Authentisierung und Authentifizierung M\xDC\ + SSEN vertrauensw\xFCrdige Mechanismen verwendet werden, die den Sicherheitsanforderungen\ + \ an die Anwendung entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.9 + description: "\u2022 Falls zur Authentifizierung Passw\xF6rter gespeichert werden,\ + \ M\xDCSSEN diese mit einem sicheren Hashverfahren gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.10 + description: "\u2022 Sicherheitsrelevante Ereignisse M\xDCSSEN in der Art protokolliert\ + \ werden, dass sie im Nachgang ausgewertet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.11 + description: "\u2022 Informationen, die f\xFCr den Produktivbetrieb nicht relevant\ + \ sind (z. B. Kommentare mit Zugangsdaten f\xFCr die Entwicklungsumgebung),\ + \ SOLLTEN in ausgeliefertem Programmcode und ausgelieferten Konfigurationsdateien\ + \ entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.12 + description: Das Systemdesign MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5 + ref_id: CON.8.A5.13 + description: "Es MUSS \xFCberpr\xFCft werden, ob alle Sicherheitsanforderungen\ + \ an das Systemdesign erf\xFCllt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A6 + name: "Verwendung von externen Bibliotheken aus vertrauensw\xFCrdigen Quellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6 + ref_id: CON.8.A6.1 + description: "Wird im Rahmen des Entwicklungs- und Implementierungsprozesses\ + \ auf externe Bibliotheken zur\xFCckgegriffen, M\xDCSSEN diese aus vertrauensw\xFC\ + rdigen Quellen bezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6 + ref_id: CON.8.A6.2 + description: "Bevor externe Bibliotheken verwendet werden, MUSS deren Integrit\xE4\ + t sichergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A7 + name: "Durchf\xFChrung von entwicklungsbegleitenden Software-Tests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.1 + description: "Schon bevor die Software im Freigabeprozess getestet und freigegeben\ + \ wird, M\xDCSSEN entwicklungsbegleitende Software-Tests durchgef\xFChrt und\ + \ der Quellcode auf Fehler gesichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.2 + description: Hierbei SOLLTEN bereits die Fachverantwortlichen des Auftraggebenden + oder der beauftragenden Fachabteilung beteiligt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.3 + description: "Die entwicklungsbegleitenden Tests M\xDCSSEN die funktionalen\ + \ und nichtfunktionalen Anforderungen der Software umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.4 + description: "Die Software-Tests M\xDCSSEN dabei auch Negativtests abdecken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.5 + description: "Zus\xE4tzlich M\xDCSSEN auch alle kritischen Grenzwerte der Eingabe\ + \ sowie der Datentypen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.6 + description: "Testdaten SOLLTEN daf\xFCr sorgf\xE4ltig ausgew\xE4hlt und gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.7 + description: "Dar\xFCber hinaus SOLLTE eine automatische statische Code-Analyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.8 + description: Die Software MUSS in einer Test- und Entwicklungsumgebung getestet + werden, die getrennt von der Produktionsumgebung ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7 + ref_id: CON.8.A7.9 + description: "Au\xDFerdem MUSS getestet werden, ob die Systemvoraussetzungen\ + \ f\xFCr die vorgesehene Software ausreichend dimensioniert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A8 + name: "Bereitstellung von Patches, Updates und \xC4nderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8 + ref_id: CON.8.A8.1 + description: "Es MUSS sichergestellt sein, dass sicherheitskritische Patches\ + \ und Updates f\xFCr die entwickelte Software zeitnah durch die Entwickelnden\ + \ bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8 + ref_id: CON.8.A8.2 + description: "Werden f\xFCr verwendete externe Bibliotheken sicherheitskritische\ + \ Updates bereitgestellt, dann M\xDCSSEN die Entwickelnden ihre Software hierauf\ + \ anpassen und ihrerseits entsprechende Patches und Updates zur Verf\xFCgung\ + \ stellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8 + ref_id: CON.8.A8.3 + description: "F\xFCr die Installations-, Update- oder Patchdateien M\xDCSSEN\ + \ vom Entwickelnden Checksummen oder digitale Signaturen bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A10 + name: Versionsverwaltung des Quellcodes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + ref_id: CON.8.A10.1 + description: "Der Quellcode des Entwicklungsprojekts MUSS \xFCber eine geeignete\ + \ Versionsverwaltung verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + ref_id: CON.8.A10.2 + description: "Die Institution MUSS den Zugriff auf die Versionsverwaltung regeln\ + \ und festlegen, wann \xC4nderungen am Quellcode durch die Entwickelnden als\ + \ eigene Version in der Versionsverwaltung gespeichert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + ref_id: CON.8.A10.3 + description: "Es MUSS sichergestellt sein, dass durch die Versionsverwaltung\ + \ alle \xC4nderungen am Quellcode nachvollzogen und r\xFCckg\xE4ngig gemacht\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + ref_id: CON.8.A10.4 + description: "Die Versionsverwaltung MUSS in dem Datensicherungskonzept ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10 + ref_id: CON.8.A10.5 + description: Die Versionsverwaltung DARF NICHT ohne Datensicherung erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A11 + name: "Erstellung einer Richtlinie f\xFCr die Software-Entwicklung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11 + ref_id: CON.8.A11.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Software-Entwicklung erstellt\ + \ und aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11 + ref_id: CON.8.A11.2 + description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ + \ Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11 + ref_id: CON.8.A11.3 + description: Die relevanten Anforderungen aus diesem Baustein SOLLTEN in die + Richtlinie aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11 + ref_id: CON.8.A11.4 + description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A12 + name: "Ausf\xFChrliche Dokumentation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + ref_id: CON.8.A12.1 + description: Es SOLLTEN ausreichende Projekt-, Funktions- und Schnittstellendokumentationen + erstellt und aktuell gehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + ref_id: CON.8.A12.2 + description: "Die Betriebsdokumentation SOLLTE konkrete Sicherheitshinweise\ + \ f\xFCr die Installation und Konfiguration f\xFCr Administration, sowie f\xFC\ + r die Benutzung des Produktes beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + ref_id: CON.8.A12.3 + description: "Die Software-Entwicklung SOLLTE so dokumentiert sein, dass Fachleute\ + \ mithilfe der Dokumentation den Programm-Code nachvollziehen und weiterentwickeln\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + ref_id: CON.8.A12.4 + description: Die Dokumentation SOLLTE dabei auch die Software-Architektur und + Bedrohungsmodellierung umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12 + ref_id: CON.8.A12.5 + description: "Die Aspekte zur Dokumentation SOLLTEN im Vorgehensmodell zur Software-Entwicklung\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A14 + name: Schulung des Entwicklungsteams zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.1 + description: "Die Entwickelnden und die \xFCbrigen Mitglieder des Entwicklungsteams\ + \ SOLLTEN zu generellen Informationssicherheitsaspekten und zu den jeweils\ + \ speziell f\xFCr sie relevanten Aspekten geschult sein:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.2 + description: "\u2022 Anforderungsanalyse," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.3 + description: "\u2022 Projektmanagement allgemein sowie speziell bei der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.4 + description: "\u2022 Risikomanagement bzw. Bedrohungsmodellierung in der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.5 + description: "\u2022 Qualit\xE4tsmanagement und Qualit\xE4tssicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.6 + description: "\u2022 Modelle und Methoden f\xFCr die Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.7 + description: "\u2022 Software-Architektur," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.8 + description: "\u2022 Software-Tests," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.9 + description: "\u2022 \xC4nderungsmanagement sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14 + ref_id: CON.8.A14.10 + description: "\u2022 Informationssicherheit, Sicherheitsvorgaben in der Institution\ + \ und Sicherheitsaspekte in speziellen Bereichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A16 + name: Geeignete Steuerung der Software-Entwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + ref_id: CON.8.A16.1 + description: "Bei einer Software-Entwicklung SOLLTE ein geeignetes Steuerungs-\ + \ bzw. Projektmanagementmodell auf Basis des ausgew\xE4hlten Vorgehensmodells\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + ref_id: CON.8.A16.2 + description: Das Steuerungs- bzw. Projektmanagementmodell SOLLTE in die Richtlinie + zur Software Entwicklung integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + ref_id: CON.8.A16.3 + description: "Dabei SOLLTEN insbesondere die ben\xF6tigten Qualifikationen beim\ + \ Personal und die Abdeckung aller relevanten Phasen w\xE4hrend des Lebenszyklus\ + \ der Software ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + ref_id: CON.8.A16.4 + description: "F\xFCr das Vorgehensmodell SOLLTE ein geeignetes Risikomanagement\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16 + ref_id: CON.8.A16.5 + description: "Au\xDFerdem SOLLTEN geeignete Qualit\xE4tsziele f\xFCr das Entwicklungsprojekt\ + \ definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A17 + name: "Auswahl vertrauensw\xFCrdiger Entwicklungswerkzeuge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17 + ref_id: CON.8.A17.1 + description: Zur Entwicklung der Software SOLLTEN nur Werkzeuge mit nachgewiesenen + Sicherheitseigenschaften verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17 + ref_id: CON.8.A17.2 + description: An die herstellenden Unternehmen von Hardware oder Software SOLLTEN + hinreichende Anforderungen zur Sicherheit ihrer Werkzeuge gestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A18 + name: "Regelm\xE4\xDFige Sicherheitsaudits f\xFCr die Entwicklungsumgebung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18 + ref_id: CON.8.A18.1 + description: "Es SOLLTEN regelm\xE4\xDFige Sicherheitsaudits der Software-Entwicklungsumgebung\ + \ und der Software-Testumgebung durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A19 + name: "Regelm\xE4\xDFige Integrit\xE4tspr\xFCfung der Entwicklungsumgebung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19 + ref_id: CON.8.A19.1 + description: "Die Integrit\xE4t der Entwicklungsumgebung SOLLTE regelm\xE4\xDF\ + ig mit kryptographischen Mechanismen entsprechend dem Stand der Technik gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19 + ref_id: CON.8.A19.2 + description: "Die Pr\xFCfsummendateien und das Pr\xFCfprogramm selbst SOLLTEN\ + \ ausreichend vor Manipulationen gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19 + ref_id: CON.8.A19.3 + description: "Wichtige Hinweise auf einen Integrit\xE4tsverlust SOLLTEN nicht\ + \ in einer F\xFClle irrelevanter Warnmeldungen (false positives) untergehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A20 + name: "\xDCberpr\xFCfung von externen Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20 + ref_id: CON.8.A20.1 + description: "Unbekannte externe Komponenten (bzw. Programm-Bibliotheken), deren\ + \ Sicherheit nicht durch etablierte und anerkannte Peer-Reviews oder vergleichbares\ + \ sichergestellt werden kann, M\xDCSSEN auf Schwachstellen \xFCberpr\xFCft\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20 + ref_id: CON.8.A20.2 + description: "Alle externen Komponenten M\xDCSSEN auf potentielle Konflikte\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20 + ref_id: CON.8.A20.3 + description: "Die Integrit\xE4t von externen Komponenten MUSS durch Pr\xFCfsummen\ + \ oder kryptographische Zertifikate \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20 + ref_id: CON.8.A20.4 + description: "Dar\xFCber hinaus SOLLTEN keine veralteten Versionen von externen\ + \ Komponenten in aktuellen Entwicklungsprojekten verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A21 + name: Bedrohungsmodellierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21 + ref_id: CON.8.A21.1 + description: "In der Entwurfsphase der Software-Entwicklung SOLLTE eine Bedrohungsmodellierung\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21 + ref_id: CON.8.A21.2 + description: Hierzu SOLLTEN auf Basis des Sicherheitsprofils, des Anforderungskatalogs + und der geplanten Einsatzumgebung bzw. Einsatzszenarios potentielle Bedrohungen + identifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21 + ref_id: CON.8.A21.3 + description: Die Bedrohungen SOLLTEN hinsichtlich ihrer Eintrittswahrscheinlichkeit + und Auswirkung bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8 + ref_id: CON.8.A22 + name: Sicherer Software-Entwurf + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22 + ref_id: CON.8.A22.1 + description: "Der Software-Entwurf SOLLTE den Anforderungskatalog, das Sicherheitsprofil\ + \ und die Ergebnisse der Bedrohungsmodellierung ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22 + ref_id: CON.8.A22.2 + description: Im Rahmen des sicheren Software-Entwurfs SOLLTE eine sichere Software-Architektur + entwickelt werden, auf deren Grundlage der Quellcode der Anwendung zu entwickeln + ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22 + ref_id: CON.8.A22.3 + description: "Hierbei SOLLTEN m\xF6glichst zuk\xFCnftige Standards und Angriffstechniken\ + \ ber\xFCcksichtigt werden, damit die zu entwickelnde Software auch zuk\xFC\ + nftig leicht gewartet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + assessable: false + depth: 1 + ref_id: CON.9 + name: Informationsaustausch + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A1 + name: "Festlegung zul\xE4ssiger Empfangender" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1 + ref_id: CON.9.A1.1 + description: "Die zentrale Verwaltungsstelle MUSS sicherstellen, dass durch\ + \ die Weitergabe von Informationen nicht gegen rechtliche Rahmenbedingungen\ + \ versto\xDFen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1 + ref_id: CON.9.A1.2 + description: Die zentrale Verwaltungsstelle MUSS festlegen, wer welche Informationen + erhalten und weitergeben darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1 + ref_id: CON.9.A1.3 + description: "Es MUSS festgelegt werden, auf welchen Wegen die jeweiligen Informationen\ + \ ausgetauscht werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1 + ref_id: CON.9.A1.4 + description: "Alle Beteiligten M\xDCSSEN vor dem Austausch von Informationen\ + \ sicherstellen, dass die empfangende Stelle die notwendigen Berechtigungen\ + \ f\xFCr den Erhalt und die Weiterverarbeitung der Informationen besitzt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A2 + name: Regelung des Informationsaustausches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2 + ref_id: CON.9.A2.1 + description: "Bevor Informationen ausgetauscht werden, MUSS die Institution\ + \ festlegen, wie schutzbed\xFCrftig die Informationen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2 + ref_id: CON.9.A2.2 + description: "Sie MUSS festlegen, wie die Informationen bei der \xDCbertragung\ + \ zu sch\xFCtzen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2 + ref_id: CON.9.A2.3 + description: "Falls schutzbed\xFCrftige Daten \xFCbermittelt werden, MUSS die\ + \ Institution die Empfangenden dar\xFCber informieren, wie schutzbed\xFCrftig\ + \ die Informationen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2 + ref_id: CON.9.A2.4 + description: "Falls die Informationen schutzbed\xFCrftig sind, MUSS die Institution\ + \ die Empfangenden darauf hingewiesen werden, dass diese die Daten ausschlie\xDF\ + lich zu dem Zweck nutzen d\xFCrfen, zu dem sie \xFCbermittelt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A3 + name: Unterweisung des Personals zum Informationsaustausch + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3 + ref_id: CON.9.A3.1 + description: "Fachverantwortliche M\xDCSSEN die Mitarbeitenden \xFCber die Rahmenbedingungen\ + \ jedes Informationsaustauschs informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3 + ref_id: CON.9.A3.2 + description: "Die Fachverantwortlichen M\xDCSSEN sicherstellen, dass die Mitarbeitenden\ + \ wissen, welche Informationen sie wann, wo und wie weitergeben d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A4 + name: Vereinbarungen zum Informationsaustausch mit Externen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4 + ref_id: CON.9.A4.1 + description: "Bei einem regelm\xE4\xDFigen Informationsaustausch mit anderen\ + \ Institutionen SOLLTE die Institution die Rahmenbedingungen f\xFCr den Informationsaustausch\ + \ formal vereinbaren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4 + ref_id: CON.9.A4.2 + description: "Die Vereinbarung f\xFCr den Informationsaustausch SOLLTE Angaben\ + \ zum Schutz aller vertraulichen Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A5 + name: Beseitigung von Restinformationen vor Weitergabe + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + ref_id: CON.9.A5.1 + description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ + \ die Institution \xFCber die Gefahren von Rest- und Zusatzinformationen in\ + \ Dokumenten und Dateien informieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + ref_id: CON.9.A5.2 + description: "Es SOLLTE vermittelt werden, wie sie Rest- und Zusatzinformationen\ + \ in Dokumenten und Dateien vermeiden werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + ref_id: CON.9.A5.3 + description: "Die Institution SOLLTE Anleitungen bereitstellen, die vorgeben\ + \ wie unerw\xFCnschte Restinformationen vom Austausch auszuschlie\xDFen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + ref_id: CON.9.A5.4 + description: "Jede Datei und jedes Dokument SOLLTE vor der Weitergabe auf unerw\xFC\ + nschte Restinformationen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5 + ref_id: CON.9.A5.5 + description: "Unerw\xFCnschte Restinformationen SOLLTEN vor der Weitergabe aus\ + \ Dokumenten und Dateien entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A6 + name: "Kompatibilit\xE4tspr\xFCfung des Sende- und Empfangssystems" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6 + ref_id: CON.9.A6.1 + description: "Vor einem Informationsaustausch SOLLTE \xFCberpr\xFCfen werden,\ + \ ob die eingesetzten IT-Systeme und Produkte kompatibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A7 + name: "Sicherungskopie der \xFCbermittelten Daten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7 + ref_id: CON.9.A7.1 + description: "Die Institution SOLLTE eine Sicherungskopie der \xFCbermittelten\ + \ Informationen anfertigen, falls die Informationen nicht aus anderen Quellen\ + \ wiederhergestellt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A8 + name: "Verschl\xFCsselung und digitale Signatur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8 + ref_id: CON.9.A8.1 + description: "Die Institution SOLLTE pr\xFCfen, ob Informationen w\xE4hrend\ + \ des Austausches kryptografisch gesichert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8 + ref_id: CON.9.A8.2 + description: "Falls die Informationen kryptografisch gesichert werden, SOLLTEN\ + \ daf\xFCr ausreichend sichere Verfahren eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9 + ref_id: CON.9.A9 + name: Vertraulichkeitsvereinbarungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9 + ref_id: CON.9.A9.1 + description: Bevor vertrauliche Informationen an andere Institutionen weitergeben + werden, SOLLTE die zentrale Verwaltung informiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9 + ref_id: CON.9.A9.2 + description: "Die zentrale Verwaltung SOLLTE eine Vertraulichkeitsvereinbarung\ + \ mit der empfangenden Institution abschlie\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9 + ref_id: CON.9.A9.3 + description: "Die Vertraulichkeitsvereinbarung SOLLTE regeln, wie die Informationen\ + \ durch die empfangende Institution aufbewahrt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9 + ref_id: CON.9.A9.4 + description: "In der Vertraulichkeitsvereinbarung SOLLTE festgelegt werden,\ + \ wer bei der empfangenden Institution Zugriff auf welche \xFCbermittelten\ + \ Informationen haben darf." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + assessable: false + depth: 1 + ref_id: CON.10 + name: Entwicklung von Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A1 + name: Authentisierung bei Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass sich die Benutzenden\ + \ gegen\xFCber der Webanwendung sicher und angemessen authentisieren, bevor\ + \ diese auf gesch\xFCtzte Funktionen oder Inhalte zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.2 + description: "Es MUSS eine angemessene Authentisierungsmethode ausgew\xE4hlt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.3 + description: Der Auswahlprozess MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.4 + description: Eine zentrale Authentisierungskomponente MUSS verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.5 + description: Die zentrale Authentisierungskomponente SOLLTE mit etablierten + Standardkomponenten (z. B. aus Frameworks oder Programmbibliotheken) umgesetzt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.6 + description: "Falls eine Webanwendung Authentisierungsdaten auf einem Client\ + \ speichert, MUSS explizit auf die Risiken der Funktion hingewiesen werden\ + \ und zustimmen (\u201EOpt-In\u201C)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.7 + description: "Die Webanwendung MUSS die M\xF6glichkeit bieten, Grenzwerte f\xFC\ + r fehlgeschlagene Anmeldeversuche festzulegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1 + ref_id: CON.10.A1.8 + description: "Die Webanwendung MUSS Benutzende sofort informieren, wenn deren\ + \ Passwort zur\xFCckgesetzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A2 + name: Zugriffskontrolle bei Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + ref_id: CON.10.A2.1 + description: "Die Entwickelnden M\xDCSSEN mittels einer Autorisierungskomponente\ + \ sicherstellen, dass die Benutzenden ausschlie\xDFlich solche Aktionen durchf\xFC\ + hren k\xF6nnen, zu denen sie berechtigt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + ref_id: CON.10.A2.2 + description: "Jeder Zugriff auf gesch\xFCtzte Inhalte und Funktionen MUSS kontrolliert\ + \ werden, bevor er ausgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + ref_id: CON.10.A2.3 + description: "Die Autorisierungskomponente MUSS s\xE4mtliche Ressourcen und\ + \ Inhalte ber\xFCcksichtigen, die von der Webanwendung verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + ref_id: CON.10.A2.4 + description: "Ist die Zugriffskontrolle fehlerhaft, M\xDCSSEN Zugriffe abgelehnt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2 + ref_id: CON.10.A2.5 + description: Es MUSS eine Zugriffskontrolle bei URL-Aufrufen und Objekt-Referenzen + geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A3 + name: Sicheres Session-Management + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.1 + description: "Session-IDs M\xDCSSEN geeignet gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.2 + description: "Session-IDs M\xDCSSEN zuf\xE4llig und mit ausreichender Entropie\ + \ erzeugt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.3 + description: Falls das Framework der Webanwendung sichere Session-IDs generieren + kann, MUSS diese Funktion des Frameworks verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.4 + description: "Sicherheitsrelevante Konfigurationsm\xF6glichkeiten des Frameworks\ + \ M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.5 + description: "Wenn Session-IDs \xFCbertragen und von den Clients gespeichert\ + \ werden, M\xDCSSEN sie ausreichend gesch\xFCtzt \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.6 + description: "Eine Webanwendung MUSS die M\xF6glichkeit bieten, eine bestehende\ + \ Sitzung explizit zu beenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.7 + description: Nachdem ein Konto angemeldet wurde, MUSS eine bereits bestehende + Session-ID durch eine neue ersetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.8 + description: "Sitzungen M\xDCSSEN eine maximale G\xFCltigkeitsdauer besitzen\ + \ (Timeout)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.9 + description: "Inaktive Sitzungen M\xDCSSEN automatisch nach einer bestimmten\ + \ Zeit ung\xFCltig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3 + ref_id: CON.10.A3.10 + description: "Nachdem die Sitzung ung\xFCltig ist, M\xDCSSEN alle Sitzungsdaten\ + \ ung\xFCltig und gel\xF6scht sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A4 + name: Kontrolliertes Einbinden von Inhalten bei Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4 + ref_id: CON.10.A4.1 + description: "Es MUSS sichergestellt werden, dass eine Webanwendung ausschlie\xDF\ + lich vorgesehene Daten und Inhalte einbindet ausliefert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4 + ref_id: CON.10.A4.2 + description: "Die Ziele der Weiterleitungsfunktion einer Webanwendung M\xDC\ + SSEN ausreichend eingeschr\xE4nkt werden, sodass ausschlie\xDFlich auf vertrauensw\xFC\ + rdige Webseiten weitergeleitet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4 + ref_id: CON.10.A4.3 + description: "Falls die Vertrauensdom\xE4ne verlassen wird, MUSS ihn die Webanwendung\ + \ dar\xFCber informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A5 + name: Upload-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5 + ref_id: CON.10.A5.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ + \ Dateien nur im vorgegebenen Pfad speichern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5 + ref_id: CON.10.A5.2 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ + \ den Ablageort der Uploads nicht beeinflussen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5 + ref_id: CON.10.A5.3 + description: "Die Entwickelnden M\xDCSSEN Funktionen in die Webanwendung integrieren,\ + \ mit denen die Uploads w\xE4hrend des Betriebs der Webanwendung konfiguriert\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A6 + name: Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6 + ref_id: CON.10.A6.1 + description: "Die Entwickelnden M\xDCSSEN Sicherheitsmechanismen implementieren,\ + \ die die Webanwendung vor automatisierten Zugriffen sch\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6 + ref_id: CON.10.A6.2 + description: "Bei der Implementierung der Sicherheitsmechanismen MUSS ber\xFC\ + cksichtigt werden, wie sich diese auf die Nutzungsm\xF6glichkeiten der berechtigten\ + \ Konten auswirken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A7 + name: Schutz vertraulicher Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass vertrauliche Daten\ + \ von den Clients zu den Servern nur mit der HTTP-Post-Methode \xFCbertragen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.2 + description: "Entwickelnde M\xDCSSEN durch Direktiven in der Webanwendung gew\xE4\ + hrleisten, dass clientseitig keine sch\xFCtzenswerten Daten zwischengespeichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.3 + description: "Entwickelnde M\xDCSSEN sicherstellen, dass in Formularen keine\ + \ vertraulichen Formulardaten im Klartext angezeigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.4 + description: Die Webanwendung SOLLTE verhindern, dass vertrauliche Daten vom + Webbrowser unerwartet gespeichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.5 + description: "S\xE4mtliche Zugangsdaten der Webanwendung M\xDCSSEN serverseitig\ + \ mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff\ + \ gesch\xFCtzt werden (Salted Hash)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7 + ref_id: CON.10.A7.6 + description: "Die Dateien mit den Quelltexten der Webanwendung M\xDCSSEN vor\ + \ unerlaubten Abrufen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A8 + name: Umfassende Eingabevalidierung und Ausgabekodierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + ref_id: CON.10.A8.1 + description: "Die Entwickelnden M\xDCSSEN s\xE4mtliche an eine Webanwendung\ + \ \xFCbergebenen Daten als potenziell gef\xE4hrlich behandeln und geeignet\ + \ filtern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + ref_id: CON.10.A8.2 + description: "S\xE4mtliche Eingabedaten sowie Datenstr\xF6me und Sekund\xE4\ + rdaten, wie z. B. Session-IDs, M\xDCSSEN serverseitig validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + ref_id: CON.10.A8.3 + description: "Fehleingaben SOLLTEN m\xF6glichst nicht automatisch behandelt\ + \ werden (Sanitizing)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + ref_id: CON.10.A8.4 + description: "L\xE4sst es sich jedoch nicht vermeiden, MUSS Sanitizing sicher\ + \ umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8 + ref_id: CON.10.A8.5 + description: "Ausgabedaten M\xDCSSEN so kodiert werden, dass schadhafter Code\ + \ auf dem Zielsystem nicht interpretiert oder ausgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A9 + name: Schutz vor SQL-Injection + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9 + ref_id: CON.10.A9.1 + description: "Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet\ + \ werden, M\xDCSSEN Stored Procedures bzw. Prepared SQL Statements eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9 + ref_id: CON.10.A9.2 + description: "Falls Daten an ein DBMS weitergeleitet werden und weder Stored\ + \ Procedures noch Prepared SQL Statements von der Einsatzumgebung unterst\xFC\ + tzt werden, M\xDCSSEN die SQL-Queries separat abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A10 + name: Restriktive Herausgabe sicherheitsrelevanter Informationen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10 + ref_id: CON.10.A10.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass Webseiten, R\xFC\ + ckantworten und Fehlermeldungen von Webanwendungen keine Informationen enthalten,\ + \ die Angreifenden Hinweise darauf geben, wie er Sicherheitsmechanismen umgehen\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A11 + name: Softwarearchitektur einer Webanwendung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + ref_id: CON.10.A11.1 + description: "Die Entwickelnden SOLLTEN die Softwarearchitektur der Webanwendung\ + \ mit allen Bestandteilen und Abh\xE4ngigkeiten dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + ref_id: CON.10.A11.2 + description: "Die Dokumentation SOLLTE bereits w\xE4hrend des Entwicklungsverlaufs\ + \ aktualisiert und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + ref_id: CON.10.A11.3 + description: Die Dokumentation SOLLTE so gestaltet sein, dass sie schon in der + Entwicklungsphase benutzt werden kann und Entscheidungen nachvollziehbar sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + ref_id: CON.10.A11.4 + description: "In der Dokumentation SOLLTEN alle f\xFCr den Betrieb notwendigen\ + \ Komponenten gekennzeichnet werden, die nicht Bestandteil der Webanwendung\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11 + ref_id: CON.10.A11.5 + description: In der Dokumentation SOLLTE beschrieben sein, welche Komponenten + welche Sicherheitsmechanismen umsetzen, wie die Webanwendung in eine bestehende + Infrastruktur integriert wird und welche kryptografischen Funktionen und Verfahren + eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A12 + name: "Verifikation essenzieller \xC4nderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12 + ref_id: CON.10.A12.1 + description: "Falls wichtige Einstellungen mit der Anwendung ge\xE4ndert werden\ + \ sollen, dann SOLLTEN die Entwickelnden sicherstellen, dass die \xC4nderungen\ + \ durch die Eingabe eines Passworts erneut verifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12 + ref_id: CON.10.A12.2 + description: "Falls dies nicht m\xF6glich ist, dann SOLLTE die Webanwendung\ + \ auf andere geeignete Weise sicherstellen, dass sich die Benutzenden authentisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12 + ref_id: CON.10.A12.3 + description: "Die Benutzenden SOLLTEN \xFCber \xC4nderungen mithilfe von Kommunikationswegen\ + \ au\xDFerhalb der Webanwendung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A13 + name: Fehlerbehandlung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.1 + description: "Treten w\xE4hrend der Laufzeit einer Webanwendung Fehler auf,\ + \ SOLLTEN diese so behandelt werden, dass die Webanwendung weiter in einem\ + \ konsistenten Zustand bleibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.2 + description: Die Webanwendung SOLLTE Fehlermeldungen protokollieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.3 + description: Falls eine veranlasste Aktion einen Fehler verursacht, SOLLTE die + Webanwendung diese Aktion abbrechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.4 + description: Die Webanwendung SOLLTE im Fehlerfall den Zugriff auf eine angeforderte + Ressource oder Funktion verweigern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.5 + description: Zuvor reservierte Ressourcen SOLLTEN im Rahmen der Fehlerbehandlung + wieder freigegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13 + ref_id: CON.10.A13.6 + description: "Der Fehler SOLLTE m\xF6glichst von der Webanwendung selbst behandelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A14 + name: Sichere HTTP-Konfiguration bei Webanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + ref_id: CON.10.A14.1 + description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen + SOLLTEN geeignete HTTP-Response-Header gesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + ref_id: CON.10.A14.2 + description: 'Es SOLLTEN mindestens die folgenden HTTP-Header verwendet werden: + Content-Security-Policy, Strict-Transport-Security, Content-Type, X-Content-Type-Options + sowie Cache-Control.' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + ref_id: CON.10.A14.3 + description: Die verwendeten HTTP-Header SOLLTEN auf die Webanwendung abgestimmt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + ref_id: CON.10.A14.4 + description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14 + ref_id: CON.10.A14.5 + description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ + \ und httponly gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A15 + name: Verhinderung von Cross-Site-Request-Forgery + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15 + ref_id: CON.10.A15.1 + description: "Die Entwickelnden SOLLTEN die Webanwendung mit solchen Sicherheitsmechanismen\ + \ ausstatten, die eine Unterscheidung zwischen beabsichtigten Seitenaufrufen\ + \ und unbeabsichtigt weitergeleiteten Befehlen Dritter erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15 + ref_id: CON.10.A15.2 + description: "Dabei SOLLTE mindestens gepr\xFCft werden, ob neben der Session-ID\ + \ ein geheimes Token f\xFCr den Zugriff auf gesch\xFCtzte Ressourcen und Funktionen\ + \ ben\xF6tigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A16 + name: Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16 + ref_id: CON.10.A16.1 + description: Es SOLLTE eine Mehr-Faktor-Authentisierung implementiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A17 + name: Verhinderung der Blockade von Ressourcen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17 + ref_id: CON.10.A17.1 + description: Zum Schutz vor Denial-of-Service (DoS)-Angriffen SOLLTEN ressourcenintensive + Operationen vermieden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17 + ref_id: CON.10.A17.2 + description: Falls ressourcenintensive Operationen notwendig sind, dann SOLLTEN + diese besonders abgesichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17 + ref_id: CON.10.A17.3 + description: "Bei Webanwendungen SOLLTE ein m\xF6glicher \xDCberlauf von Protokollierungsdaten\ + \ \xFCberwacht und verhindert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10 + ref_id: CON.10.A18 + name: Kryptografische Absicherung vertraulicher Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18 + ref_id: CON.10.A18.1 + description: Vertrauliche Daten einer Webanwendung SOLLTEN durch sichere, kryptografische + Algorithmen abgesichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + assessable: false + depth: 1 + ref_id: CON.11.1 + name: "Geheimschutz VS-NUR F\xDCR DEN DIENSTGEBRAUCH (VS-NfD) " + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A1 + name: "Einhaltung der Grunds\xE4tze zur VS-Verarbeitung mit IT nach \xA7 3,\ + \ 4 und 6 und Nr. 1 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.1 + description: "VS des Geheimhaltungsgrades VS-NfD D\xDCRFEN NUR mit VS-IT verarbeitet,\ + \ die hierf\xFCr freigegeben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.2 + description: "Private IT DARF NICHT f\xFCr die Verarbeitung von Verschlusssachen\ + \ eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.3 + description: "Bei der Verarbeitung von VS mit VS-IT MUSS der Grundsatz \"Kenntnis\ + \ nur, wenn n\xF6tig\" eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.4 + description: "Es D\xDCRFEN NUR Personen Kenntnis von einer VS erhalten, die\ + \ auf Grund ihrer Aufgabenerf\xFCllung von ihr Kenntnis erhalten m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.5 + description: "Personen D\xDCRFEN NICHT umfassender oder eher \xFCber eine VS\ + \ unterrichtet werden, als dies aus Gr\xFCnden der Aufgabenerf\xFCllung notwendig\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.6 + description: "Die Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6\ + tig\u201C SOLLTE, insbesondere falls die VS-IT durch mehrere Benutzende verwendet\ + \ wird, prim\xE4r \xFCber technische Ma\xDFnahmen sichergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.7 + description: "Nach dem Grundsatz der mehrschichtigen Sicherheit M\xDCSSEN personelle,\ + \ organisatorische, materielle und technische Ma\xDFnahmen getroffen werden,\ + \ die in ihrem Zusammenwirken" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.8 + description: "\u2022 Risiken eines Angriffs reduzieren (Pr\xE4vention)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.9 + description: "\u2022 Angriffe erkennbar machen (Detektion) und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.10 + description: "\u2022 im Falle eines erfolgreichen Angriffs die negativen Folgen\ + \ begrenzen (Reaktion)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.11 + description: "Bei der Erf\xFCllung der Anforderungen des vorliegenden Bausteins\ + \ M\xDCSSEN die relevanten Technischen Leitlinien des BSI (BSI TL) beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1 + ref_id: CON.11.1.A1.12 + description: "Falls von den BSI TL abgewichen werden soll, dann DARF dies NUR\ + \ in Ausnahmef\xE4llen und im Einvernehmen mit dem BSI erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A2 + name: "Erstellung und Fortschreibung der VS-IT-Dokumentation nach \xA7 12 und\ + \ Nr. 2.2 Anlage II zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2 + ref_id: CON.11.1.A2.1 + description: Jede Dienststelle, die VS-IT einsetzt, MUSS als Teil der Geheimschutzdokumentation + eine VS-IT-Dokumentation erstellen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2 + ref_id: CON.11.1.A2.2 + description: "Die VS-IT-Dokumentation MUSS alle Dokumente beinhalten, welche\ + \ in Nr. 2.2 Anlage II zur VSA aufgef\xFChrt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2 + ref_id: CON.11.1.A2.3 + description: "Die VS-IT-Dokumentation MUSS bei allen geheimschutzrelevanten\ + \ \xC4nderungen aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2 + ref_id: CON.11.1.A2.4 + description: "Sie MUSS zudem mindestens alle drei Jahre auf Aktualit\xE4t, Vollst\xE4\ + ndigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzma\xDF\ + nahmen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A3 + name: "Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.1 + description: "Auf Basis der im VS-Produktkatalog f\xFCr einzelne Produkttypen\ + \ vom BSI festgelegten Zulassungsrelevanz und insbesondere basierend auf den\ + \ Ergebnissen der Strukturanalyse M\xDCSSEN alle f\xFCr die geplante VS-IT\ + \ relevanten IT-Sicherheitsfunktionen identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.2 + description: "Diese lassen sich den folgenden Kategorien gem\xE4\xDF \xA7 52\ + \ VSA zuordnen:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.3 + description: "\u2022 Zugangs- und Zugriffskontrolle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.4 + description: "\u2022 Identifikation und Authentisierung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.5 + description: "\u2022 kryptographische Unterst\xFCtzung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.6 + description: "\u2022 Sicherheitsmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.7 + description: "\u2022 Informationsflusskontrolle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.8 + description: "\u2022 interner Schutz der Benutzerdaten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.9 + description: "\u2022 Selbstschutz der Sicherheitsfunktionen und ihrer Daten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.10 + description: "\u2022 Netztrennung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.11 + description: "\u2022 Schutz der Unversehrtheit," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.12 + description: "\u2022 Verf\xFCgbarkeits\xFCberwachung oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.13 + description: "\u2022 Sicherheitsprotokollierung und Nachweisf\xFChrung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.14 + description: "Anschlie\xDFend M\xDCSSEN die identifizierten IT-Sicherheitsfunktionen\ + \ den jeweiligen Teilkomponenten der VS-IT unter Ber\xFCcksichtigung des VS-Produktkataloges\ + \ des BSI zugeordnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.15 + description: "Jede identifizierte und f\xFCr den Schutz von VS wesentlich verantwortliche\ + \ Teilkomponente MUSS als IT-Sicherheitsprodukt gem\xE4\xDF VSA festgelegt\ + \ und behandelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.16 + description: "Sofern das identifizierte IT-Sicherheitsprodukt einem Produkttyp\ + \ angeh\xF6rt f\xFCr das eine Zulassungsaussage gem\xE4\xDF BSI TL - IT 01\ + \ erforderlich ist, MUSS ein entsprechendes Produkt gem\xE4\xDF BSI Schrift\ + \ 7164 (Liste der zugelassenen Produkte) verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.17 + description: Sofern dort keine IT-Sicherheitsprodukte gelistet sind, MUSS Kontakt + mit der Zulassungsstelle des BSI aufgenommen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3 + ref_id: CON.11.1.A3.18 + description: "Bei der Verwendung von IT-Sicherheitsprodukten mit Zulassungsaussage\ + \ M\xDCSSEN zus\xE4tzlich die Bestimmungen des BSI f\xFCr den Einsatz und\ + \ Betrieb (SecOPs) des jeweiligen Produktes eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A4 + name: "Beschaffung von VS-IT nach \xA7 49 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.1 + description: "Bevor VS-IT beschafft wird, MUSS sichergestellt werden, dass deren\ + \ Sicherheit w\xE4hrend des gesamten Lebenszyklus ab dem Zeitpunkt, zu dem\ + \ fest steht, dass die IT zur VS-Verarbeitung eingesetzt werden soll, bis\ + \ zur Aussonderung kontinuierlich gew\xE4hrleistet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.2 + description: "Um einen durchgehenden Geheimschutz sicherzustellen, M\xDCSSEN\ + \ die Vergabeunterlagen so formuliert werden, dass die Anforderungen der VSA\ + \ vollst\xE4ndig erf\xFCllt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.3 + description: "Bei Beschaffungsauftr\xE4gen f\xFCr VS-IT M\xDCSSEN die notwendigen\ + \ IT-Sicherheitsfunktionen der jeweiligen IT-Produkte vorab festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.4 + description: "Bei der Formulierung der Vergabeunterlagen M\xDCSSEN insbesondere\ + \ die" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.5 + description: "\u2022 Aufbewahrung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.6 + description: "\u2022 Archivierung und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.7 + description: "\u2022 L\xF6schung von elektronischer VS sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.8 + description: "\u2022 Aussonderung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.9 + description: "\u2022 Wartung und Instandsetzung von VS-IT ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.10 + description: Sofern einem zu beschaffenden IT-Produkt eine IT-Sicherheitsfunktion + zugeordnet ist, SOLLTE ein IT-Produkt aus der Liste der zugelassenen IT-Sicherheitsprodukte + beschafft werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.11 + description: "Wird stattdessen ein Produkt ohne Zulassungsaussage ausgew\xE4\ + hlt, dann SOLLTE im Vorhinein mit dem BSI abgekl\xE4rt werden, ob es zugelassen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.12 + description: "Zus\xE4tzlich SOLLTE in der Ausschreibung aufgenommen werden,\ + \ dass der Hersteller an einem Zulassungsverfahren mitwirken muss (siehe BSI\ + \ TL - IT 01)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4 + ref_id: CON.11.1.A4.13 + description: "Vertr\xE4ge M\xDCSSEN derart gestaltet werden, dass bei einer\ + \ R\xFCckgabe von defekten oder geleasten IT-Produkten deren Datentr\xE4ger\ + \ oder sonstige Komponenten, auf denen VS gespeichert sein k\xF6nnten, im\ + \ Besitz der Dienststelle verbleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A5 + name: "Verpflichtung bei Zugang zu VS nach \xA7 4 VSA und Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5 + ref_id: CON.11.1.A5.1 + description: "Bevor eine Person Zugang zu VS des Geheimhaltungsgrades VS-NfD\ + \ erh\xE4lt, MUSS sie auf Anlage V verpflichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5 + ref_id: CON.11.1.A5.2 + description: "Ein Exemplar der Anlage V zur VSA MUSS jeder Person gegen Empfangsbest\xE4\ + tigung zug\xE4nglich gemacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5 + ref_id: CON.11.1.A5.3 + description: "Wird Personal von nicht\xF6ffentlichen Stellen Zugang zu VS gew\xE4\ + hrt, so MUSS Nr. 6.6 Anlage V zur VSA beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5 + ref_id: CON.11.1.A5.4 + description: "Von der Verpflichtung einer Person DARF NUR abgesehen werden,\ + \ falls an VS-IT nur kurzzeitig gearbeitet und w\xE4hrenddessen ein Zugriff\ + \ auf VS ausgeschlossen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A6 + name: "Beaufsichtigung und Begleitung von Fremdpersonal f\xFCr VS-IT nach \xA7\ + \xA7 3, 4 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6 + ref_id: CON.11.1.A6.1 + description: "Nicht verpflichtetes Fremdpersonal, das an VS-IT arbeitet, MUSS\ + \ w\xE4hrend der gesamten Zeit begleitet und beaufsichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6 + ref_id: CON.11.1.A6.2 + description: "Die begleitenden Personen M\xDCSSEN \xFCber die notwendigen Fachkenntnisse\ + \ verf\xFCgen, um die T\xE4tigkeiten kontrollieren zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A7 + name: "Kennzeichnung von elektronischen VS und Datentr\xE4gern nach \xA7\xA7\ + \ 20, 54 und Anlage III, V und VIII zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.1 + description: "Elektronische VS M\xDCSSEN nach den Vorgaben der VSA gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.2 + description: "Die Kennzeichnung MUSS bei der Verarbeitung von VS mit VS-IT w\xE4\ + hrend der gesamten Dauer ihrer Einstufung jederzeit erkennbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.3 + description: Die Kennzeichnung MUSS auch bei kopierten, elektronisch versendeten + oder ausgedruckten VS erhalten bleiben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.4 + description: "Falls die Beschaffenheit elektronischer VS eine Kennzeichnung\ + \ nach VSA nicht zul\xE4sst, dann M\xDCSSEN VS sinngem\xE4\xDF gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.5 + description: "Der Dateiname einer elektronischen VS SOLLTE eine Kennzeichnung\ + \ enthalten, die den VS-Charakter des Inhalts erkennen l\xE4sst, ohne die\ + \ VS \xF6ffnen zu m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.6 + description: "E-Mails M\xDCSSEN entsprechend des Musters 11 der Anlage VIII\ + \ zur VSA gekennzeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.7 + description: "Falls eine elektronische Kennzeichnung von VS (im Sinne von Metadaten)\ + \ verwendet werden soll, dann MUSS gepr\xFCft werden, ob diese IT-Sicherheitsfunktionen\ + \ \xFCbernimmt (siehe CON.11.1.A3 Einsatz von IT-Sicherheitsprodukten nach\ + \ \xA7\xA7 51, 52 VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.8 + description: "Datentr\xE4ger, auf denen elektronische VS des Geheimhaltungsgrades\ + \ VS-NfD durch Produkte ohne Zulassungsaussage verschl\xFCsselt gespeichert\ + \ sind, M\xDCSSEN mit dem Geheimhaltungsgrad der darauf gespeicherten VS gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7 + ref_id: CON.11.1.A7.9 + description: "Falls sich durch die Zusammenstellung der VS auf dem Datentr\xE4\ + ger ein Datenbestand ergibt, welcher eine h\xF6here Einstufung erforderlich\ + \ macht, dann MUSS der Datentr\xE4ger selbst als VS des Geheimhaltungsgrades\ + \ VS-VERTRAULICH behandelt und gekennzeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A8 + name: "Verwaltung und Nachweis von elektronischen VS nach \xA7 21 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8 + ref_id: CON.11.1.A8.1 + description: "F\xFCr die Verwaltung von elektronischen VS M\xDCSSEN die Grunds\xE4\ + tze ordnungsgem\xE4\xDFer Aktenf\xFChrung (gem\xE4\xDF Registraturrichtlinie\ + \ f\xFCr das Bearbeiten und Verwalten von Schriftgut in Bundesministerien)\ + \ und die Vorgaben der VSA zur Verwaltung und Nachweisf\xFChrung von VS eingehalten\ + \ werden (keine Nachweisf\xFChrung f\xFCr VS des Geheimhaltungsgrades VS-NfD\ + \ erforderlich)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8 + ref_id: CON.11.1.A8.2 + description: "Elektronische VS, die als VS-NfD eingestuft sind, D\xDCRFEN NUR\ + \ unter Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6tig\u201C\ + \ in offenen (elektronischen) Registraturen verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A9 + name: "Speicherung elektronischer VS nach \xA7 23 und Nr. 5 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9 + ref_id: CON.11.1.A9.1 + description: "Elektronische VS M\xDCSSEN mit einem IT-Sicherheitsprodukt mit\ + \ Zulassungsaussage verschl\xFCsselt gespeichert oder entsprechend den Vorgaben\ + \ der VSA materiell gesichert werden (siehe CON.11.1.A15 Handhabung von Datentr\xE4\ + gern und IT-Produkten nach \xA7 54 und Anlage V zur VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A10 + name: "Elektronische \xDCbertragung von VS nach \xA7\xA7 24, 53, 55 und Nr.\ + \ 6.2 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.1 + description: "Falls VS elektronisch \xFCbertragen werden sollen, M\xDCSSEN die\ + \ Regelungen der VSA zur Weitergabe von VS (\xA7 24 VSA) eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.2 + description: "F\xFCr die Weitergabe an Parlamente, Landesbeh\xF6rden und nicht\ + \ \xF6ffentliche Stellen M\xDCSSEN zus\xE4tzlich die besonderen Regelungen\ + \ nach \xA7\xA7 25 und 26 VSA beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.3 + description: "Die VS-IT aller Kommunikationspartner MUSS f\xFCr die Verarbeitung\ + \ von VS des Geheimhaltungsgrads VS-NfD freigegeben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.4 + description: "Werden VS elektronisch \xFCbertragen, M\xDCSSEN sie grunds\xE4\ + tzlich durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.5 + description: "Auf eine Verschl\xFCsselung DARF NUR verzichtet werden, falls:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.6 + description: "\u2022 VS ausschlie\xDFlich leitungsgebunden \xFCbertragen werden\ + \ und die \xDCbertragungseinrichtungen, einschlie\xDFlich Kabel und Verteiler,\ + \ gegen unbefugten Zugriff gesch\xFCtzt sind, oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.7 + description: "\u2022 neben den Hausnetzen zus\xE4tzlich das Transportnetz f\xFC\ + r die Verarbeitung von VS freigegeben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.8 + description: "Es DARF NUR innerhalb von R\xE4umen und Bereichen, die gegen unkontrollierten\ + \ Zutritt gesch\xFCtzt sind, von einem Zugriffsschutz ausgegangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.9 + description: "VS D\xDCRFEN NUR in Ausnahmef\xE4llen nach \xA7 55 Abs." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.10 + description: "2-4 VSA unter Einhaltung der dort genannten Anforderungen und\ + \ Vorsichtsma\xDFnahmen auf anderem Wege elektronisch \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10 + ref_id: CON.11.1.A10.11 + description: "Falls im Vorhinein zu erwarten ist, dass VS elektronisch \xFC\ + bertragen werden k\xF6nnten, DARF die Ausnahmeregelung nach \xA7 55 VSA NICHT\ + \ angewendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A11 + name: "Mitnahme elektronischer VS nach \xA7 28 VSA und Nr. 7 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.1 + description: "Elektronische VS D\xDCRFEN NUR auf Dienstreisen und zu Dienstbesprechungen\ + \ mitgenommen werden, soweit dies dienstlich notwendig ist und sie angemessen\ + \ gegen unbefugte Kenntnisnahme gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.2 + description: "Werden diese pers\xF6nlich mitgenommen, M\xDCSSEN diese folgenderma\xDF\ + en gespeichert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.3 + description: "\u2022 auf hierf\xFCr freigegebener VS-IT," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.4 + description: "\u2022 auf einem Datentr\xE4ger, der in einem verschlossenen Umschlag\ + \ transportiert wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.5 + description: "\u2022 auf einem Datentr\xE4ger, der mit einem IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurde, oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.6 + description: "\u2022 durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFC\ + sselt, falls der Datentr\xE4ger selbst nicht durch ein IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11 + ref_id: CON.11.1.A11.7 + description: "Falls VS des Geheimhaltungsgrades VS-NfD in Privatwohnungen verarbeitet\ + \ werden sollen, dann D\xDCRFEN diese NUR elektronisch mit hierf\xFCr freigegebener\ + \ VS-IT verarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A12 + name: "Archivierung elektronischer VS nach \xA7\xA7 30, 31 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12 + ref_id: CON.11.1.A12.1 + description: "VS M\xDCSSEN entsprechend dem Bundesarchivgesetz wie nicht eingestufte\ + \ Informationen ausgesondert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12 + ref_id: CON.11.1.A12.2 + description: "Schon bei Einf\xFChrung von Systemen zur elektronischen Schriftgutverwaltung\ + \ und Vorgangsbearbeitung M\xDCSSEN die technischen Verfahren zur Aussonderung\ + \ fr\xFChzeitig mit dem zust\xE4ndigen Archiv abgesprochen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12 + ref_id: CON.11.1.A12.3 + description: "Falls das zust\xE4ndige Archiv VS nicht \xFCbernehmen m\xF6chte,\ + \ M\xDCSSEN VS gem\xE4\xDF CON.11.1.A13 L\xF6schung elektronischer VS, Vernichtung\ + \ von Datentr\xE4gern und IT-Produkten nach \xA7\xA7 32, 56 VSA sicher gel\xF6\ + scht bzw. vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A13 + name: "L\xF6schung elektronischer VS, Vernichtung von Datentr\xE4gern und IT-Produkten\ + \ nach \xA7\xA7 32, 56 und Nr. 8 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.1 + description: "Um VS oder Datentr\xE4ger zu l\xF6schen, die mit einem IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurden, MUSS der Schl\xFCssel unter\ + \ Beachtung der SecOPs gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.2 + description: "Sollen elektronische VS gel\xF6scht werden, die nicht durch ein\ + \ IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt wurden, dann\ + \ MUSS der gesamte Datentr\xE4ger oder das IT-Produkt, auf dem VS gespeichert\ + \ sind, mittels eines IT-Sicherheitsprodukts mit Zulassungsaussage gel\xF6\ + scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.3 + description: "Die Datentr\xE4ger oder IT-Produkte M\xDCSSEN gel\xF6scht werden,\ + \ bevor sie die gesicherte Einsatzumgebung dauerhaft verlassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.4 + description: "Sie M\xDCSSEN physisch vernichtet werden, falls sie nicht gel\xF6\ + scht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.5 + description: "F\xFCr die Vernichtung M\xDCSSEN Produkte oder Verfahren eingesetzt\ + \ oder Dienstleister beauftragt werden, die die Anforderungen der BSI TL -\ + \ M 50 erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13 + ref_id: CON.11.1.A13.6 + description: "Die zuvor beschriebenen Teilanforderungen M\xDCSSEN auch bei defekten\ + \ Datentr\xE4gern und IT-Produkten eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A14 + name: "Zugangs- und Zugriffsschutz nach \xA7 3 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.1 + description: "VS-IT, die f\xFCr VS-NfD eingestufte VS eingesetzt wird, MUSS\ + \ so gesch\xFCtzt werden, dass ein Zugang zur VS-IT und ein Zugriff auf VS\ + \ nur f\xFCr verpflichtete Personen (siehe CON.11.1.A5 Verpflichtung bei Zugang\ + \ zu VS nach \xA7 4 und Anlage V zur VSA) m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.2 + description: "Der Schutz der VS MUSS sichergestellt werden \xFCber:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.3 + description: "\u2022 IT-Sicherheitsprodukte mit Zulassungsaussage," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.4 + description: "\u2022 materielle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.5 + description: "\u2022 organisatorische oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.6 + description: "\u2022 personelle Ma\xDFnahmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14 + ref_id: CON.11.1.A14.7 + description: "F\xFCr den Zugangs- und Zugriffsschutz SOLLTE eine Mehr-Faktor-Authentisierung\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A15 + name: "Handhabung von Datentr\xE4gern und IT-Produkten nach \xA7 54 und Anlage\ + \ V zur VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15 + ref_id: CON.11.1.A15.1 + description: "Datentr\xE4ger und IT-Produkte M\xDCSSEN bei Nichtgebrauch in\ + \ verschlossenen Beh\xE4ltern oder R\xE4umen aufbewahrt werden, falls:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15 + ref_id: CON.11.1.A15.2 + description: "\u2022 der Datentr\xE4ger bzw. das IT-Produkt selbst als VS-NfD\ + \ eingestuft ist," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15 + ref_id: CON.11.1.A15.3 + description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt unverschl\xFCsselte\ + \ VS des Geheimhaltungsgrades VS-NfD gespeichert sind oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15 + ref_id: CON.11.1.A15.4 + description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt VS des Geheimhaltungsgrades\ + \ VS-NfD durch ein Produkt ohne Zulassungsaussage verschl\xFCsselt gespeichert\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A16 + name: "Zusammenschaltung von VS-IT nach \xA7 58 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.1 + description: "Bevor VS-IT mit anderer VS-IT zusammengeschaltet werden darf,\ + \ MUSS gepr\xFCft werden, ob und inwieweit Informationen zwischen der zusammengeschalteten\ + \ VS-IT ausgetauscht werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.2 + description: "Bei der Pr\xFCfung MUSS das jeweilige Schutzniveau und der Grundsatz\ + \ \u201EKenntnis nur, wenn n\xF6tig\u201C ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.3 + description: "Abh\xE4ngig vom Ergebnis der Pr\xFCfung M\xDCSSEN IT-Sicherheitsfunktionen\ + \ zum Schutz der System\xFCberg\xE4nge implementiert werden (siehe CON.11.1.A3\ + \ Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.4 + description: "Vor der Zusammenschaltung der VS-IT MUSS bewertet und dokumentiert\ + \ werden, ob diese f\xFCr das angestrebte Szenario zwingend erforderlich ist\ + \ und ob durch die Zusammenschaltung eine besondere Gef\xE4hrdung der einzelnen\ + \ Teilsysteme entsteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.5 + description: "Es MUSS gepr\xFCft werden, ob der durch die Zusammenschaltung\ + \ von VS-IT entstandene Gesamtbestand der Daten h\xF6her einzustufen ist und\ + \ weitere Geheimschutzma\xDFnahmen notwendig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16 + ref_id: CON.11.1.A16.6 + description: "Wird VS-IT f\xFCr die Verarbeitung von VS des Geheimhaltungsgrads\ + \ VS-NfD direkt oder kaskadiert mit VS-IT f\xFCr die Verarbeitung von VS des\ + \ Geheimhaltungsgrades STRENG GEHEIM gekoppelt, dann MUSS sichergestellt werden,\ + \ dass keine Verbindungen zu ungesch\xFCtzten oder \xF6ffentlichen Netzen\ + \ hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A17 + name: "Wartungs- und Instandsetzungsarbeiten von VS-IT nach \xA7 3 Abs. 3 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + ref_id: CON.11.1.A17.1 + description: "Wartungs- und Instandsetzungsarbeiten an Komponenten der VS-IT\ + \ SOLLTEN innerhalb der eigenen Dienstliegenschaft durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + ref_id: CON.11.1.A17.2 + description: "Ist dies nicht m\xF6glich, MUSS sichergestellt werden, dass die\ + \ Anforderungen der VSA sowohl w\xE4hrend des Transports als auch bei den\ + \ Wartungs- und Instandsetzungsarbeiten erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + ref_id: CON.11.1.A17.3 + description: "W\xE4hrend der Wartungs- und Instandsetzungsarbeiten SOLLTE die\ + \ Verarbeitung von VS in dem von der Wartung betroffenen Bereich der VS-IT\ + \ eingestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + ref_id: CON.11.1.A17.4 + description: "Ist dies nicht m\xF6glich, MUSS w\xE4hrend des Zeitraums der Wartungs-\ + \ und Instandsetzungsarbeiten l\xFCckenlos sichergestellt werden, dass keine\ + \ VS abflie\xDFen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17 + ref_id: CON.11.1.A17.5 + description: "Nach Abschluss der Wartungs- und Instandsetzungsarbeiten MUSS\ + \ der oder die Geheimschutzbeauftragte bewerten, ob sich geheimschutzrelevante\ + \ \xC4nderungen an der VS-IT ergeben haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1 + ref_id: CON.11.1.A18 + name: "Fernwartung von VS-IT nach \xA7 3 Abs. 3 VSA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.1 + description: "Wird VS-IT ferngewartet, dann MUSS die Fernwartungsverbindung\ + \ verschl\xFCsselt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.2 + description: "F\xFCr die Verschl\xFCsselung M\xDCSSEN IT-Sicherheitsprodukte\ + \ mit Zulassungsaussage eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.3 + description: "Die IT, mit der die Fernwartung durchgef\xFChrt wird, sowie die\ + \ \xDCbertragungsstrecken M\xDCSSEN als VS-IT behandelt und als Schutzobjekte\ + \ definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.4 + description: Die Fernwartungsverbindung MUSS durch die Dienststelle auf- und + abgebaut werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.5 + description: "Die Dienststelle MUSS in der Lage sein, die Verbindung bei Auff\xE4\ + lligkeiten auch w\xE4hrend der Wartung zu unterbrechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.6 + description: "F\xFCr die Fernwartung von VS-IT MUSS ein Informationssicherheitskonzept\ + \ erstellt werden, das alle Komponenten, die an der Fernwartung beteiligt\ + \ sind, ber\xFCcksichtigt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18 + ref_id: CON.11.1.A18.7 + description: "Hierbei M\xDCSSEN insbesondere die Netz\xFCberg\xE4nge und die\ + \ VS-IT, aus dem die Fernwartung gesteuert wird, betrachtet werden." + implementation_groups: + - B diff --git a/backend/library/libraries/bs-it-gs-2023-der-detektion-und-reaktion.yaml b/backend/library/libraries/bs-it-gs-2023-der-detektion-und-reaktion.yaml new file mode 100644 index 000000000..c6b18173a --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-der-detektion-und-reaktion.yaml @@ -0,0 +1,5873 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-der-detektion-und-reaktion +locale: de +ref_id: bs-it-gs-2023-der-detektion-und-reaktion +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - DER:\ + \ Detektion und Reaktion" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen + ref_id: bs-it-gs-2023-der-detektion-und-reaktion + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - DER: Detektion und Reaktion" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + assessable: false + depth: 1 + ref_id: DER.1 + name: Detektion von sicherheitsrelevanten Ereignissen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ + \ Ereignissen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ + \ Ereignissen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.2 + description: "In der spezifischen Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar\ + \ Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten\ + \ Ereignissen geplant, aufgebaut und sicher betrieben werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.3 + description: "Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion\ + \ zust\xE4ndigen Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.4 + description: "Falls die spezifische Sicherheitsrichtlinie ver\xE4ndert wird\ + \ oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder\ + \ der verantwortlichen ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ + \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a1 + ref_id: DER.1.A1.6 + description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN sinnvoll dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A2 + name: Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2 + ref_id: DER.1.A2.1 + description: "Wenn Protokollierungsdaten ausgewertet werden, dann M\xDCSSEN\ + \ dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz\ + \ eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2 + ref_id: DER.1.A2.2 + description: "Wenn Detektionssysteme eingesetzt werden, dann M\xDCSSEN die Pers\xF6\ + nlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen\ + \ gewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a2 + ref_id: DER.1.A2.3 + description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten + gesetzlichen Bestimmungen beachtet werden, z. B. das Telemediengesetz (TMG), + das Betriebsverfassungsgesetz und das Telekommunikationsgesetz. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A3 + name: "Festlegung von Meldewegen f\xFCr sicherheitsrelevante Ereignisse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.1 + description: "F\xFCr sicherheitsrelevante Ereignisse M\xDCSSEN geeignete Melde-\ + \ und Alarmierungswege festgelegt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.2 + description: Es MUSS bestimmt werden, welche Stellen wann zu informieren sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.3 + description: "Es MUSS aufgef\xFChrt sein, wie die jeweiligen Personen erreicht\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.4 + description: "Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis\ + \ \xFCber verschiedene Kommunikationswege gemeldet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.5 + description: "Alle Personen, die f\xFCr die Meldung bzw. Alarmierung relevant\ + \ sind, M\xDCSSEN \xFCber ihre Aufgaben informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.6 + description: "Alle Schritte des Melde- und Alarmierungsprozesses M\xDCSSEN ausf\xFC\ + hrlich beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a3 + ref_id: DER.1.A3.7 + description: "Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelm\xE4\ + \xDFig gepr\xFCft, erprobt und aktualisiert werden, falls erforderlich." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A4 + name: Sensibilisierung der Mitarbeitenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4 + ref_id: DER.1.A4.1 + description: "Alle Benutzenden M\xDCSSEN dahingehend sensibilisiert werden,\ + \ dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schlie\xDF\ + en." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4 + ref_id: DER.1.A4.2 + description: "Sie M\xDCSSEN die Meldungen entsprechend der Alarmierungswege\ + \ an das verantwortliche Incident Management weitergeben (siehe DER.2.1 Behandlung\ + \ von Sicherheitsvorf\xE4llen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a4 + ref_id: DER.1.A4.3 + description: "Alle Mitarbeitenden M\xDCSSEN einen von ihnen erkannten Sicherheitsvorfall\ + \ unverz\xFCglich dem Incident Management melden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A5 + name: Einsatz von mitgelieferten Systemfunktionen zur Detektion + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.1 + description: "Falls eingesetzte IT-Systeme oder Anwendungen \xFCber Funktionen\ + \ verf\xFCgen, mit denen sich sicherheitsrelevante Ereignisse detektieren\ + \ lassen, dann M\xDCSSEN diese aktiviert und benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.2 + description: "Falls ein sicherheitsrelevanter Vorfall vorliegt, dann M\xDCSSEN\ + \ die Meldungen der betroffenen IT-Systeme ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.3 + description: "Zus\xE4tzlich M\xDCSSEN die protokollierten Ereignisse anderer\ + \ IT-Systeme \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.4 + description: "Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten\ + \ Zeitr\xE4umen stichpunktartig kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.5 + description: "Es MUSS gepr\xFCft werden, ob zus\xE4tzliche Schadcodescanner\ + \ auf zentralen IT-Systemen installiert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.6 + description: "Falls zus\xE4tzliche Schadcodescanner eingesetzt werden, dann\ + \ M\xDCSSEN diese es \xFCber einen zentralen Zugriff erm\xF6glichen, ihre\ + \ Meldungen und Protokolle auszuwerten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.7 + description: "Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante\ + \ Ereignisse automatisch an die Zust\xE4ndigen melden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a5 + ref_id: DER.1.A5.8 + description: "Die Zust\xE4ndigen M\xDCSSEN die Meldungen auswerten und untersuchen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A6 + name: "Kontinuierliche \xDCberwachung und Auswertung von Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6 + ref_id: DER.1.A6.1 + description: "Alle Protokollierungsdaten SOLLTEN m\xF6glichst permanent aktiv\ + \ \xFCberwacht und ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6 + ref_id: DER.1.A6.2 + description: "Es SOLLTEN Mitarbeitende benannt werden, die daf\xFCr zust\xE4\ + ndig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6 + ref_id: DER.1.A6.3 + description: "Falls die zust\xE4ndigen Mitarbeitenden aktiv nach sicherheitsrelevanten\ + \ Ereignissen suchen m\xFCssen, z. B. wenn sie IT-Systeme kontrollieren oder\ + \ testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen\ + \ dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a6 + ref_id: DER.1.A6.4 + description: "F\xFCr die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN\ + \ gen\xFCgend personelle Ressourcen bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A7 + name: "Schulung von Zust\xE4ndigen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7 + ref_id: DER.1.A7.1 + description: "Alle Zust\xE4ndigen, die Ereignismeldungen kontrollieren, SOLLTEN\ + \ weiterf\xFChrende Schulungen und Qualifikationen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7 + ref_id: DER.1.A7.2 + description: "Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFC\ + r Schulungen eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a7 + ref_id: DER.1.A7.3 + description: "Bevor die Zust\xE4ndigen Schulungen f\xFCr neue IT-Komponenten\ + \ bekommen, SOLLTE ein Schulungskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A9 + name: "Einsatz zus\xE4tzlicher Detektionssysteme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9 + ref_id: DER.1.A9.1 + description: "Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente\ + \ durch zus\xE4tzliche Detektionssysteme gesch\xFCtzt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9 + ref_id: DER.1.A9.2 + description: "Der Informationsverbund SOLLTE um zus\xE4tzliche Detektionssysteme\ + \ und Sensoren erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9 + ref_id: DER.1.A9.3 + description: Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a9 + ref_id: DER.1.A9.4 + description: "Auch die im Netzplan definierten \xDCbergange zwischen internen\ + \ und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme\ + \ (NIDS) erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A10 + name: Einsatz von TLS-/SSL-Proxies + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10 + ref_id: DER.1.A10.1 + description: "An den \xDCberg\xE4ngen zu externen Netzen SOLLTEN TLS-/SSL-Proxies\ + \ eingesetzt werden, welche die verschl\xFCsselte Verbindung unterbrechen\ + \ und es so erm\xF6glichen, die \xFCbertragenen Daten auf Malware zu pr\xFC\ + fen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10 + ref_id: DER.1.A10.2 + description: "Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10 + ref_id: DER.1.A10.3 + description: Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse + automatisch detektiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a10 + ref_id: DER.1.A10.4 + description: "Es SOLLTE eine organisatorische Regelung erstellt werden, unter\ + \ welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet\ + \ werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A11 + name: "Nutzung einer zentralen Protokollierungsinfrastruktur f\xFCr die Auswertung\ + \ sicherheitsrelevanter Ereignisse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11 + ref_id: DER.1.A11.1 + description: "Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen\ + \ der IT-Systeme und Anwendungen (siehe OPS.1.1.5 Protokollierung) SOLLTEN\ + \ mithilfe eines Tools abgerufen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11 + ref_id: DER.1.A11.2 + description: "Mit dem ausw\xE4hlten Tool SOLLTEN die Meldungen ausgewertet werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11 + ref_id: DER.1.A11.3 + description: "Die gesammelten Ereignismeldungen SOLLTEN regelm\xE4\xDFig auf\ + \ Auff\xE4lligkeiten kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a11 + ref_id: DER.1.A11.4 + description: "Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und\ + \ auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch\ + \ nachtr\xE4glich erkannt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A12 + name: Auswertung von Informationen aus externen Quellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + ref_id: DER.1.A12.1 + description: "Um neue Erkenntnisse \xFCber sicherheitsrelevante Ereignisse f\xFC\ + r den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + ref_id: DER.1.A12.2 + description: "Meldungen \xFCber unterschiedliche Kan\xE4le SOLLTEN von den Mitarbeitenden\ + \ auch als relevant erkannt und an die richtige Stelle weitergeleitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + ref_id: DER.1.A12.3 + description: "Informationen aus zuverl\xE4ssigen Quellen SOLLTEN grunds\xE4\ + tzlich ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + ref_id: DER.1.A12.4 + description: "Alle gelieferten Informationen SOLLTEN danach bewertet werden,\ + \ ob sie relevant f\xFCr den eigenen Informationsverbund sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a12 + ref_id: DER.1.A12.5 + description: Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung + eskaliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A13 + name: "Regelm\xE4\xDFige Audits der Detektionssysteme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13 + ref_id: DER.1.A13.1 + description: "Die vorhandenen Detektionssysteme und getroffenen Ma\xDFnahmen\ + \ SOLLTEN in regelm\xE4\xDFigen Audits daraufhin \xFCberpr\xFCft werden, ob\ + \ sie noch aktuell und wirksam sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13 + ref_id: DER.1.A13.2 + description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die beispielsweise\ + \ anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und\ + \ eskaliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13 + ref_id: DER.1.A13.3 + description: Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert + und mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a13 + ref_id: DER.1.A13.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A14 + name: Auswertung der Protokollierungsdaten durch spezialisiertes Personal + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14 + ref_id: DER.1.A14.1 + description: "Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle\ + \ Protokollierungsdaten zu \xFCberwachen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14 + ref_id: DER.1.A14.2 + description: "Die \xDCberwachung der Protokollierungsdaten SOLLTE die \xFCberwiegende\ + \ Aufgabe der beauftragten Mitarbeitenden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14 + ref_id: DER.1.A14.3 + description: "Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterf\xFC\ + hrende Schulungen und Qualifikationen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a14 + ref_id: DER.1.A14.4 + description: "Ein Personenkreis SOLLTE benannt werden, der ausschlie\xDFlich\ + \ f\xFCr das Thema Auswertung von Protokollierungsdaten verantwortlich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A15 + name: "Zentrale Detektion und Echtzeit\xFCberpr\xFCfung von Ereignismeldungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.1 + description: Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante + Ereignisse zu erkennen und auszuwerten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.2 + description: Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.3 + description: Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln + SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und + in Bezug zueinander gesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.4 + description: "Die sicherheitsrelevanten Vorg\xE4nge SOLLTEN sichtbar gemacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.5 + description: "Alle eingelieferten Daten SOLLTEN l\xFCckenlos in der Protokollverwaltung\ + \ einsehbar und auswertbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.6 + description: "Die Daten SOLLTEN m\xF6glichst permanent ausgewertet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.7 + description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE automatisch\ + \ alarmiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.8 + description: "Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverz\xFC\ + glich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet\ + \ wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.9 + description: In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden + sofort informiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.10 + description: "Die Systemverantwortlichen SOLLTEN regelm\xE4\xDFig die Analyseparameter\ + \ auditieren und anpassen, falls dies erforderlich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a15 + ref_id: DER.1.A15.11 + description: "Zus\xE4tzlich SOLLTEN bereits \xFCberpr\xFCfte Daten regelm\xE4\ + \xDFig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A16 + name: Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a16 + ref_id: DER.1.A16.1 + description: "Anwendungen mit erh\xF6htem Schutzbedarf SOLLTEN durch zus\xE4\ + tzliche Detektionsma\xDFnahmen gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a16 + ref_id: DER.1.A16.2 + description: "Daf\xFCr SOLLTEN z. B. solche Detektionssysteme eingesetzt werden,\ + \ mit denen sich der erh\xF6hte Schutzbedarf technisch auch sicherstellen\ + \ l\xE4sst." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A17 + name: Automatische Reaktion auf sicherheitsrelevante Ereignisse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17 + ref_id: DER.1.A17.1 + description: "Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten\ + \ Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzma\xDF\ + nahmen reagieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17 + ref_id: DER.1.A17.2 + description: "Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch m\xF6\ + gliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a17 + ref_id: DER.1.A17.3 + description: "Es SOLLTE m\xF6glich sein, automatisch in den Datenstrom einzugreifen,\ + \ um einen m\xF6glichen Sicherheitsvorfall zu unterbinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1 + ref_id: DER.1.A18 + name: "Durchf\xFChrung regelm\xE4\xDFiger Integrit\xE4tskontrollen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18 + ref_id: DER.1.A18.1 + description: "Alle Detektionssysteme SOLLTEN regelm\xE4\xDFig daraufhin \xFC\ + berpr\xFCft werden, ob sie noch integer sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18 + ref_id: DER.1.A18.2 + description: Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18 + ref_id: DER.1.A18.3 + description: "Zus\xE4tzlich SOLLTEN die Sensoren eine Integrit\xE4tskontrolle\ + \ von Dateien durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.1.a18 + ref_id: DER.1.A18.4 + description: "Bei sich \xE4ndernden Werten SOLLTE eine automatische Alarmierung\ + \ ausgel\xF6st werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + assessable: false + depth: 1 + ref_id: DER.2.1 + name: "Behandlung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A1 + name: Definition eines Sicherheitsvorfalls + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1 + ref_id: DER.2.1.A1.1 + description: In einer Institution MUSS klar definiert sein, was ein Sicherheitsvorfall + ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1 + ref_id: DER.2.1.A1.2 + description: "Ein Sicherheitsvorfall MUSS so weit wie m\xF6glich von St\xF6\ + rungen im Tagesbetrieb abgegrenzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1 + ref_id: DER.2.1.A1.3 + description: "Alle an der Behandlung von Sicherheitsvorf\xE4llen beteiligten\ + \ Mitarbeitenden M\xDCSSEN die Definition eines Sicherheitsvorfalls kennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a1 + ref_id: DER.2.1.A1.4 + description: "Die Definition und die Eintrittsschwellen eines solchen Vorfalls\ + \ SOLLTEN sich nach dem Schutzbedarf der betroffenen Gesch\xE4ftsprozesse,\ + \ IT-Systeme bzw. Anwendungen richten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A2 + name: "Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.1 + description: "Eine Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen MUSS\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.2 + description: "Darin M\xDCSSEN Zweck und Ziel der Richtlinie definiert sowie\ + \ alle Aspekte der Behandlung von Sicherheitsvorf\xE4llen geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.3 + description: "So M\xDCSSEN Verhaltensregeln f\xFCr die verschiedenen Arten von\ + \ Sicherheitsvorf\xE4llen beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.4 + description: "Zus\xE4tzlich MUSS es f\xFCr alle Mitarbeitenden zielgruppenorientierte\ + \ und praktisch anwendbare Handlungsanweisungen geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.5 + description: "Weiterhin SOLLTEN die Schnittstellen zu anderen Managementbereichen\ + \ ber\xFCcksichtigt werden, z. B. zum Notfallmanagement." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.6 + description: Die Richtlinie MUSS allen Mitarbeitenden bekannt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.7 + description: Sie MUSS mit dem IT-Betrieb abgestimmt und durch die Institutionsleitung + verabschiedet sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a2 + ref_id: DER.2.1.A2.8 + description: "Die Richtlinie MUSS regelm\xE4\xDFig gepr\xFCft und aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A3 + name: "Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.1 + description: "Es MUSS geregelt werden, wer bei Sicherheitsvorf\xE4llen wof\xFC\ + r verantwortlich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.2 + description: "F\xFCr alle Mitarbeitenden M\xDCSSEN die Aufgaben und Kompetenzen\ + \ bei Sicherheitsvorf\xE4llen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.3 + description: "Insbesondere Mitarbeitende, die Sicherheitsvorf\xE4lle bearbeiten\ + \ sollen, M\xDCSSEN \xFCber ihre Aufgaben und Kompetenzen unterrichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.4 + description: "Dabei MUSS auch geregelt sein, wer die m\xF6gliche Entscheidung\ + \ f\xFCr eine forensische Untersuchung trifft, nach welchen Kriterien diese\ + \ vorgenommen wird und wann sie erfolgen soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.5 + description: "Die Ansprechpartner oder Ansprechpartnerinnen f\xFCr alle Arten\ + \ von Sicherheitsvorf\xE4llen M\xDCSSEN den Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a3 + ref_id: DER.2.1.A3.6 + description: "Kontaktinformationen M\xDCSSEN immer aktuell und leicht zug\xE4\ + nglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A4 + name: "Benachrichtigung betroffener Stellen bei Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4 + ref_id: DER.2.1.A4.1 + description: "Von einem Sicherheitsvorfall M\xDCSSEN alle betroffenen internen\ + \ und externen Stellen zeitnah informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4 + ref_id: DER.2.1.A4.2 + description: "Dabei MUSS gepr\xFCft werden, ob der oder die Datenschutzbeauftragte,\ + \ der Betriebs- und Personalrat sowie Mitarbeitende aus der Rechtsabteilung\ + \ einbezogen werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4 + ref_id: DER.2.1.A4.3 + description: "Ebenso M\xDCSSEN die Meldepflichten f\xFCr Beh\xF6rden und regulierte\ + \ Branchen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a4 + ref_id: DER.2.1.A4.4 + description: "Au\xDFerdem MUSS gew\xE4hrleistet sein, dass betroffene Stellen\ + \ \xFCber die erforderlichen Ma\xDFnahmen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A5 + name: "Behebung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.1 + description: "Damit ein Sicherheitsvorfall erfolgreich behoben werden kann,\ + \ M\xDCSSEN die Zust\xE4ndigen zun\xE4chst das Problem eingrenzen und die\ + \ Ursache finden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.2 + description: "Danach M\xDCSSEN die erforderlichen Ma\xDFnahmen ausw\xE4hlt werden,\ + \ um das Problem zu beheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.3 + description: "Die Leitung des IT-Betriebs MUSS eine Freigabe erteilen, bevor\ + \ die Ma\xDFnahmen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.4 + description: "Anschlie\xDFend MUSS die Ursache beseitigt und ein sicherer Zustand\ + \ hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.5 + description: "Eine aktuelle Liste von internen und externen Sicherheitsfachleuten\ + \ MUSS vorhanden sein, die bei Sicherheitsvorf\xE4llen f\xFCr Fragen aus den\ + \ erforderlichen Themenbereichen hinzugezogen werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a5 + ref_id: DER.2.1.A5.6 + description: "Es M\xDCSSEN sichere Kommunikationsverfahren mit diesen internen\ + \ und externen Stellen etabliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A6 + name: "Wiederherstellung der Betriebsumgebung nach Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.1 + description: "Nach einem Sicherheitsvorfall M\xDCSSEN die betroffenen Komponenten\ + \ vom Netz genommen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.2 + description: "Zudem M\xDCSSEN alle erforderlichen Daten gesichert werden, die\ + \ Aufschluss \xFCber die Art und Ursache des Problems geben k\xF6nnten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.3 + description: "Auf allen betroffenen Komponenten M\xDCSSEN das Betriebssystem\ + \ und alle Applikationen auf Ver\xE4nderungen untersucht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.4 + description: "Die Originaldaten M\xDCSSEN von schreibgesch\xFCtzten Datentr\xE4\ + gern wieder eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.5 + description: "Dabei M\xDCSSEN alle sicherheitsrelevanten Konfigurationen und\ + \ Patches mit aufgespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.6 + description: Wenn Daten aus Datensicherungen wieder eingespielt werden, MUSS + sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.7 + description: "Nach einem Angriff M\xDCSSEN alle Zugangsdaten auf den betroffenen\ + \ Komponenten ge\xE4ndert werden, bevor sie wieder in Betrieb genommen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.8 + description: Die betroffenen Komponenten SOLLTEN einem Penetrationstest unterzogen + werden, bevor sie wieder eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.9 + description: "Bei der Wiederherstellung der sicheren Betriebsumgebung M\xDC\ + SSEN die Benutzenden in die Anwendungsfunktionstests einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a6 + ref_id: DER.2.1.A6.10 + description: "Nachdem alles wiederhergestellt wurde, M\xDCSSEN die Komponenten\ + \ inklusive der Netz\xFCberg\xE4nge gezielt \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A7 + name: "Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + ref_id: DER.2.1.A7.1 + description: "Es SOLLTE eine geeignete Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ + llen definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + ref_id: DER.2.1.A7.2 + description: "Die Abl\xE4ufe, Prozesse und Vorgaben f\xFCr die verschiedenen\ + \ Sicherheitsvorf\xE4lle SOLLTEN dabei eindeutig geregelt und geeignet dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + ref_id: DER.2.1.A7.3 + description: "Die Institutionsleitung SOLLTE die festgelegte Vorgehensweise\ + \ in Kraft setzen und allen Beteiligten zug\xE4nglich machen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + ref_id: DER.2.1.A7.4 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Vorgehensweise\ + \ noch aktuell und wirksam ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a7 + ref_id: DER.2.1.A7.5 + description: Bei Bedarf SOLLTE die Vorgehensweise angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A8 + name: "Aufbau von Organisationsstrukturen zur Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + ref_id: DER.2.1.A8.1 + description: "F\xFCr den Umgang mit Sicherheitsvorf\xE4llen SOLLTEN geeignete\ + \ Organisationsstrukturen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + ref_id: DER.2.1.A8.2 + description: "Es SOLLTE ein Sicherheitsvorfall-Team aufgebaut werden, dessen\ + \ Mitglieder je nach Art des Vorfalls einberufen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + ref_id: DER.2.1.A8.3 + description: "Auch wenn das Sicherheitsvorfall-Team nur f\xFCr einen konkreten\ + \ Fall zusammentritt, SOLLTEN bereits im Vorfeld geeignete Mitglieder benannt\ + \ und in ihre Aufgaben eingewiesen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + ref_id: DER.2.1.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Zusammensetzung\ + \ des Sicherheitsvorfall-Teams noch angemessen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a8 + ref_id: DER.2.1.A8.5 + description: Gegebenenfalls SOLLTE das Sicherheitsvorfall-Team neu zusammengestellt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A9 + name: "Festlegung von Meldewegen f\xFCr Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.1 + description: "F\xFCr die verschiedenen Arten von Sicherheitsvorf\xE4llen SOLLTEN\ + \ die jeweils passenden Meldewege aufgebaut sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.2 + description: "Es SOLLTE dabei sichergestellt sein, dass Mitarbeitende Sicherheitsvorf\xE4\ + lle \xFCber verl\xE4ssliche und vertrauensw\xFCrdige Kan\xE4le schnell und\ + \ einfach melden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.3 + description: "Wird eine zentrale Anlaufstelle f\xFCr die Meldung von St\xF6\ + rungen oder Sicherheitsvorf\xE4llen eingerichtet, SOLLTE dies an alle Mitarbeitende\ + \ kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.4 + description: Eine Kommunikations- und Kontaktstrategie SOLLTE vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.5 + description: "Darin SOLLTE geregelt sein, wer grunds\xE4tzlich informiert werden\ + \ muss und wer informiert werden darf, durch wen dies in welcher Reihenfolge\ + \ erfolgt und in welcher Tiefe informiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.6 + description: "Es SOLLTE definiert sein, wer Informationen \xFCber Sicherheitsvorf\xE4\ + lle an Dritte weitergibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a9 + ref_id: DER.2.1.A9.7 + description: "Ebenso SOLLTE sichergestellt sein, dass keine unautorisierten\ + \ Personen Informationen \xFCber den Sicherheitsvorfall weitergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A10 + name: "Eind\xE4mmen der Auswirkung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10 + ref_id: DER.2.1.A10.1 + description: "Parallel zur Ursachenanalyse eines Sicherheitsvorfalls SOLLTE\ + \ entschieden werden, ob es wichtiger ist, den entstandenen Schaden einzud\xE4\ + mmen oder den Vorfall aufzukl\xE4ren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10 + ref_id: DER.2.1.A10.2 + description: "Um die Auswirkung eines Sicherheitsvorfalls absch\xE4tzen zu k\xF6\ + nnen, SOLLTEN ausreichend Informationen vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a10 + ref_id: DER.2.1.A10.3 + description: "F\xFCr ausgew\xE4hlte Sicherheitsvorfallszenarien SOLLTEN bereits\ + \ im Vorfeld Worst-Case-Betrachtungen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A11 + name: "Einstufung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a11 + ref_id: DER.2.1.A11.1 + description: "Ein einheitliches Verfahren SOLLTE festgelegt werden, um Sicherheitsvorf\xE4\ + lle und St\xF6rungen einzustufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a11 + ref_id: DER.2.1.A11.2 + description: "Das Einstufungsverfahren f\xFCr Sicherheitsvorf\xE4lle SOLLTE\ + \ zwischen Sicherheitsmanagement und der St\xF6rungs- und Fehlerbehebung (Incident\ + \ Management) abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A12 + name: "Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur St\xF6\ + rungs- und Fehlerbehebung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12 + ref_id: DER.2.1.A12.1 + description: "Die Schnittstellen zwischen St\xF6rungs- und Fehlerbehebung, Notfallmanagement\ + \ und Sicherheitsmanagement SOLLTEN analysiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12 + ref_id: DER.2.1.A12.2 + description: Dabei SOLLTEN auch eventuell gemeinsam benutzbare Ressourcen identifiziert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12 + ref_id: DER.2.1.A12.3 + description: "Die bei der St\xF6rungs- und Fehlerbehebung beteiligten Mitarbeitenden\ + \ SOLLTEN f\xFCr die Behandlung von Sicherheitsvorf\xE4llen sowie f\xFCr das\ + \ Notfallmanagement sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a12 + ref_id: DER.2.1.A12.4 + description: Das Sicherheitsmanagement SOLLTE lesenden Zugriff auf eingesetzte + Incident-Management-Werkzeuge haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A13 + name: Einbindung in das Sicherheits- und Notfallmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a13 + ref_id: DER.2.1.A13.1 + description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE mit dem Notfallmanagement\ + \ abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a13 + ref_id: DER.2.1.A13.2 + description: "Falls es in der Institution eine spezielle Rolle f\xFCr St\xF6\ + rungs- und Fehlerbehebung gibt, SOLLTE auch diese mit einbezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A14 + name: "Eskalationsstrategie f\xFCr Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.1 + description: "\xDCber die Kommunikations- und Kontaktstrategie hinaus SOLLTE\ + \ eine Eskalationsstrategie formuliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.2 + description: "Diese SOLLTE zwischen den Verantwortlichen f\xFCr St\xF6rungs-\ + \ und Fehlerbehebung und dem Informationssicherheitsmanagement abgestimmt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.3 + description: "Die Eskalationsstrategie SOLLTE eindeutige Handlungsanweisungen\ + \ enthalten, wer auf welchem Weg bei welcher Art von erkennbaren oder vermuteten\ + \ Sicherheitsst\xF6rungen wann einzubeziehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.4 + description: "Es SOLLTE geregelt sein, zu welchen Ma\xDFnahmen eine Eskalation\ + \ f\xFChrt und wie reagiert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.5 + description: "F\xFCr die festgelegte Eskalationsstrategie SOLLTEN geeignete\ + \ Werkzeuge wie z. B. Ticket-Systeme ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.6 + description: "Diese SOLLTEN sich auch daf\xFCr eignen, vertrauliche Informationen\ + \ zu verarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.7 + description: "Es SOLLTE sichergestellt sein, dass die Werkzeuge auch w\xE4hrend\ + \ eines Sicherheitsvorfalls bzw. Notfalls verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.8 + description: "Die Eskalationsstrategie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.9 + description: "Die Checklisten (Matching Szenarios) f\xFCr St\xF6rungs- und Fehlerbehebung\ + \ SOLLTEN regelm\xE4\xDFig um sicherheitsrelevante Themen erg\xE4nzt bzw.\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a14 + ref_id: DER.2.1.A14.10 + description: "Die festgelegten Eskalationswege SOLLTEN in \xDCbungen erprobt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A15 + name: Schulung der Mitarbeitenden des Service Desks + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15 + ref_id: DER.2.1.A15.1 + description: "Dem Personal des Service Desk SOLLTEN geeignete Hilfsmittel zur\ + \ Verf\xFCgung stehen, damit sie Sicherheitsvorf\xE4lle erkennen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15 + ref_id: DER.2.1.A15.2 + description: "Sie SOLLTEN ausreichend geschult sein, um die Hilfsmittel selbst\ + \ anwenden zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a15 + ref_id: DER.2.1.A15.3 + description: Die Mitarbeitenden des Service Desk SOLLTEN den Schutzbedarf der + betroffenen IT-Systeme kennen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A16 + name: "Dokumentation der Behebung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + ref_id: DER.2.1.A16.1 + description: "Die Behebung von Sicherheitsvorf\xE4llen SOLLTE nach einem standardisierten\ + \ Verfahren dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + ref_id: DER.2.1.A16.2 + description: "Es SOLLTEN alle durchgef\xFChrten Aktionen inklusive der Zeitpunkte\ + \ sowie die Protokolldaten der betroffenen Komponenten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + ref_id: DER.2.1.A16.3 + description: "Dabei SOLLTE die Vertraulichkeit bei der Dokumentation und Archivierung\ + \ der Berichte gew\xE4hrleistet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + ref_id: DER.2.1.A16.4 + description: "Die ben\xF6tigten Informationen SOLLTEN in die jeweiligen Dokumentationssysteme\ + \ eingepflegt werden, bevor die St\xF6rung als beendet und als abgeschlossen\ + \ markiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a16 + ref_id: DER.2.1.A16.5 + description: "Im Vorfeld SOLLTEN mit dem oder der ISB die daf\xFCr erforderlichen\ + \ Anforderungen an die Qualit\xE4tssicherung definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A17 + name: "Nachbereitung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.1 + description: "Sicherheitsvorf\xE4lle SOLLTEN standardisiert nachbereitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.2 + description: "Dabei SOLLTE untersucht werden, wie schnell die Sicherheitsvorf\xE4\ + lle erkannt und behoben wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.3 + description: "Weiterhin SOLLTE untersucht werden, ob die Meldewege funktionierten,\ + \ ausreichend Informationen f\xFCr die Bewertung verf\xFCgbar und ob die Detektionsma\xDF\ + nahmen wirksam waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.4 + description: "Ebenso SOLLTE gepr\xFCft werden, ob die ergriffenen Ma\xDFnahmen\ + \ und Aktivit\xE4ten wirksam und effizient waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.5 + description: "Die Erfahrungen aus vergangenen Sicherheitsvorf\xE4llen SOLLTEN\ + \ genutzt werden, um daraus Handlungsanweisungen f\xFCr vergleichbare Sicherheitsvorf\xE4\ + lle zu erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.6 + description: "Diese Handlungsanweisungen SOLLTEN den relevanten Personengruppen\ + \ bekanntgegeben und auf Basis neuer Erkenntnisse regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.7 + description: "Die Institutionsleitung SOLLTE j\xE4hrlich \xFCber die Sicherheitsvorf\xE4\ + lle unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a17 + ref_id: DER.2.1.A17.8 + description: Besteht sofortiger Handlungsbedarf, MUSS die Institutionsleitung + umgehend informiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A18 + name: "Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorf\xE4\ + llen und Branchenentwicklungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18 + ref_id: DER.2.1.A18.1 + description: "Nachdem ein Sicherheitsvorfall analysiert wurde, SOLLTE untersucht\ + \ werden, ob die Prozesse und Abl\xE4ufe im Rahmen der Behandlung von Sicherheitsvorf\xE4\ + llen ge\xE4ndert oder weiterentwickelt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18 + ref_id: DER.2.1.A18.2 + description: "Dabei SOLLTEN alle Personen, die an dem Vorfall beteiligt waren,\ + \ \xFCber ihre jeweiligen Erfahrungen berichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18 + ref_id: DER.2.1.A18.3 + description: "Es SOLLTE gepr\xFCft werden, ob es neue Entwicklungen im Bereich\ + \ Incident Management und in der Forensik gibt und ob diese in die jeweiligen\ + \ Dokumente und Abl\xE4ufe eingebracht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a18 + ref_id: DER.2.1.A18.4 + description: "Werden Hilfsmittel und Checklisten eingesetzt, z. B. f\xFCr Service-Desk-Mitarbeitende,\ + \ SOLLTE gepr\xFCft werden, ob diese um relevante Fragen und Informationen\ + \ zu erweitern sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A19 + name: "Festlegung von Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + ref_id: DER.2.1.A19.1 + description: "Es SOLLTEN Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen vorab festgelegt und regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + ref_id: DER.2.1.A19.2 + description: "Dabei SOLLTE auch die vorgenommene Einstufung von Sicherheitsvorf\xE4\ + llen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + ref_id: DER.2.1.A19.3 + description: "Die Priorit\xE4ten SOLLTEN von der Institutionsleitung genehmigt\ + \ und in Kraft gesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + ref_id: DER.2.1.A19.4 + description: "Sie SOLLTEN allen Verantwortlichen bekannt sein, die mit der Behandlung\ + \ von Sicherheitsvorf\xE4llen zu tun haben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a19 + ref_id: DER.2.1.A19.5 + description: "Die festgelegten Priorit\xE4tsklassen SOLLTEN au\xDFerdem im Incident\ + \ Management hinterlegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A20 + name: "Einrichtung einer dedizierten Meldestelle f\xFCr Sicherheitsvorf\xE4\ + lle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + ref_id: DER.2.1.A20.1 + description: "Eine dedizierte Stelle zur Meldung von Sicherheitsvorf\xE4llen\ + \ SOLLTE eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + ref_id: DER.2.1.A20.2 + description: "Es SOLLTE gew\xE4hrleistet sein, dass die Meldestelle zu den \xFC\ + blichen Arbeitszeiten erreichbar ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + ref_id: DER.2.1.A20.3 + description: "Zus\xE4tzlich SOLLTE es m\xF6glich sein, dass Sicherheitsvorf\xE4\ + lle auch au\xDFerhalb der \xFCblichen Arbeitszeiten gemeldet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + ref_id: DER.2.1.A20.4 + description: "Die Mitarbeitenden der Meldestelle SOLLTEN ausreichend geschult\ + \ und f\xFCr die Belange der Informationssicherheit sensibilisiert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a20 + ref_id: DER.2.1.A20.5 + description: "Alle Informationen \xFCber Sicherheitsvorf\xE4lle SOLLTEN bei\ + \ der Meldestelle vertraulich behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A21 + name: "Einrichtung eines Teams von Fachleuten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.1 + description: "Es SOLLTE ein Team mit erfahrenen und vertrauensw\xFCrdigen Fachleuten\ + \ zusammengestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.2 + description: "Neben dem technischen Verst\xE4ndnis SOLLTEN die Teammitglieder\ + \ auch \xFCber Kompetenzen im Bereich Kommunikation verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.3 + description: "Die Vertrauensw\xFCrdigkeit der Mitglieder des Teams SOLLTE \xFC\ + berpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.4 + description: "Die Zusammensetzung des Teams SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und, wenn n\xF6tig, ge\xE4ndert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.5 + description: Die Mitglieder des Teams SOLLTEN in die Eskalations- und Meldewege + eingebunden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.6 + description: "Das Experten- und Expertinnenteam SOLLTE f\xFCr die Analyse von\ + \ Sicherheitsvorf\xE4llen an den in der Institution eingesetzten Systemen\ + \ ausgebildet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.7 + description: "Die Mitglieder des Experten- und Expertinnenteams SOLLTEN sich\ + \ regelm\xE4\xDFig weiterbilden, sowohl zu den eingesetzten Systemen als auch\ + \ zur Detektion und Reaktion auf Sicherheitsvorf\xE4lle." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.8 + description: "Dem Experten- und Expertinnenteam SOLLTEN alle vorhandenen Dokumentationen\ + \ sowie finanzielle und technische Ressourcen zur Verf\xFCgung stehen, um\ + \ Sicherheitsvorf\xE4lle schnell und diskret zu behandeln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.9 + description: "Das Experten- und Expertinnenteams SOLLTE in geeigneter Weise\ + \ in den Organisationsstrukturen ber\xFCcksichtigt und in diese integriert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a21 + ref_id: DER.2.1.A21.10 + description: "Die Zust\xE4ndigkeiten des Teams SOLLTEN vorher mit denen des\ + \ Sicherheitsvorfall-Teams abgestimmt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1 + ref_id: DER.2.1.A22 + name: "\xDCberpr\xFCfung der Effizienz des Managementsystems zur Behandlung\ + \ von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + ref_id: DER.2.1.A22.1 + description: "Das Managementsystem zur Behandlung von Sicherheitsvorf\xE4llen\ + \ SOLLTE regelm\xE4\xDFig daraufhin gepr\xFCft werden, ob es noch aktuell\ + \ und wirksam ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + ref_id: DER.2.1.A22.2 + description: "Dazu SOLLTEN sowohl angek\xFCndigte als auch unangek\xFCndigte\ + \ \xDCbungen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + ref_id: DER.2.1.A22.3 + description: "Die \xDCbungen SOLLTEN vorher mit der Institutionsleitung abgestimmt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + ref_id: DER.2.1.A22.4 + description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die anfallen,\ + \ wenn Sicherheitsvorf\xE4lle aufgenommen, gemeldet und eskaliert werden,\ + \ z. B. die Zeitr\xE4ume von der Erstmeldung bis zur verbindlichen Best\xE4\ + tigung eines Sicherheitsvorfalls." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.1.a22 + ref_id: DER.2.1.A22.5 + description: "Au\xDFerdem SOLLTEN Planspiele zur Behandlung von Sicherheitsvorf\xE4\ + llen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + assessable: false + depth: 1 + ref_id: DER.2.2 + name: "Vorsorge f\xFCr die IT-Forensik" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A1 + name: "Pr\xFCfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung\ + \ und Auswertbarkeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1 + ref_id: DER.2.2.A1.1 + description: "Werden Daten f\xFCr forensische Untersuchungen erfasst und ausgewertet,\ + \ M\xDCSSEN alle rechtlichen und regulatorischen Rahmenbedingungen identifiziert\ + \ und eingehalten werden (siehe ORP.5 Compliance Management (Anforderungsmanagement))." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1 + ref_id: DER.2.2.A1.2 + description: "Auch DARF NICHT gegen interne Regelungen und Mitarbeitendenvereinbarungen\ + \ versto\xDFen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a1 + ref_id: DER.2.2.A1.3 + description: "Dazu M\xDCSSEN der Betriebs- oder Personalrat sowie der oder die\ + \ Datenschutzbeauftragte einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A2 + name: "Erstellung eines Leitfadens f\xFCr Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a2 + ref_id: DER.2.2.A2.1 + description: "Es MUSS ein Leitfaden erstellt werden, der f\xFCr die eingesetzten\ + \ IT-Systeme beschreibt, welche Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall\ + \ durchgef\xFChrt werden m\xFCssen, um m\xF6glichst wenig Spuren zu zerst\xF6\ + ren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a2 + ref_id: DER.2.2.A2.2 + description: "Darin MUSS auch beschrieben sein, durch welche Handlungen potenzielle\ + \ Spuren vernichtet werden k\xF6nnten und wie sich das vermeiden l\xE4sst." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A3 + name: Vorauswahl von Forensik-Dienstleistenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a3 + ref_id: DER.2.2.A3.1 + description: "Verf\xFCgt eine Institution nicht \xFCber ein eigenes Forensik-Team,\ + \ M\xDCSSEN bereits in der Vorbereitungsphase m\xF6gliche geeignete Forensik-Dienstleistenden\ + \ identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a3 + ref_id: DER.2.2.A3.2 + description: Welche Forensik-Dienstleistende infrage kommen, MUSS dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A4 + name: Festlegung von Schnittstellen zum Krisen- und Notfallmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4 + ref_id: DER.2.2.A4.1 + description: Die Schnittstellen zwischen IT-forensischen Untersuchungen und + dem Krisen- und Notfallmanagement SOLLTEN definiert und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4 + ref_id: DER.2.2.A4.2 + description: "Hierzu SOLLTE geregelt werden, welche Mitarbeitenden f\xFCr welche\ + \ Aufgaben verantwortlich sind und wie mit ihnen kommuniziert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a4 + ref_id: DER.2.2.A4.3 + description: "Dar\xFCber hinaus SOLLTE sichergestellt werden, dass die zust\xE4\ + ndigen Kontaktpersonen stets erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A5 + name: "Erstellung eines Leitfadens f\xFCr Beweissicherungsma\xDFnahmen bei IT-Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a5 + ref_id: DER.2.2.A5.1 + description: Es SOLLTE ein Leitfaden erstellt werden, in dem beschrieben wird, + wie Beweise gesichert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a5 + ref_id: DER.2.2.A5.2 + description: "Darin SOLLTEN Vorgehensweisen, technische Werkzeuge, rechtliche\ + \ Rahmenbedingungen und Dokumentationsvorgaben aufgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A6 + name: "Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a6 + ref_id: DER.2.2.A6.1 + description: Alle verantwortlichen Mitarbeitenden SOLLTEN wissen, wie sie Spuren + korrekt sichern und die Werkzeuge zur Forensik richtig einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a6 + ref_id: DER.2.2.A6.2 + description: "Daf\xFCr SOLLTEN geeignete Schulungen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A7 + name: Auswahl von Werkzeugen zur Forensik + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7 + ref_id: DER.2.2.A7.1 + description: "Es SOLLTE sichergestellt werden, dass Werkzeuge, mit denen Spuren\ + \ forensisch gesichert und analysiert werden, auch daf\xFCr geeignet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7 + ref_id: DER.2.2.A7.2 + description: "Bevor ein Werkzeug zur Forensik eingesetzt wird, SOLLTE zudem\ + \ gepr\xFCft werden, ob es richtig funktioniert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a7 + ref_id: DER.2.2.A7.3 + description: "Auch SOLLTE \xFCberpr\xFCft und dokumentiert werden, dass es nicht\ + \ manipuliert wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A8 + name: Auswahl und Reihenfolge der zu sichernden Beweismittel + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.1 + description: Eine forensische Untersuchung SOLLTE immer damit beginnen, die + Ziele bzw. den Arbeitsauftrag zu definieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.2 + description: "Die Ziele SOLLTEN m\xF6glichst konkret formuliert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.3 + description: Danach SOLLTEN alle notwendigen Datenquellen identifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.4 + description: Auch SOLLTE festgelegt werden, in welcher Reihenfolge die Daten + gesichert werden und wie genau dabei vorgegangen werden soll. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.5 + description: "Die Reihenfolge SOLLTE sich danach richten, wie fl\xFCchtig (volatil)\ + \ die zu sichernden Daten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.6 + description: "So SOLLTEN schnell fl\xFCchtige Daten zeitnah gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a8 + ref_id: DER.2.2.A8.7 + description: "Erst danach SOLLTEN nichtfl\xFCchtige Daten wie beispielsweise\ + \ Festspeicherinhalte und schlie\xDFlich Backups folgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A9 + name: Vorauswahl forensisch relevanter Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a9 + ref_id: DER.2.2.A9.1 + description: "Es SOLLTE festgelegt werden, welche sekund\xE4ren Daten (z. B.\ + \ Logdaten oder Verkehrsmitschnitte) auf welche Weise und wie lange im Rahmen\ + \ der rechtlichen Rahmenbedingungen f\xFCr m\xF6gliche forensische Beweissicherungsma\xDF\ + nahmen vorgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A10 + name: IT-forensische Sicherung von Beweismitteln + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.1 + description: "Datentr\xE4ger SOLLTEN m\xF6glichst komplett forensisch dupliziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.2 + description: "Wenn das nicht m\xF6glich ist, z. B. bei fl\xFCchtigen Daten im\ + \ RAM oder in SAN-Partitionen, SOLLTE eine Methode gew\xE4hlt werden, die\ + \ m\xF6glichst wenige Daten ver\xE4ndert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.3 + description: "Die Originaldatentr\xE4ger SOLLTEN versiegelt aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.4 + description: "Es SOLLTEN schriftlich dokumentierte kryptografische Pr\xFCfsummen\ + \ von den Datentr\xE4gern angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.5 + description: Diese SOLLTEN getrennt und in mehreren Kopien aufbewahrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.6 + description: "Zudem SOLLTE sichergestellt sein, dass die so dokumentierten Pr\xFC\ + fsummen nicht ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.7 + description: "Damit die Daten gerichtlich verwertbar sind, SOLLTE ein Zeuge\ + \ best\xE4tigen, wie dabei vorgegangen wurde und die erstellten Pr\xFCfsummen\ + \ beglaubigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a10 + ref_id: DER.2.2.A10.8 + description: "Es SOLLTE ausschlie\xDFlich geschultes Personal (siehe DER.2.2.A6\ + \ Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung)\ + \ oder ein Forensik-Dienstleistender (siehe DER.2.2.A3 Vorauswahl von Forensik-Dienstleistenden)\ + \ eingesetzt werden, um Beweise forensisch zu sichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A11 + name: Dokumentation der Beweissicherung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11 + ref_id: DER.2.2.A11.1 + description: "Wenn Beweise forensisch gesichert werden, SOLLTEN alle durchgef\xFC\ + hrten Schritte dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11 + ref_id: DER.2.2.A11.2 + description: "Die Dokumentation SOLLTE l\xFCckenlos nachweisen, wie mit den\ + \ gesicherten Originalbeweismitteln umgegangen wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a11 + ref_id: DER.2.2.A11.3 + description: "Auch SOLLTE dokumentiert werden, welche Methoden eingesetzt wurden\ + \ und warum sich die Verantwortlichen daf\xFCr entschieden haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A12 + name: "Sichere Verwahrung von Originaldatentr\xE4gern und Beweismitteln" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12 + ref_id: DER.2.2.A12.1 + description: "Alle sichergestellten Originaldatentr\xE4ger SOLLTEN physisch\ + \ so gelagert werden, dass nur ermittelnde und namentlich bekannte Mitarbeitende\ + \ darauf zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12 + ref_id: DER.2.2.A12.2 + description: "Wenn Originaldatentr\xE4ger und Beweismittel eingelagert werden,\ + \ SOLLTE festgelegt werden, wie lange sie aufzubewahren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12 + ref_id: DER.2.2.A12.3 + description: "Nachdem die Frist abgelaufen ist, SOLLTE gepr\xFCft werden, ob\ + \ die Datentr\xE4ger und Beweise noch weiter aufbewahrt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a12 + ref_id: DER.2.2.A12.4 + description: "Nach der Aufbewahrungsfrist SOLLTEN Beweismittel sicher gel\xF6\ + scht oder vernichtet und Originaldatentr\xE4ger zur\xFCckgegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A13 + name: "Rahmenvertr\xE4ge mit externen Dienstleistenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a13 + ref_id: DER.2.2.A13.1 + description: "Die Institution SOLLTE Abrufvereinbarungen bzw. Rahmenvertr\xE4\ + ge mit Forensik-Dienstleistenden abschlie\xDFen, damit IT-Sicherheitsvorf\xE4\ + lle schneller forensisch untersucht werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A14 + name: "Festlegung von Standardverfahren f\xFCr die Beweissicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14 + ref_id: DER.2.2.A14.1 + description: "F\xFCr Anwendungen, IT-Systeme bzw. IT-Systemgruppen mit hohem\ + \ Schutzbedarf sowie f\xFCr verbreitete Systemkonfigurationen SOLLTEN Standardverfahren\ + \ erstellt werden, die es erlauben, fl\xFCchtige und nichtfl\xFCchtige Daten\ + \ m\xF6glichst vollst\xE4ndig forensisch zu sichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14 + ref_id: DER.2.2.A14.2 + description: "Die jeweiligen systemspezifischen Standardverfahren SOLLTEN durch\ + \ erprobte und m\xF6glichst automatisierte Prozesse umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a14 + ref_id: DER.2.2.A14.3 + description: "Sie SOLLTEN zudem durch Checklisten und technische Hilfsmittel\ + \ unterst\xFCtzt werden, z. B. durch Software, Software-Tools auf mobilen\ + \ Datentr\xE4gern und IT-forensische Hardware wie Schreibblocker." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2 + ref_id: DER.2.2.A15 + name: "Durchf\xFChrung von \xDCbungen zur Beweissicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.2.a15 + ref_id: DER.2.2.A15.1 + description: "Alle an forensischen Analysen beteiligten Mitarbeitenden SOLLTEN\ + \ regelm\xE4\xDFig in Form von \xDCbungen trainieren, wie Beweise bei einem\ + \ IT-Sicherheitsvorfall zu sichern sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + assessable: false + depth: 1 + ref_id: DER.2.3 + name: "Bereinigung weitreichender Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A1 + name: Einrichtung eines Leitungsgremiums + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.1 + description: "Um einen APT-Vorfall zu bereinigen, MUSS ein Leitungsgremium eingerichtet\ + \ werden, das alle notwendigen Aktivit\xE4ten plant, koordiniert und \xFC\ + berwacht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.2 + description: "Dem Gremium M\xDCSSEN alle f\xFCr die Aufgaben erforderlichen\ + \ Weisungsbefugnisse \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.3 + description: Wenn ein solches Leitungsgremium zu dem Zeitpunkt, als der APT-Vorfall + detektiert und klassifiziert wurde, bereits eingerichtet ist, SOLLTE dasselbe + Gremium auch die Bereinigung planen und leiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.4 + description: Wurden schon spezialisierte Forensikdienstleistende hinzugezogen, + um den APT-Vorfall zu analysieren, SOLLTEN diese auch bei der Bereinigung + des Vorfalls miteinbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.5 + description: "Ist die IT zu stark kompromittiert, um weiter betrieben zu werden,\ + \ oder sind die notwendigen Bereinigungsma\xDFnahmen sehr umfangreich, SOLLTE\ + \ gepr\xFCft werden, ob ein Krisenstab eingerichtet werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.6 + description: "In diesem Fall MUSS das Leitungsgremium die Bereinigungsma\xDF\ + nahmen \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a1 + ref_id: DER.2.3.A1.7 + description: Das Leitungsgremium MUSS dann dem Krisenstab berichten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A2 + name: "Entscheidung f\xFCr eine Bereinigungsstrategie" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.1 + description: "Bevor ein APT-Vorfall tats\xE4chlich bereinigt wird, MUSS das\ + \ Leitungsgremium eine Bereinigungsstrategie festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.2 + description: "Dabei MUSS insbesondere entschieden werden, ob die Schadsoftware\ + \ von kompromittierten IT-Systemen entfernt werden kann, ob IT-Systeme neu\ + \ installiert werden m\xFCssen oder ob IT-Systeme inklusive der Hardware komplett\ + \ ausgetauscht werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.3 + description: Weiterhin MUSS festgelegt werden, welche IT-Systeme bereinigt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.4 + description: "Grundlage f\xFCr diese Entscheidungen M\xDCSSEN die Ergebnisse\ + \ einer zuvor durchgef\xFChrten forensischen Untersuchung sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.5 + description: Es SOLLTEN alle betroffenen IT-Systeme neu installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.6 + description: "Danach M\xDCSSEN die Wiederanlaufpl\xE4ne der Institution benutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.7 + description: "Bevor jedoch Backups wieder eingespielt werden, MUSS durch forensische\ + \ Untersuchungen sichergestellt sein, dass dadurch keine manipulierten Daten\ + \ oder Programme auf das neu installierte IT-System \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.8 + description: Entscheidet sich eine Institution dagegen, alle IT-Systeme neu + zu installieren, MUSS eine gezielte APT-Bereinigung umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a2 + ref_id: DER.2.3.A2.9 + description: "Um das Risiko \xFCbersehener Hintert\xFCren zu minimieren, M\xDC\ + SSEN nach der Bereinigung die IT-Systeme gezielt daraufhin \xFCberwacht werden,\ + \ ob sie noch mit den Angreifenden kommunizieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A3 + name: Isolierung der betroffenen Netzabschnitte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.1 + description: "Die von einem APT-Vorfall betroffenen Netzabschnitte M\xDCSSEN\ + \ vollst\xE4ndig isoliert werden (Cut-Off)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.2 + description: "Insbesondere M\xDCSSEN die betroffenen Netzabschnitte vom Internet\ + \ getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.3 + description: "Um die Angreifenden effektiv auszusperren und zu verhindern, dass\ + \ sie ihre Spuren verwischen oder noch weitere IT-Systeme sabotieren, M\xDC\ + SSEN die Netzabschnitte auf einen Schlag isoliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.4 + description: "Welche Netzabschnitte isoliert werden m\xFCssen, MUSS vorher durch\ + \ eine forensische Analyse festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.5 + description: "Es M\xDCSSEN dabei s\xE4mtliche betroffenen Abschnitte identifiziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.6 + description: "Kann das nicht sichergestellt werden, M\xDCSSEN alle verd\xE4\ + chtigen sowie alle auch nur theoretisch infizierten Netzabschnitte isoliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a3 + ref_id: DER.2.3.A3.7 + description: "Um Netzabschnitte effektiv isolieren zu k\xF6nnen, M\xDCSSEN s\xE4\ + mtliche lokalen Internetanschl\xFCsse, z. B. zus\xE4tzliche DSL-Anschl\xFC\ + sse in einzelnen Subnetzen, m\xF6glichst vollst\xE4ndig erfasst und ebenfalls\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A4 + name: "Sperrung und \xC4nderung von Zugangsdaten und kryptografischen Schl\xFC\ + sseln" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.1 + description: "Alle Zugangsdaten M\xDCSSEN ge\xE4ndert werden, nachdem das Netz\ + \ isoliert wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.2 + description: "Weiterhin M\xDCSSEN auch zentral verwaltete Zugangsdaten zur\xFC\ + ckgesetzt werden, z. B. in Active-Directory-Umgebungen oder wenn das Lightweight\ + \ Directory Access Protocol (LDAP) benutzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.3 + description: "Ist der zentrale Authentisierungsserver (Domaincontroller oder\ + \ LDAP-Server) kompromittiert, M\xDCSSEN s\xE4mtliche dort vorhandenen Zug\xE4\ + nge gesperrt und ihre Passw\xF6rter ausgetauscht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.4 + description: "Dies M\xDCSSEN erfahrene Administrierende umsetzen, falls erforderlich,\ + \ auch mithilfe interner oder externer Expertise aus dem Bereich Forensik." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.5 + description: "Wurden TLS-Schl\xFCssel oder eine interne Certification Authority\ + \ (CA) durch den APT-Angriff kompromittiert, M\xDCSSEN entsprechende Schl\xFC\ + ssel, Zertifikate und Infrastrukturen neu erzeugt und verteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a4 + ref_id: DER.2.3.A4.6 + description: "Auch M\xDCSSEN die kompromittierten Schl\xFCssel und Zertifikate\ + \ zuverl\xE4ssig gesperrt und zur\xFCckgerufen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A5 + name: "Schlie\xDFen des initialen Einbruchswegs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a5 + ref_id: DER.2.3.A5.1 + description: Wurde durch eine forensische Untersuchung herausgefunden, dass + die Angreifenden durch eine technische Schwachstelle in das Netz der Institution + eingedrungen sind, MUSS diese Schwachstelle geschlossen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a5 + ref_id: DER.2.3.A5.2 + description: "Konnten die Angreifenden die IT-Systeme durch menschliche Fehlhandlungen\ + \ kompromittieren, M\xDCSSEN organisatorische, personelle und technische Ma\xDF\ + nahmen ergriffen werden, um \xE4hnliche Vorf\xE4lle k\xFCnftig zu verhindern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A6 + name: "R\xFCckf\xFChrung in den Produktivbetrieb" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6 + ref_id: DER.2.3.A6.1 + description: "Nachdem das Netz erfolgreich bereinigt wurde, M\xDCSSEN die IT-Systeme\ + \ geordnet in den Produktivbetrieb zur\xFCckgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6 + ref_id: DER.2.3.A6.2 + description: "Dabei M\xDCSSEN s\xE4mtliche zuvor eingesetzten IT-Systeme und\ + \ installierten Programme, mit denen der Angriff beobachtet und analysiert\ + \ wurde, entweder entfernt oder aber in den Produktivbetrieb \xFCberf\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6 + ref_id: DER.2.3.A6.3 + description: "Dasselbe MUSS mit Kommunikations- und Kollaborationssystemen erfolgen,\ + \ die f\xFCr die Bereinigung angeschafft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a6 + ref_id: DER.2.3.A6.4 + description: "Beweismittel und ausgesonderte IT-Systeme M\xDCSSEN entweder sicher\ + \ gel\xF6scht bzw. vernichtet oder aber geeignet archiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A7 + name: "Gezielte Systemh\xE4rtung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.1 + description: "Nach einem APT-Angriff SOLLTEN alle betroffenen IT-Systeme geh\xE4\ + rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.2 + description: "Grundlage hierf\xFCr SOLLTEN die Ergebnisse der forensischen Untersuchungen\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.3 + description: "Zus\xE4tzlich SOLLTE erneut gepr\xFCft werden, ob die betroffene\ + \ Umgebung noch sicher ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.4 + description: "Wenn m\xF6glich, SOLLTEN IT-Systeme bereits w\xE4hrend der Bereinigung\ + \ geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.5 + description: "Ma\xDFnahmen, die sich nicht kurzfristig durchf\xFChren lassen,\ + \ SOLLTEN in einen Ma\xDFnahmenplan aufgenommen und mittelfristig umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a7 + ref_id: DER.2.3.A7.6 + description: "Der oder die ISB SOLLTE den Plan aufzustellen und pr\xFCfen, ob\ + \ er korrekt umgesetzt wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A8 + name: "Etablierung sicherer, unabh\xE4ngiger Kommunikationskan\xE4le" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a8 + ref_id: DER.2.3.A8.1 + description: "Es SOLLTEN sichere Kommunikationskan\xE4le f\xFCr das Leitungsgremium\ + \ und die mit der Bereinigung beauftragten Mitarbeitenden etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a8 + ref_id: DER.2.3.A8.2 + description: "Wird auf Kommunikationsdienste Dritter zur\xFCckgegriffen, SOLLTE\ + \ auch hier darauf geachtet werden, dass ein sicherer Kommunikationskanal\ + \ ausgew\xE4hlt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A9 + name: Hardwaretausch betroffener IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a9 + ref_id: DER.2.3.A9.1 + description: Es SOLLTE erwogen werden, nach einem APT-Vorfall die Hardware komplett + auszutauschen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a9 + ref_id: DER.2.3.A9.2 + description: "Auch wenn nach einer Bereinigung bei einzelnen IT-Systemen noch\ + \ verd\xE4chtiges Verhalten beobachtet wird, SOLLTEN die betroffenen IT-Systeme\ + \ ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3 + ref_id: DER.2.3.A10 + name: Umbauten zur Erschwerung eines erneuten Angriffs durch dieselben Angreifenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a10 + ref_id: DER.2.3.A10.1 + description: "Damit dieselben Angreifenden nicht noch einmal einen APT-Angriff\ + \ auf die IT-Systeme der Institution durchf\xFChren k\xF6nnen, SOLLTE der\ + \ interne Aufbau der Netzumgebung ge\xE4ndert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.2.3.a10 + ref_id: DER.2.3.A10.2 + description: "Au\xDFerdem SOLLTEN Mechanismen etabliert werden, mit denen sich\ + \ wiederkehrende Angreifende schnell detektieren lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + assessable: false + depth: 1 + ref_id: DER.3.1 + name: Audits und Revisionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A1 + name: Definition von Verantwortlichkeiten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1 + ref_id: DER.3.1.A1.1 + description: "Die Institutionsleitung MUSS eine Person benennen, die daf\xFC\ + r zust\xE4ndig ist, Audits bzw. Revisionen zu planen und zu initiieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1 + ref_id: DER.3.1.A1.2 + description: Dabei MUSS die Institutionsleitung darauf achten, dass keine Interessenkonflikte + entstehen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a1 + ref_id: DER.3.1.A1.3 + description: "Die Institution MUSS die Ergebnisse der Audits und Revisionen\ + \ dazu verwenden, um die Sicherheitsma\xDFnahmen zu verbessern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A2 + name: Vorbereitung eines Audits oder einer Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2 + ref_id: DER.3.1.A2.1 + description: "Vor einem Audit oder einer Revision MUSS die Institution den Pr\xFC\ + fgegenstand und die Pr\xFCfungsziele festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2 + ref_id: DER.3.1.A2.2 + description: Das betroffene Personal MUSS unterrichtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a2 + ref_id: DER.3.1.A2.3 + description: "Abh\xE4ngig vom Untersuchungsgegenstand MUSS die Personalvertretung\ + \ \xFCber das geplante Audit oder die geplante Revision informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A3 + name: "Durchf\xFChrung eines Audits" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.1 + description: "Bei einem Audit MUSS das Auditteam pr\xFCfen, ob die Anforderungen\ + \ aus Richtlinien, Normen, Standards und anderen relevanten Vorgaben erf\xFC\ + llt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.2 + description: "Die gepr\xFCfte Institution MUSS die Anforderungen kennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.3 + description: "Das Auditteam MUSS bei jedem Audit eine Dokumentenpr\xFCfung sowie\ + \ eine Vor-Ort-Pr\xFCfung durchf\xFChren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.4 + description: "Beim Vor-Ort-Audit MUSS das Auditteam sicherstellen, dass es niemals\ + \ selbst aktiv in Systeme eingreift und keine Handlungsanweisungen zu \xC4\ + nderungen am Pr\xFCfgegenstand erteilt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.5 + description: "Das Auditteam MUSS s\xE4mtliche Ergebnisse eines Audits schriftlich\ + \ dokumentieren und in einem Auditbericht zusammenfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a3 + ref_id: DER.3.1.A3.6 + description: "Der Auditbericht MUSS der zust\xE4ndigen Stelle in der Institution\ + \ zeitnah \xFCbermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A4 + name: "Durchf\xFChrung einer Revision" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4 + ref_id: DER.3.1.A4.1 + description: "Bei einer Revision MUSS das Revisionsteam pr\xFCfen, ob die Anforderungen\ + \ vollst\xE4ndig, korrekt, angemessen und aktuell umgesetzt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4 + ref_id: DER.3.1.A4.2 + description: "Die Institution MUSS festgestellte Abweichungen so schnell wie\ + \ m\xF6glich korrigieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a4 + ref_id: DER.3.1.A4.3 + description: "Die jeweiligen Revisionen M\xDCSSEN mit einer \xC4nderungsverfolgung\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A5 + name: Integration in den Informationssicherheitsprozess + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.1 + description: Die Institution SOLLTE eine Richtlinie zur internen ISMS-Auditierung + vorgeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.2 + description: "Au\xDFerdem sollte sie eine Richtlinie zur Lenkung von Korrekturma\xDF\ + nahmen erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.3 + description: "Die Richtlinien SOLLTEN vorgeben, dass regelm\xE4\xDFige Audits\ + \ und Revisionen ein Teil des Sicherheitsprozesses sind und durch diesen initiiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.4 + description: "Der oder die ISB SOLLTE sicherstellen, dass die Ergebnisse der\ + \ Audits und Revisionen in das ISMS zur\xFCckflie\xDFen und dieses verbessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.5 + description: "Der oder die ISB SOLLTE die durchgef\xFChrten Audits und Revisionen\ + \ und deren Ergebnisse in den regelm\xE4\xDFigen Bericht an die Institutionsleitung\ + \ aufnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a5 + ref_id: DER.3.1.A5.6 + description: "Auch SOLLTE dort festgehalten werden, welche M\xE4ngel beseitigt\ + \ wurden und wie die Qualit\xE4t verbessert wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A6 + name: "Definition der Pr\xFCfungsgrundlage und eines einheitlichen Bewertungsschemas" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a6 + ref_id: DER.3.1.A6.1 + description: "Die Institution SOLLTE eine einheitliche Pr\xFCfungsgrundlage\ + \ f\xFCr Audits festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a6 + ref_id: DER.3.1.A6.2 + description: "F\xFCr die Bewertung der Umsetzung von Anforderungen SOLLTE ein\ + \ einheitliches Bewertungsschema festgelegt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A7 + name: Erstellung eines Auditprogramms + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7 + ref_id: DER.3.1.A7.1 + description: "Der oder die ISB SOLLTE ein Auditprogramm f\xFCr mehrere Jahre\ + \ aufstellen, das alle durchzuf\xFChrenden Audits und Revisionen erfasst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7 + ref_id: DER.3.1.A7.2 + description: "F\xFCr das Auditprogramm SOLLTEN Ziele definiert werden, die sich\ + \ insbesondere aus den Institutionszielen sowie aus den Informationssicherheitszielen\ + \ ableiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7 + ref_id: DER.3.1.A7.3 + description: "Der oder die ISB SOLLTE Reserven f\xFCr unvorhergesehene Ereignisse\ + \ in der j\xE4hrlichen Ressourcenplanung vorsehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a7 + ref_id: DER.3.1.A7.4 + description: Das Auditprogramm SOLLTE einem eigenen kontinuierlichen Verbesserungsprozess + unterliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A8 + name: Erstellung einer Revisionsliste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a8 + ref_id: DER.3.1.A8.1 + description: Der oder die ISB SOLLTE eine oder mehrere Revisionslisten pflegen, + die den aktuellen Stand der Revisionsobjekte sowie die geplanten Revisionen + dokumentieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A9 + name: Auswahl eines geeigneten Audit- oder Revionsteams + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.1 + description: "Die Institution SOLLTE f\xFCr jedes Audit bzw. f\xFCr jede Revision\ + \ ein geeignetes Team zusammenstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.2 + description: Es SOLLTE eine Person benannt werden, die das Audit oder die Revision + leitet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.3 + description: "Diese SOLLTE die Gesamtverantwortung f\xFCr die Durchf\xFChrung\ + \ der Audits bzw. der Revisionen tragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.4 + description: "Die Gr\xF6\xDFe des Audit- bzw. Revisionsteams SOLLTE dem Pr\xFC\ + fbereich entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.5 + description: "Die Institution SOLLTE insbesondere die Kompetenzanforderungen\ + \ der Pr\xFCfthemen sowie die Gr\xF6\xDFe und die \xF6rtliche Verteilung des\ + \ Pr\xFCfbereichs ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.6 + description: Die Mitglieder des Audit- bzw. Revisionsteams SOLLTEN angemessen + qualifiziert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.7 + description: "Die Neutralit\xE4t des Auditteams SOLLTE sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.8 + description: "Dar\xFCber hinaus SOLLTE auch das Revisionsteam unabh\xE4ngig\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a9 + ref_id: DER.3.1.A9.9 + description: "Werden externe Dienstleistende mit einem Audit oder einer Revision\ + \ beauftragt, SOLLTEN diese auf ihre Unabh\xE4ngigkeit hin \xFCberpr\xFCft\ + \ und zur Verschwiegenheit verpflichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A10 + name: Erstellung eines Audit- oder Revisionsplans + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + ref_id: DER.3.1.A10.1 + description: "Vor einem Audit oder einer gr\xF6\xDFeren Revision SOLLTE ein\ + \ Audit- bzw. Revisionsplan erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + ref_id: DER.3.1.A10.2 + description: "Bei Audits SOLLTE der Auditplan Teil des abschlie\xDFenden Auditberichts\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + ref_id: DER.3.1.A10.3 + description: "Der Auditplan SOLLTE w\xE4hrend des gesamten Audits fortgeschrieben\ + \ und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + ref_id: DER.3.1.A10.4 + description: Kleinere Revisionen SOLLTEN anhand der Revisionsliste geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a10 + ref_id: DER.3.1.A10.5 + description: "Die Institution SOLLTE gen\xFCgend Ressourcen f\xFCr das Audit-\ + \ bzw. Revisionsteam vorsehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A11 + name: "Kommunikation und Verhalten w\xE4hrend der Pr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11 + ref_id: DER.3.1.A11.1 + description: "Das Auditteam bzw. Revisionsteam SOLLTE klare Regelungen daf\xFC\ + r aufstellen, wie das Audit- bzw. Revisionsteam und die Mitarbeitenden der\ + \ zu pr\xFCfenden Institution bzw. Abteilung miteinander Informationen austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11 + ref_id: DER.3.1.A11.2 + description: "Das Auditteam SOLLTE durch geeignete Ma\xDFnahmen sicherstellen,\ + \ dass die bei einem Audit ausgetauschten Informationen auch vertraulich und\ + \ integer bleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11 + ref_id: DER.3.1.A11.3 + description: "Personen, die das Audit begleiten, SOLLTEN NICHT die Pr\xFCfungen\ + \ beeinflussen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a11 + ref_id: DER.3.1.A11.4 + description: Zudem SOLLTEN sie zur Vertraulichkeit verpflichtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A12 + name: "Durchf\xFChrung eines Auftaktgespr\xE4chs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12 + ref_id: DER.3.1.A12.1 + description: "Das Auditteam bzw. das Revisionsteam SOLLTE ein Auftaktgespr\xE4\ + ch mit den betreffenden Ansprechpartnern oder Ansprechpartnerinnen f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12 + ref_id: DER.3.1.A12.2 + description: "Das Audit- bzw. Revisionsverfahren SOLLTE erl\xE4utert und die\ + \ Rahmenbedingungen der Vor-Ort-Pr\xFCfung abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a12 + ref_id: DER.3.1.A12.3 + description: "Die jeweiligen Verantwortlichen SOLLTEN dies best\xE4tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A13 + name: "Sichtung und Pr\xFCfung der Dokumente" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13 + ref_id: DER.3.1.A13.1 + description: "Die Dokumente SOLLTEN durch das Auditteam anhand der im Pr\xFC\ + fplan festgelegten Anforderungen gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13 + ref_id: DER.3.1.A13.2 + description: "Alle relevanten Dokumente SOLLTEN daraufhin gepr\xFCft werden,\ + \ ob sie aktuell, vollst\xE4ndig und nachvollziehbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13 + ref_id: DER.3.1.A13.3 + description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a13 + ref_id: DER.3.1.A13.4 + description: "Die Ergebnisse SOLLTEN auch in die Vor-Ort-Pr\xFCfung einflie\xDF\ + en, soweit dies sinnvoll ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A14 + name: Auswahl von Stichproben + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14 + ref_id: DER.3.1.A14.1 + description: "Das Auditteam SOLLTE die Stichproben f\xFCr die Vor-Ort-Pr\xFC\ + fung risikoorientiert ausw\xE4hlen und nachvollziehbar begr\xFCnden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14 + ref_id: DER.3.1.A14.2 + description: "Die ausgew\xE4hlten Stichproben SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14 + ref_id: DER.3.1.A14.3 + description: "Wird das Audit auf der Basis von Baustein-Zielobjekten und Anforderungen\ + \ durchgef\xFChrt, SOLLTEN diese anhand eines vorher definierten Verfahrens\ + \ ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a14 + ref_id: DER.3.1.A14.4 + description: "Bei der Auswahl von Stichproben SOLLTEN auch die Ergebnisse vorangegangener\ + \ Audits ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A15 + name: "Auswahl von geeigneten Pr\xFCfmethoden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a15 + ref_id: DER.3.1.A15.1 + description: "Das Auditteam SOLLTE f\xFCr die jeweils zu pr\xFCfenden Sachverhalte\ + \ geeignete Methoden einsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a15 + ref_id: DER.3.1.A15.2 + description: "Au\xDFerdem SOLLTE darauf geachtet werden, dass alle Pr\xFCfungen\ + \ verh\xE4ltnism\xE4\xDFig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A16 + name: "Ablaufplan der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a16 + ref_id: DER.3.1.A16.1 + description: "Das Auditteam SOLLTE den Ablaufplan f\xFCr die Vor-Ort-Pr\xFC\ + fung gemeinsam mit der Institution erarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a16 + ref_id: DER.3.1.A16.2 + description: Die Ergebnisse SOLLTEN im Auditplan dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A17 + name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.1 + description: "Zu Beginn der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam ein Er\xF6\ + ffnungsgespr\xE4ch mit der betreffenden Institution f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.2 + description: "Danach SOLLTEN alle im Pr\xFCfplan festgelegten Anforderungen\ + \ mit den vorgesehenen Pr\xFCfmethoden kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.3 + description: "Weicht eine ausgew\xE4hlte Stichprobe vom dokumentierten Status\ + \ ab, SOLLTE die Stichprobe bedarfsorientiert erweitert werden, bis der Sachverhalt\ + \ gekl\xE4rt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.4 + description: "Nach der Pr\xFCfung SOLLTE das Auditteam ein Abschlussgespr\xE4\ + ch f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.5 + description: Darin SOLLTE es kurz die Ergebnisse ohne Bewertung sowie die weitere + Vorgehensweise darstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a17 + ref_id: DER.3.1.A17.6 + description: "Das Gespr\xE4ch SOLLTE protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A18 + name: "Durchf\xFChrung von Interviews" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18 + ref_id: DER.3.1.A18.1 + description: "Das Auditteam SOLLTE strukturierte Interviews f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18 + ref_id: DER.3.1.A18.2 + description: "Die Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich\ + \ formuliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a18 + ref_id: DER.3.1.A18.3 + description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A19 + name: "\xDCberpr\xFCfung des Risikobehandlungsplans" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19 + ref_id: DER.3.1.A19.1 + description: "Das Auditteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ + \ f\xFCr den Informationsverbund angemessen und tragbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19 + ref_id: DER.3.1.A19.2 + description: "Es SOLLTE au\xDFerdem pr\xFCfen, ob sie verbindlich durch die\ + \ Institutionsleitung getragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19 + ref_id: DER.3.1.A19.3 + description: "Ma\xDFnahmen, die grundlegend zur Informationssicherheit der gesamten\ + \ Institution beitragen, D\xDCRFEN NICHT in diese Risiko\xFCbernahme einflie\xDF\ + en." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a19 + ref_id: DER.3.1.A19.4 + description: "Das Auditteam SOLLTE stichprobenartig verifizieren, ob bzw. wie\ + \ weit die im Risikobehandlungsplan festgelegten Ma\xDFnahmen umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A20 + name: "Durchf\xFChrung einer Abschlussbesprechung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20 + ref_id: DER.3.1.A20.1 + description: "Das Auditteam SOLLTE mit der auditierten Institution eine Abschlussbesprechung\ + \ durchf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20 + ref_id: DER.3.1.A20.2 + description: "Darin SOLLTEN die vorl\xE4ufigen Auditergebnisse dargelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a20 + ref_id: DER.3.1.A20.3 + description: "Die weiteren T\xE4tigkeiten SOLLTEN vorgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A21 + name: "Auswertung der Pr\xFCfungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21 + ref_id: DER.3.1.A21.1 + description: "Nach der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam die gewonnenen\ + \ Informationen weiter konsolidieren und auswerten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21 + ref_id: DER.3.1.A21.2 + description: "Nachdem auch nachgeforderte Dokumentationen und zus\xE4tzliche\ + \ Informationen ausgewertet wurden, SOLLTEN die gepr\xFCften Ma\xDFnahmen\ + \ endg\xFCltig bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21 + ref_id: DER.3.1.A21.3 + description: "Um die nachgeforderten Dokumentationen bereitstellen zu k\xF6\ + nnen, SOLLTE das Auditteam der Institution ein ausreichendes Zeitfenster gew\xE4\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a21 + ref_id: DER.3.1.A21.4 + description: Dokumente, die bis zum vereinbarten Termin nicht eingegangen sind, + SOLLTEN als nicht existent gewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A22 + name: Erstellung eines Auditberichts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a22 + ref_id: DER.3.1.A22.1 + description: "Das Auditteam SOLLTE die gewonnenen Erkenntnisse in einen Auditbericht\ + \ \xFCberf\xFChren und dort nachvollziehbar dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a22 + ref_id: DER.3.1.A22.2 + description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ + \ Stellen innerhalb einer angemessenen Frist die f\xFCr sie wichtigen und\ + \ notwendigen Passagen des Auditberichts erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A23 + name: Dokumentation der Revisionsergebnisse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a23 + ref_id: DER.3.1.A23.1 + description: Die Ergebnisse einer Revision SOLLTEN einheitlich durch das Revisionsteam + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A24 + name: Abschluss des Audits oder der Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.1 + description: "Nach dem Audit bzw. der Revision SOLLTE das Auditteam alle relevanten\ + \ Dokumente, Datentr\xE4ger und IT-Systeme zur\xFCckgeben oder vernichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.2 + description: "Das SOLLTE mit der gepr\xFCften Institution abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.3 + description: "Aufbewahrungspflichten aus gesetzlichen oder anderen verbindlichen\ + \ Anforderungen SOLLTEN hierbei entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.4 + description: "Der oder die ISB SOLLTE alle f\xFCr das Audit- oder Revisionsteam\ + \ genehmigten Zugriffe wieder deaktivieren oder l\xF6schen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.5 + description: "Mit der gepr\xFCften Institution SOLLTE vereinbart werden, wie\ + \ mit den Ergebnissen umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a24 + ref_id: DER.3.1.A24.6 + description: "Dabei SOLLTE auch festgelegt werden, dass die Auditergebnisse\ + \ nicht ohne Genehmigung der gepr\xFCften Institution an andere Institutionen\ + \ weitergeleitet werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A25 + name: Nachbereitung eines Audits + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + ref_id: DER.3.1.A25.1 + description: "Die Institution SOLLTE die im Auditbericht oder bei einer Revision\ + \ festgestellten Abweichungen oder M\xE4ngel in einer angemessenen Zeit abstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + ref_id: DER.3.1.A25.2 + description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen inklusive Zeitpunkt\ + \ und Zust\xE4ndigkeiten SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + ref_id: DER.3.1.A25.3 + description: "Auch abgeschlossene Korrekturma\xDFnahmen SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + ref_id: DER.3.1.A25.4 + description: Die Institution SOLLTE dazu ein definiertes Verfahren etablieren + und einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a25 + ref_id: DER.3.1.A25.5 + description: "Gab es schwerwiegende Abweichungen oder M\xE4ngel, SOLLTE das\ + \ Audit- bzw. Revisionsteam \xFCberpr\xFCfen, ob die Korrekturma\xDFnahmen\ + \ durchgef\xFChrt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A26 + name: "\xDCberwachen und Anpassen des Auditprogramms" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26 + ref_id: DER.3.1.A26.1 + description: "Das Auditprogramm SOLLTE kontinuierlich \xFCberwacht und angepasst\ + \ werden, sodass Termine, Auditziele, Auditinhalte und die Auditqualit\xE4\ + t eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26 + ref_id: DER.3.1.A26.2 + description: "Mithilfe der bestehenden Anforderungen an das Auditprogramm und\ + \ mit den Ergebnissen der durchgef\xFChrten Audits SOLLTE \xFCberpr\xFCft\ + \ werden, ob das Auditprogramm angemessen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a26 + ref_id: DER.3.1.A26.3 + description: Bei Bedarf SOLLTE es angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1 + ref_id: DER.3.1.A27 + name: Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27 + ref_id: DER.3.1.A27.1 + description: Die Institution SOLLTE Auditprogramme sowie Unterlagen zu Audits + und Revisionen entsprechend den regulatorischen Anforderungen nachvollziehbar + und revisionssicher ablegen und aufbewahren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27 + ref_id: DER.3.1.A27.2 + description: "Dabei SOLLTE sichergestellt werden, dass lediglich berechtigte\ + \ Personen auf Auditprogramme und Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.1.a27 + ref_id: DER.3.1.A27.3 + description: Die Institution SOLLTE die Auditprogramme und Unterlagen nach Ablauf + der Aufbewahrungsfrist sicher vernichten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + assessable: false + depth: 1 + ref_id: DER.3.2 + name: Revisionen auf Basis des Leitfadens IS-Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A1 + name: "Benennung von Verantwortlichen f\xFCr die IS-Revision" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a1 + ref_id: DER.3.2.A1.1 + description: "Die Institution MUSS eine verantwortliche Person f\xFCr die IS-Revision\ + \ benennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a1 + ref_id: DER.3.2.A1.2 + description: Diese MUSS die IS-Revisionen planen, initiieren und die Ergebnisse + nachverfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A2 + name: Erstellung eines IS-Revisionshandbuches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2 + ref_id: DER.3.2.A2.1 + description: "F\xFCr die IS-Revision MUSS ein IS-Revisionshandbuch erstellt\ + \ werden, das die angestrebten Ziele, einzuhaltende gesetzliche Vorgaben,\ + \ Informationen \xFCber die Organisation, die Ressourcen und die Rahmenbedingungen\ + \ enth\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2 + ref_id: DER.3.2.A2.2 + description: "Au\xDFerdem MUSS darin die Archivierung der Dokumentation beschrieben\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a2 + ref_id: DER.3.2.A2.3 + description: Das Handbuch MUSS von der Leitungsebene verabschiedet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A3 + name: "Definition der Pr\xFCfungsgrundlage" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3 + ref_id: DER.3.2.A3.1 + description: "Die BSI-Standards 200-1 bis 200-3 sowie das IT-Grundschutz-Kompendium\ + \ M\xDCSSEN die Pr\xFCfungsgrundlagen f\xFCr die IS-Revision sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3 + ref_id: DER.3.2.A3.2 + description: Dabei SOLLTE die Standard-Absicherung des IT-Grundschutzes verwendet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a3 + ref_id: DER.3.2.A3.3 + description: "Diese Pr\xFCfungsgrundlagen M\xDCSSEN allen Beteiligten bekannt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A4 + name: "Erstellung einer Planung f\xFCr die IS-Revision" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4 + ref_id: DER.3.2.A4.1 + description: "Wenn die Institution nicht nach ISO 27001 auf Basis von IT-Grundschutz\ + \ zertifiziert ist, MUSS sichergestellt werden, dass mindestens alle drei\ + \ Jahre eine IS-Kurz- oder Querschnitts-Revision durchgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4 + ref_id: DER.3.2.A4.2 + description: "Dar\xFCber hinaus SOLLTEN weitere Revisionen eingeplant werden,\ + \ falls der Informationsverbund wesentlich ver\xE4ndert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4 + ref_id: DER.3.2.A4.3 + description: "Es SOLLTE eine mehrj\xE4hrige Grobplanung f\xFCr die Revisionsvorhaben\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a4 + ref_id: DER.3.2.A4.4 + description: "Diese SOLLTE dann durch eine j\xE4hrliche Detailplanung konkretisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A5 + name: Auswahl eines geeigneten IS-Revisionsteams + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5 + ref_id: DER.3.2.A5.1 + description: Es MUSS ein aus mindestens zwei Personen bestehendes IS-Revisionsteam + zusammengestellt oder beauftragt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5 + ref_id: DER.3.2.A5.2 + description: "Dem IS-Revisionsteam MUSS ein uneingeschr\xE4nktes Informations-\ + \ und Einsichtnahmerecht f\xFCr seine T\xE4tigkeit einger\xE4umt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5 + ref_id: DER.3.2.A5.3 + description: "Bei eigenen IS-Revisionsteams M\xDCSSEN die einzelnen Mitglieder\ + \ unparteilich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a5 + ref_id: DER.3.2.A5.4 + description: "Die Mitglieder eines IS-Revisionsteams D\xDCRFEN NICHT an der\ + \ Planung oder Umsetzung des ISMS beteiligt sein oder gewesen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A6 + name: Vorbereitung einer IS-Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6 + ref_id: DER.3.2.A6.1 + description: Es MUSS ein IS-Revisionsteam mit einer IS-Revision beauftragt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6 + ref_id: DER.3.2.A6.2 + description: "Das IS-Revisionsteam MUSS festlegen, welche Referenzdokumente\ + \ f\xFCr eine IS-Revision ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a6 + ref_id: DER.3.2.A6.3 + description: "Die zu pr\xFCfende Institution MUSS das Sicherheitskonzept und\ + \ alle weiteren erforderlichen Dokumente an das IS-Revisionsteam \xFCbergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A7 + name: "Durchf\xFChrung einer IS-Revision" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7 + ref_id: DER.3.2.A7.1 + description: "Im Rahmen einer IS-Revision M\xDCSSEN eine Dokumenten- und eine\ + \ Vor-Ort-Pr\xFCfung durch das IS-Revisionsteam durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7 + ref_id: DER.3.2.A7.2 + description: "S\xE4mtliche Ergebnisse dieser beiden Pr\xFCfungen M\xDCSSEN dokumentiert\ + \ und in einem IS-Revisionsbericht zusammengefasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7 + ref_id: DER.3.2.A7.3 + description: "Bevor erstmalig eine IS-Querschnittsrevision durchgef\xFChrt wird,\ + \ MUSS als IS-Revisionsverfahren eine IS-Kurzrevision ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a7 + ref_id: DER.3.2.A7.4 + description: "Die IS-Kurzrevision MUSS mit positivem Votum abgeschlossen werden,\ + \ bevor eine IS-Querschnittsrevision durchgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A8 + name: Aufbewahrung von IS-Revisionsberichten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a8 + ref_id: DER.3.2.A8.1 + description: "Die Institution MUSS den IS-Revisionsbericht und die diesem zugrundeliegenden\ + \ Referenzdokumente mindestens f\xFCr zehn Jahre ab Zustellung des Berichts\ + \ sicher aufbewahren, sofern keine anders lautenden Gesetze oder Verordnungen\ + \ gelten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a8 + ref_id: DER.3.2.A8.2 + description: "Die Institution MUSS sicherstellen, dass lediglich berechtigte\ + \ Personen auf die IS-Revisionsberichte und die Referenzdokumente zugreifen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A9 + name: Integration in den Informationssicherheitsprozess + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9 + ref_id: DER.3.2.A9.1 + description: Die Institution SOLLTE sicherstellen, dass IS-Revisionen ein Teil + des Sicherheitsprozesses sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9 + ref_id: DER.3.2.A9.2 + description: "Au\xDFerdem SOLLTEN die Ergebnisse von IS-Revisionen in das ISMS\ + \ zur\xFCckflie\xDFen und zu dessen Verbesserung beitragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a9 + ref_id: DER.3.2.A9.3 + description: "Weiter SOLLTEN die Ergebnisse der IS-Revisionen sowie die Aktivit\xE4\ + ten, um M\xE4ngel zu beseitigen und um die Qualit\xE4t zu verbessern, in den\ + \ regelm\xE4\xDFigen Bericht des oder der ISB an die Institutionsleitung aufgenommen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A10 + name: Kommunikationsabsprache + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a10 + ref_id: DER.3.2.A10.1 + description: "Es SOLLTE klar geregelt werden, wie Informationen zwischen dem\ + \ IS-Revisionsteam und der zu pr\xFCfenden Institution auszutauschen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a10 + ref_id: DER.3.2.A10.2 + description: So SOLLTE sichergestellt werden, dass diese Informationen vertraulich + und integer bleiben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A11 + name: "Durchf\xFChrung eines Auftaktgespr\xE4chs f\xFCr eine IS-Querschnittsrevision" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + ref_id: DER.3.2.A11.1 + description: "F\xFCr eine IS-Querschnittsrevision SOLLTE ein Auftaktgespr\xE4\ + ch zwischen dem IS-Revisionsteam und der zu pr\xFCfenden Institution durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + ref_id: DER.3.2.A11.2 + description: 'Darin SOLLTEN folgende Inhalte besprochen werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + ref_id: DER.3.2.A11.3 + description: "\u2022 Die Erl\xE4uterung und Darstellung des IS-Revisionsverfahrens," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + ref_id: DER.3.2.A11.4 + description: "\u2022 die Vorstellung der Institution (Arbeitsschwerpunkte und\ + \ \xDCberblick der eingesetzten IT) sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a11 + ref_id: DER.3.2.A11.5 + description: "\u2022 die \xDCbergabe der Referenzdokumente an das IS-Revisionsteam." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A12 + name: "Erstellung eines Pr\xFCfplans" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12 + ref_id: DER.3.2.A12.1 + description: "Vor einer IS-Revision SOLLTE das IS-Revisionsteam einen Pr\xFC\ + fplan erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12 + ref_id: DER.3.2.A12.2 + description: "Ist es w\xE4hrend der IS-Revision notwendig, die geplanten Abl\xE4\ + ufe zu erweitern oder anderweitig anzupassen, SOLLTE der Pr\xFCfplan entsprechend\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12 + ref_id: DER.3.2.A12.3 + description: "Der Pr\xFCfplan SOLLTE zudem in den abschlie\xDFenden IS-Revisionsbericht\ + \ aufgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a12 + ref_id: DER.3.2.A12.4 + description: "Bei der IS-Kurzrevision SOLLTE die verbindlich festgelegte Pr\xFC\ + fthemenliste des BSI an die Stelle des Pr\xFCfplans treten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A13 + name: "Sichtung und Pr\xFCfung der Dokumente" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.1 + description: "Bei der Dokumentenpr\xFCfung SOLLTE das IS-Revisionsteam die im\ + \ Pr\xFCfplan festgelegten Anforderungen pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.2 + description: "Das IS-Revisionsteam SOLLTE \xFCberpr\xFCfen, ob alle relevanten\ + \ Dokumente aktuell und vollst\xE4ndig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.3 + description: "Bei der Pr\xFCfung auf Aktualit\xE4t SOLLTE die Granularit\xE4\ + t der Dokumente ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.4 + description: Es SOLLTE darauf geachtet werden, dass alle wesentlichen Aspekte + erfasst und geeignete Rollen zugewiesen wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.5 + description: "Weiter SOLLTE gepr\xFCft werden, ob die vorliegenden Dokumente\ + \ und die darin getroffenen Entscheidungen nachvollziehbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a13 + ref_id: DER.3.2.A13.6 + description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden\ + \ und, soweit sinnvoll, in die Vor-Ort-Pr\xFCfung einflie\xDFen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A14 + name: "Auswahl der Zielobjekte und der zu pr\xFCfenden Anforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.1 + description: "In einer IS-Querschnittsrevision oder IS-Partialrevision SOLLTE\ + \ das IS-Revisionsteam anhand der Ergebnisse der Dokumentenpr\xFCfung die\ + \ Baustein-Zielobjekte f\xFCr die Vor-Ort-Pr\xFCfung ausw\xE4hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.2 + description: "Der Baustein zum Informationssicherheitsmanagement (siehe ISMS.1\ + \ Sicherheitsmanagement) des IT-Grundschutz-Kompendiums einschlie\xDFlich\ + \ aller zugeh\xF6rigen Anforderungen SOLLTE jedoch immer vollst\xE4ndig gepr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.3 + description: "Weitere drei\xDFig Prozent der modellierten Baustein-Zielobjekte\ + \ SOLLTEN risikoorientiert zur Pr\xFCfung ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.4 + description: Die Auswahl SOLLTE nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.5 + description: "Von den so ausgew\xE4hlten Baustein-Zielobjekten SOLLTEN drei\xDF\ + ig Prozent der jeweiligen Anforderungen bei der IS-Revision gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.6 + description: "Dar\xFCber hinaus SOLLTEN bei der Auswahl der zu pr\xFCfenden\ + \ Baustein-Zielobjekte die bem\xE4ngelten Anforderungen aus vorhergehenden\ + \ IS-Revisionen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a14 + ref_id: DER.3.2.A14.7 + description: "Alle Anforderungen mit schwerwiegenden Sicherheitsm\xE4ngeln aus\ + \ vorhergehenden IS-Revisionen SOLLTEN mit gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A15 + name: "Auswahl von geeigneten Pr\xFCfmethoden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a15 + ref_id: DER.3.2.A15.1 + description: "Das IS-Revisionsteam SOLLTE sicherstellen, dass geeignete Pr\xFC\ + fmethoden eingesetzt werden, um die zu pr\xFCfenden Sachverhalte zu ermitteln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a15 + ref_id: DER.3.2.A15.2 + description: "Alle Pr\xFCfungen SOLLTEN verh\xE4ltnism\xE4\xDFig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A16 + name: "Erstellung eines Ablaufplans f\xFCr die Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a16 + ref_id: DER.3.2.A16.1 + description: "Gemeinsam mit der zu pr\xFCfenden Institution SOLLTE das IS-Revisionsteam\ + \ einen Ablaufplan f\xFCr die Vor-Ort-Pr\xFCfung erarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a16 + ref_id: DER.3.2.A16.2 + description: "Die Ergebnisse SOLLTEN zusammen mit dem IS-Pr\xFCfplan dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A17 + name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.1 + description: "Bei der Vor-Ort-Pr\xFCfung SOLLTE das IS-Revisionsteam untersuchen\ + \ und feststellen, ob die ausgew\xE4hlten Ma\xDFnahmen die Anforderungen des\ + \ IT-Grundschutzes angemessen und praxistauglich erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.2 + description: "Die Pr\xFCfung SOLLTE mit einem Er\xF6ffnungsgespr\xE4ch beginnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.3 + description: "Danach SOLLTEN alle f\xFCr die Pr\xFCfung ausgew\xE4hlten Anforderungen\ + \ des Pr\xFCfplans bzw. alle Themenfelder der Pr\xFCfthemenliste \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.4 + description: "Daf\xFCr SOLLTEN die vorgesehenen Pr\xFCfmethoden angewandt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.5 + description: "Werden bei einer ausgew\xE4hlten Stichprobe Abweichungen zum dokumentierten\ + \ Status festgestellt, SOLLTE die Stichprobe bedarfsorientiert erweitert werden,\ + \ bis der Sachverhalt gekl\xE4rt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.6 + description: "W\xE4hrend der Vor-Ort-Pr\xFCfung SOLLTEN das IS-Revisionsteam\ + \ niemals aktiv in IT-Systeme eingreifen und auch keine Handlungsanweisungen\ + \ zu \xC4nderungen am Revisionsgegenstand erteilen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.7 + description: "Alle wesentlichen Sachverhalte und Angaben zu Quellen-, Auskunfts-\ + \ und Vorlage-Ersuchen sowie durchgef\xFChrten Besprechungen SOLLTEN schriftlich\ + \ festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.8 + description: "In einem Abschlussgespr\xE4ch SOLLTE das IS-Revisionsteam der\ + \ gepr\xFCften Institution wesentliche Feststellungen kurz darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.9 + description: "Dabei SOLLTE das IS-Revisionsteam die Feststellungen nicht konkret\ + \ bewerten, sondern Hinweise auf etwaige M\xE4ngel und die weitere Verfahrensweise\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a17 + ref_id: DER.3.2.A17.10 + description: "Auch dieses Abschlussgespr\xE4ch SOLLTE protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A18 + name: "Durchf\xFChrung von Interviews" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18 + ref_id: DER.3.2.A18.1 + description: Interviews durch das IS-Revisionsteam SOLLTEN strukturiert erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18 + ref_id: DER.3.2.A18.2 + description: "Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich formuliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a18 + ref_id: DER.3.2.A18.3 + description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A19 + name: "\xDCberpr\xFCfung der gew\xE4hlten Risikobehandlungsoptionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a19 + ref_id: DER.3.2.A19.1 + description: "Das IS-Revisionsteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ + \ f\xFCr den Informationsverbund angemessen und tragbar sind und ob sie verbindlich\ + \ durch die Institutionsleitung getragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a19 + ref_id: DER.3.2.A19.2 + description: "Das IS-Revisionsteam SOLLTE stichprobenartig verifizieren, ob\ + \ bzw. inwieweit die gew\xE4hlten Risikobehandlungsoptionen umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A20 + name: "Nachbereitung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a20 + ref_id: DER.3.2.A20.1 + description: "Nach der Vor-Ort-Pr\xFCfung SOLLTEN die erhobenen Informationen\ + \ weiter durch das IS-Revisionsteam konsolidiert und ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a20 + ref_id: DER.3.2.A20.2 + description: "Nachdem die eventuell nachgeforderten Dokumente, Dokumentationen\ + \ und zus\xE4tzlichen Informationen ausgewertet wurden, SOLLTEN die gepr\xFC\ + ften Anforderungen endg\xFCltig bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A21 + name: Erstellung eines IS-Revisionsberichts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.1 + description: "Das IS-Revisionsteam SOLLTE die gewonnenen Ergebnisse in einen\ + \ IS-Revisionsbericht \xFCberf\xFChren und dort nachvollziehbar dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.2 + description: "Eine Entwurfsversion des Berichts SOLLTE der gepr\xFCften Institution\ + \ vorab \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.3 + description: Es SOLLTE verifiziert werden, ob die durch das IS-Revisionsteam + festgestellten Sachverhalte richtig aufgenommen wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.4 + description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ + \ Stellen in der Institution innerhalb einer angemessenen Frist die f\xFC\ + r sie wichtigen und notwendigen Passagen des IS-Revisionsberichts erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.5 + description: "Insbesondere SOLLTEN die Inhalte an die Institutionsleitung, an\ + \ die Verantwortlichen f\xFCr die IS-Revision sowie den oder die ISB kommuniziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.6 + description: "IS-Revisionsberichte SOLLTEN aufgrund der enthaltenen sch\xFC\ + tzenswerten Informationen mit einer geeigneten Vertraulichkeitseinstufung\ + \ versehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a21 + ref_id: DER.3.2.A21.7 + description: "Es SOLLTE \xFCberlegt werden, die Ergebnisse der IS-Revision der\ + \ Institutionsleitung vom IS-Revisionsteam in Form einer Pr\xE4sentation vorzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2 + ref_id: DER.3.2.A22 + name: Nachbereitung einer IS-Revision + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + ref_id: DER.3.2.A22.1 + description: Die im IS-Revisionsbericht festgestellten Abweichungen SOLLTEN + in einer angemessenen Zeit durch die Institution korrigiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + ref_id: DER.3.2.A22.2 + description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen SOLLTEN mit Zust\xE4\ + ndigkeiten, Umsetzungstermin und dem jeweiligen Status dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + ref_id: DER.3.2.A22.3 + description: Die Umsetzung SOLLTE kontinuierlich nachverfolgt und der Umsetzungsstatus + fortgeschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + ref_id: DER.3.2.A22.4 + description: "Grunds\xE4tzlich SOLLTE gepr\xFCft werden, ob erg\xE4nzende IS-Revisionen\ + \ notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.3.2.a22 + ref_id: DER.3.2.A22.5 + description: Die Institution SOLLTE die Grob- und Detailplanung zur IS-Revision + anpassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + assessable: false + depth: 1 + ref_id: DER.4 + name: Notfallmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A1 + name: Erstellung eines Notfallhandbuchs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.1 + description: Es SOLLTE ein Notfallhandbuch erstellt werden, in dem die wichtigsten + Informationen zu + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.2 + description: "\u2022 Rollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.3 + description: "\u2022 Sofortma\xDFnahmen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.4 + description: "\u2022 Alarmierung und Eskalation sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.5 + description: "\u2022 Kommunikations-, grunds\xE4tzlichen Gesch\xE4ftsfortf\xFC\ + hrungs-, Wiederanlauf- und Wiederherstellungspl\xE4nen enthalten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.6 + description: "Zust\xE4ndigkeiten und Befugnisse SOLLTEN zugewiesen, kommuniziert\ + \ und im Notfallhandbuch festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.7 + description: "Es SOLLTE sichergestellt sein, dass im Notfall entsprechend geschultes\ + \ Personal zur Verf\xFCgung steht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.8 + description: "Es SOLLTE regelm\xE4\xDFig durch Tests und \xDCbungen \xFCberpr\xFC\ + ft werden, ob die im Notfallhandbuch beschriebenen Ma\xDFnahmen auch wie vorgesehen\ + \ funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.9 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob das Notfallhandbuch\ + \ noch aktuell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.10 + description: Gegebenenfalls SOLLTE es aktualisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.11 + description: "Es SOLLTE auch im Notfall zug\xE4nglich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.12 + description: "Das Notfallhandbuch SOLLTE um Verhaltensregeln f\xFCr spezielle\ + \ F\xE4lle erg\xE4nzt werden, z. B. Brand." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a1 + ref_id: DER.4.A1.13 + description: Die Regeln SOLLTEN allen Mitarbeitenden bekanntgegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A2 + name: Integration von Notfallmanagement und Informationssicherheitsmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a2 + ref_id: DER.4.A2.1 + description: "Die Prozesse im Sicherheitsmanagement SOLLTEN mit dem Notfallmanagement\ + \ abgestimmt werden (siehe DER.2.1 Behandlung von Sicherheitsvorf\xE4llen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A3 + name: Festlegung des Geltungsbereichs und der Notfallmanagementstrategie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a3 + ref_id: DER.4.A3.1 + description: "Der Geltungsbereich f\xFCr das Notfallmanagementsystem SOLLTE\ + \ eindeutig festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a3 + ref_id: DER.4.A3.2 + description: Die Institutionsleitung SOLLTE eine Notfallmanagementstrategie + festlegen, welche die angestrebten Ziele und das Risikoakzeptanzniveau darlegen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A4 + name: "Leitlinie zum Notfallmanagement und \xDCbernahme der Gesamtverantwortung\ + \ durch die Institutionsleitung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4 + ref_id: DER.4.A4.1 + description: Die Institutionsleitung SOLLTE eine Leitlinie zum Notfallmanagement + verabschieden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4 + ref_id: DER.4.A4.2 + description: Diese SOLLTE die wesentlichen Eckpunkte des Notfallmanagements + enthalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4 + ref_id: DER.4.A4.3 + description: "Die Leitlinie zum Notfallmanagement SOLLTE regelm\xE4\xDFig \xFC\ + berpr\xFCft und gegebenenfalls \xFCberarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a4 + ref_id: DER.4.A4.4 + description: Sie SOLLTE allen Mitarbeitenden bekanntgegeben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A5 + name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr das Notfallmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5 + ref_id: DER.4.A5.1 + description: "Die Rollen f\xFCr das Notfallmanagement SOLLTEN f\xFCr die Gegebenheiten\ + \ der Institution angemessen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5 + ref_id: DER.4.A5.2 + description: Dies SOLLTE mit den Aufgaben, Pflichten und Kompetenzen der Rollen + schriftlich dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5 + ref_id: DER.4.A5.3 + description: "Es SOLLTEN f\xFCr alle Rollen im Notfallmanagement qualifizierte\ + \ Mitarbeitende benannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a5 + ref_id: DER.4.A5.4 + description: "Die Organisationsstruktur im Notfallmanagement SOLLTE regelm\xE4\ + \xDFig darauf \xFCberpr\xFCft werden, ob sie praxistauglich, effektiv und\ + \ effizient ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A6 + name: "Bereitstellung angemessener Ressourcen f\xFCr das Notfallmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a6 + ref_id: DER.4.A6.1 + description: "Die finanziellen, technischen und personellen Ressourcen f\xFC\ + r die angestrebten Ziele des Notfallmanagements SOLLTEN angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a6 + ref_id: DER.4.A6.2 + description: "Der oder die Notfallbeauftragte bzw. das Notfallmanagement-Team\ + \ SOLLTE \xFCber gen\xFCgend Zeit f\xFCr die Aufgaben im Notfallmanagement\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A7 + name: Erstellung eines Notfallkonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.1 + description: "Alle kritischen Gesch\xE4ftsprozesse und Ressourcen SOLLTEN identifiziert\ + \ werden, beispielsweise mit einer Business-Impact-Analyse (BIA)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.2 + description: "Es SOLLTEN die wichtigsten relevanten Risiken f\xFCr die kritischen\ + \ Gesch\xE4ftsprozesse und Fachaufgaben sowie deren Ressourcen identifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.3 + description: "F\xFCr jedes identifizierte Risiko SOLLTE entschieden werden,\ + \ welche Risikostrategien zur Risikobehandlung eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.4 + description: "Es SOLLTEN Kontinuit\xE4tsstrategien entwickelt werden, die einen\ + \ Wiederanlauf und eine Wiederherstellung der kritischen Gesch\xE4ftsprozesse\ + \ in der geforderten Zeit erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.5 + description: Es SOLLTE ein Notfallkonzept erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.6 + description: "Es SOLLTEN solche Notfallpl\xE4ne und Ma\xDFnahmen entwickelt\ + \ und implementiert werden, die eine effektive Notfallbew\xE4ltigung und eine\ + \ schnelle Wiederaufnahme der kritischen Gesch\xE4ftsprozesse erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a7 + ref_id: DER.4.A7.7 + description: "Im Notfallkonzept SOLLTE die Informationssicherheit ber\xFCcksichtigt\ + \ und entsprechende Sicherheitskonzepte f\xFCr die Notfalll\xF6sungen entwickelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A8 + name: Integration der Mitarbeitenden in den Notfallmanagement-Prozess + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8 + ref_id: DER.4.A8.1 + description: "Alle Mitarbeitenden SOLLTEN regelm\xE4\xDFig f\xFCr das Thema\ + \ Notfallmanagement sensibilisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8 + ref_id: DER.4.A8.2 + description: Zum Notfallmanagement SOLLTE es ein Schulungs- und Sensibilisierungskonzept + geben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a8 + ref_id: DER.4.A8.3 + description: "Die Mitarbeitenden im Notfallmanagement-Team SOLLTEN regelm\xE4\ + \xDFig geschult werden, um die ben\xF6tigten Kompetenzen aufzubauen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A9 + name: "Integration von Notfallmanagement in organisationsweite Abl\xE4ufe und\ + \ Prozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a9 + ref_id: DER.4.A9.1 + description: "Es SOLLTE sichergestellt werden, dass Aspekte des Notfallmanagements\ + \ in allen Gesch\xE4ftsprozessen und Fachaufgaben der Institution ber\xFC\ + cksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a9 + ref_id: DER.4.A9.2 + description: Die Prozesse, Vorgaben und Verantwortlichkeiten im Notfallmanagement + SOLLTEN mit dem Risikomanagement und Krisenmanagement abgestimmt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A10 + name: "Tests und Notfall\xFCbungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10 + ref_id: DER.4.A10.1 + description: "Alle wesentlichen Sofortma\xDFnahmen und Notfallpl\xE4ne SOLLTEN\ + \ in angemessener Weise regelm\xE4\xDFig und anlassbezogen getestet und ge\xFC\ + bt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10 + ref_id: DER.4.A10.2 + description: "Der zeitliche Rahmen und die fachliche Abdeckung aller \xDCbungen\ + \ SOLLTEN \xFCbergreifend in einem \xDCbungsplan dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a10 + ref_id: DER.4.A10.3 + description: "Im Notfallmanagement SOLLTEN ausreichend Ressourcen f\xFCr die\ + \ Planung, Konzeption, Durchf\xFChrung und Auswertung der Tests und \xDCbungen\ + \ bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A12 + name: Dokumentation im Notfallmanagement-Prozess + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12 + ref_id: DER.4.A12.1 + description: Der Ablauf des Notfallmanagement-Prozesses, die Arbeitsergebnisse + der einzelnen Phasen und wichtige Entscheidungen SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12 + ref_id: DER.4.A12.2 + description: "Ein festgelegtes Verfahren SOLLTE sicherstellen, dass diese Dokumente\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a12 + ref_id: DER.4.A12.3 + description: "Dar\xFCber hinaus SOLLTE der Zugriff auf die Dokumentation auf\ + \ autorisierte Personen beschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A13 + name: "\xDCberpr\xFCfung und Steuerung des Notfallmanagement-Systems" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a13 + ref_id: DER.4.A13.1 + description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig anhand von\ + \ Managementberichten \xFCber den Stand des Notfallmanagements informieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a13 + ref_id: DER.4.A13.2 + description: "Sie SOLLTE so das Notfallmanagement-System regelm\xE4\xDFig \xFC\ + berpr\xFCfen, bewerten und gegebenenfalls korrigieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A14 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfung und Verbesserung der Notfallma\xDF\ + nahmen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.1 + description: "Alle Notfallma\xDFnahmen SOLLTEN regelm\xE4\xDFig oder bei gr\xF6\ + \xDFeren \xC4nderungen daraufhin \xFCberpr\xFCft werden, ob sie noch eingehalten\ + \ und korrekt umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.2 + description: "Es SOLLTE gepr\xFCft werden, ob sie sich noch dazu eignen, die\ + \ definierten Ziele zu erreichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.3 + description: "Dabei SOLLTE untersucht werden, ob technische Ma\xDFnahmen korrekt\ + \ implementiert und konfiguriert wurden und ob organisatorische Ma\xDFnahmen\ + \ effektiv und effizient umgesetzt sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.4 + description: "Bei Abweichungen SOLLTEN die Ursachen f\xFCr die M\xE4ngel ermittelt\ + \ und Verbesserungsma\xDFnahmen veranlasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.5 + description: "Diese Ergebnis\xFCbersicht SOLLTE von der Institutionsleitung\ + \ freigegeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.6 + description: "Es SOLLTE zudem ein Prozess etabliert werden, der steuert und\ + \ \xFCberwacht, ob und wie die Verbesserungsma\xDFnahmen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.7 + description: "Verz\xF6gerungen SOLLTEN fr\xFChzeitig an die Institutionsleitung\ + \ gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.8 + description: "Es SOLLTE von der Institutionsleitung festgelegt sein, wie die\ + \ \xDCberpr\xFCfungen koordiniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.9 + description: "Die \xDCberpr\xFCfungen SOLLTEN so geplant werden, dass kein relevanter\ + \ Teil ausgelassen wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.10 + description: "Insbesondere SOLLTEN die im Bereich der Revision, der IT, des\ + \ Sicherheitsmanagements, des Informationssicherheitsmanagements und des Notfallmanagements\ + \ durchgef\xFChrten \xDCberpr\xFCfungen miteinander koordiniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a14 + ref_id: DER.4.A14.11 + description: "Dazu SOLLTE geregelt werden, welche Ma\xDFnahmen wann und von\ + \ wem \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A15 + name: "Bewertung der Leistungsf\xE4higkeit des Notfallmanagementsystems" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.1 + description: "Es SOLLTE regelm\xE4\xDFig bewertet werden, wie leistungsf\xE4\ + hig und effektiv das Notfallmanagement-System ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.2 + description: Als Grundlage SOLLTEN Mess- und Bewertungskriterien wie z. B. Leistungskennzahlen + definiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.3 + description: "Diese Messgr\xF6\xDFen SOLLTEN regelm\xE4\xDFig ermittelt und\ + \ mit geeigneten vorangegangenen Werten, mindestens aber mit den Vorjahreswerten,\ + \ verglichen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.4 + description: "Weichen die Werte negativ ab, SOLLTEN die Ursachen ermittelt und\ + \ Verbesserungsma\xDFnahmen definiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.5 + description: Die Ergebnisse der Bewertung SOLLTEN an die Leitung berichtet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.6 + description: "Die Leitung SOLLTE entscheiden, mit welchen Ma\xDFnahmen das Notfallmanagement\ + \ weiterentwickelt werden soll." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a15 + ref_id: DER.4.A15.7 + description: Alle Entscheidungen der Institutionsleitung SOLLTEN dokumentiert + und die bisherigen Aufzeichnungen aktualisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4 + ref_id: DER.4.A16 + name: "Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16 + ref_id: DER.4.A16.1 + description: "Bei der Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte\ + \ Komponenten SOLLTE regelm\xE4\xDFig das Notfallmanagement der liefernden\ + \ oder dienstleistenden Institution in den unterzeichneten Vertr\xE4gen gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16 + ref_id: DER.4.A16.2 + description: "Auch SOLLTEN die Abl\xE4ufe in Notfalltests und -\xFCbungen mit\ + \ der liefernden oder bereitstellenden Institution abgestimmt und, wenn angemessen,\ + \ gemeinsam durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16 + ref_id: DER.4.A16.3 + description: "Die Ergebnisse und Auswertungen SOLLTEN regelm\xE4\xDFig zwischen\ + \ der Institutionsleitung und den liefernden Institutionen oder Dienstleistenden\ + \ ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:der.4.a16 + ref_id: DER.4.A16.4 + description: "In den Auswertungen SOLLTEN auch eventuelle Verbesserungsma\xDF\ + nahmen enthalten sein." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-ind-industrielle-it.yaml b/backend/library/libraries/bs-it-gs-2023-ind-industrielle-it.yaml new file mode 100644 index 000000000..8479afe75 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-ind-industrielle-it.yaml @@ -0,0 +1,2579 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-ind-industrielle-it +locale: de +ref_id: bs-it-gs-2023-ind-industrielle-it +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - IND:\ + \ Industrielle IT" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen + ref_id: bs-it-gs-2023-ind-industrielle-it + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - IND: Industrielle IT" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + assessable: false + depth: 1 + ref_id: IND.1 + name: Prozessleit- und Automatisierungstechnik + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A1 + name: Einbindung in die Sicherheitsorganisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1 + ref_id: IND.1.A1.1 + description: "Ein Managementsystem f\xFCr Informationssicherheit (ISMS) f\xFC\ + r den Betrieb der OT-Infrastruktur MUSS entweder als selbst\xE4ndiges ISMS\ + \ oder als Teil eines Gesamt-ISMS existieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1 + ref_id: IND.1.A1.2 + description: "Eine gesamtverantwortliche Person f\xFCr die Informationssicherheit\ + \ im OT-Bereich MUSS benannt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a1 + ref_id: IND.1.A1.3 + description: Er oder sie MUSS innerhalb der Institution bekannt gegeben werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A3 + name: Schutz vor Schadprogrammen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3 + ref_id: IND.1.A3.1 + description: "Beim Einsatz von Virenschutz-Software auf OT-Komponenten MUSS\ + \ ber\xFCcksichtigt werden, ob und in welcher Konfiguration der Betrieb von\ + \ Virenschutz-Software vom herstellenden Unternehmen unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3 + ref_id: IND.1.A3.2 + description: "Ist dies nicht der Fall, MUSS der Bedarf an alternativen Schutzverfahren\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a3 + ref_id: IND.1.A3.3 + description: "Die Virensignaturen D\xDCRFEN NICHT von OT-Systemen direkt aus\ + \ dem Internet bezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A4 + name: Dokumentation der OT-Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.1 + description: Alle sicherheitsrelevanten Parameter der OT-Infrastruktur SOLLTEN + dokumentiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.2 + description: "In einem Bestandsverzeichnis SOLLTEN alle Software- und Systemkomponenten\ + \ gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.3 + description: "Hieraus SOLLTEN die eingesetzten Produkt- und Protokollversionen\ + \ sowie die Zust\xE4ndigkeiten hervorgehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.4 + description: Zu den eingesetzten Komponenten SOLLTEN eventuelle Restriktionen + der herstellenden Unternehmen oder regulatorische Auflagen bestimmt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.5 + description: "Diese Dokumentation und ein Systeminventar SOLLTEN beispielsweise\ + \ in einem Leitsystem gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.6 + description: "Zus\xE4tzlich SOLLTE ein aktueller Netzplan Zonen, Zonen\xFCberg\xE4\ + nge (Conduits), eingesetzte Kommunikationsprotokolle und -verfahren sowie\ + \ Au\xDFenschnittstellen dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.7 + description: "Bei den Schnittstellen SOLLTEN aktive Netzkomponenten und manuelle\ + \ Datentransferverfahren, z. B. durch Wechseldatentr\xE4ger, ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a4 + ref_id: IND.1.A4.8 + description: "Zonen und Conduits sch\xFCtzen die OT-Infrastrukur, indem die\ + \ Automatisierungsl\xF6sung in Zellen und Kommunikationskan\xE4len strukturiert\ + \ werden SOLLTE." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A5 + name: Entwicklung eines geeigneten Zonenkonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.1 + description: "Die OT-Infrastruktur SOLLTE auch horizontal in unabh\xE4ngige\ + \ Funktionsbereiche, wie etwa Anlagen, segmentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.2 + description: "Die einzelnen Zonen SOLLTEN, so weit wie m\xF6glich, im Betrieb\ + \ voneinander unabh\xE4ngig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.3 + description: "Insbesondere die Zonen, in denen der technische Prozess gesteuert\ + \ wird, SOLLTEN bei einem Ausfall der anderen Zonen f\xFCr einen gewissen\ + \ Zeitraum weiter funktionst\xFCchtig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.4 + description: Auch SOLLTE die Abkopplung nach einem Angriff weiter funktionieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.5 + description: Dieser Zeitraum SOLLTE geeignet definiert und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a5 + ref_id: IND.1.A5.6 + description: Das Netz SOLLTE manipulations- und fehlerresistent konzipiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A6 + name: "\xC4nderungsmanagement im OT-Betrieb" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a6 + ref_id: IND.1.A6.1 + description: "F\xFCr \xC4nderungen an der OT SOLLTE ein eigener \xC4nderungsprozess\ + \ definiert, dokumentiert und gelebt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A7 + name: "Etablieren einer \xFCbergreifenden Berechtigungsverwaltung zwischen der\ + \ OT und in der Office-IT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.1 + description: "Die Institution SOLLTE einen Prozess zur Verwaltung von Zug\xE4\ + ngen und zugeordneten Berechtigungen f\xFCr den Zugriff auf die OT etablieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.2 + description: "Die Berechtigungsverwaltung SOLLTE den Prozess, die Durchf\xFC\ + hrung und die Dokumentation f\xFCr die Beantragung, Einrichtung und den Entzug\ + \ von Berechtigungen umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.3 + description: "Die Berechtigungsverwaltung SOLLTE gew\xE4hrleisten, dass Berechtigungen\ + \ nach dem Minimalprinzip vergeben und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.4 + description: "In der Berechtigungsverwaltung SOLLTEN die Zugriffe auf IT-Systeme\ + \ f\xFCr Mitarbeitende, Administrierende und Dritte geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.5 + description: "Jeder oder jede Beteiligte SOLLTE regelm\xE4\xDFig zu den einzuhaltenden\ + \ Regelungen sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.6 + description: "Die Einhaltung SOLLTE \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a7 + ref_id: IND.1.A7.7 + description: Fehlverhalten SOLLTE sanktioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A8 + name: Sichere Administration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8 + ref_id: IND.1.A8.1 + description: "F\xFCr die Erstkonfiguration, Verwaltung und Fernwartung in der\ + \ OT SOLLTEN entweder sichere Protokolle oder abgetrennte Administrationsnetze\ + \ mit entsprechendem Schutzbedarf genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8 + ref_id: IND.1.A8.2 + description: "Der Zugang zu diesen Schnittstellen SOLLTE auf die Berechtigten\ + \ eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8 + ref_id: IND.1.A8.3 + description: "Es SOLLTE nur der Zugriff auf die Systeme und Funktionen gew\xE4\ + hrt sein, die f\xFCr die jeweilige Administrationsaufgabe ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a8 + ref_id: IND.1.A8.4 + description: "Die Systeme und Kommunikationskan\xE4le, mit denen die Administration\ + \ oder Fernwartung durchgef\xFChrt wird, SOLLTEN das gleiche Schutzniveau\ + \ aufweisen wie die verwaltete OT-Komponente." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A9 + name: "Restriktiver Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten in ICS-Umgebungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.1 + description: "F\xFCr die Nutzung von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten SOLLTEN Regelungen aufgestellt und bekannt gegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.2 + description: "Der Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten in ICS-Umgebungen SOLLTE beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.3 + description: "F\xFCr Medien und Ger\xE4te von Dienstleistenden SOLLTEN ein Genehmigungsprozess\ + \ und eine Anforderungsliste existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.4 + description: "Die Vorgaben SOLLTEN allen Dienstleistenden bekannt sein und von\ + \ diesen schriftlich best\xE4tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.5 + description: "Auf den OT-Komponenten SOLLTEN alle nicht ben\xF6tigten Schnittstellen\ + \ deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a9 + ref_id: IND.1.A9.6 + description: "An den aktiven Schnittstellen SOLLTE die Nutzung auf bestimmte\ + \ Ger\xE4te oder Medien eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A10 + name: Monitoring, Protokollierung und Detektion + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.1 + description: Betriebs- und sicherheitsrelevante Ereignisse SOLLTEN zeitnah identifiziert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.2 + description: Hierzu SOLLTE ein geeignetes Log- und Event-Management entwickelt + und umgesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.3 + description: "Das Log- und Event-Management SOLLTE angemessene Ma\xDFnahmen\ + \ umfassen, um sicherheitsrelevante Ereignisse zu erkennen und zu erheben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.4 + description: Es SOLLTE zudem einen Reaktionsplan (Security Incident Response) + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.5 + description: "Der Reaktionsplan SOLLTE Verfahren zur Behandlung von Sicherheitsvorf\xE4\ + llen festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a10 + ref_id: IND.1.A10.6 + description: "Darin abgedeckt sein SOLLTEN die Klassifizierung von Ereignissen,\ + \ Meldewege und Festlegung der einzubeziehenden Organisationseinheiten, Reaktionspl\xE4\ + ne zur Schadensbegrenzung, Analyse und Wiederherstellung von Systemen und\ + \ Diensten sowie die Dokumentation und Nachbereitung von Vorf\xE4llen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A11 + name: Sichere Beschaffung und Systementwicklung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.1 + description: Sollen OT-Systeme beschafft, geplant oder entwickelt werden, SOLLTEN + Regelungen zur Informationssicherheit getroffen und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.2 + description: Die Unterlagen SOLLTEN Teil der Ausschreibung sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.3 + description: "Bei Beschaffungen, Planungen oder Entwicklungen SOLLTE die Informationssicherheit\ + \ in dem gesamten Lebenszyklus ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.4 + description: "Voraussetzungen und Umsetzungshinweise f\xFCr einen sicheren Betrieb\ + \ von ICS-Komponenten von den herstellenden Unternehmen SOLLTEN fr\xFChzeitig\ + \ eingeplant und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.5 + description: "F\xFCr ICS-Komponenten SOLLTEN einheitliche und dem Schutzbedarf\ + \ angemessene Anforderungen an die Informationssicherheit definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.6 + description: "Diese SOLLTEN ber\xFCcksichtigt werden, wenn neue ICS-Komponenten\ + \ beschafft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.7 + description: Die Einhaltung und Umsetzung SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.8 + description: "Die Institution SOLLTE dokumentieren, wie sich das System in die\ + \ Konzepte f\xFCr die Zoneneinteilung, das Berechtigungs- und Schwachstellen-Management\ + \ sowie f\xFCr den Virenschutz einf\xFCgt und diese gegebenenfalls anpassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a11 + ref_id: IND.1.A11.9 + description: Es SOLLTE geregelt sein, wie der Betrieb aufrechterhalten werden + kann, falls einer der Kooperationspartner keine Dienstleistungen mehr anbietet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A12 + name: Etablieren eines Schwachstellen-Managements + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + ref_id: IND.1.A12.1 + description: "F\xFCr den sicheren Betrieb einer OT-Umgebung SOLLTE die Institution\ + \ ein Schwachstellen-Management etablieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + ref_id: IND.1.A12.2 + description: "Das Schwachstellen-Management SOLLTE L\xFCcken in Software, Komponenten,\ + \ Protokollen und Au\xDFenschnittstellen der Umgebung identifizieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + ref_id: IND.1.A12.3 + description: "Au\xDFerdem SOLLTEN sich daraus erforderliche Handlungen ableiten,\ + \ bewerten und umsetzen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + ref_id: IND.1.A12.4 + description: "Grundlage daf\xFCr SOLLTEN Schwachstellenmeldungen von herstellenden\ + \ Unternehmen oder \xF6ffentlich verf\xFCgbare CERT-Meldungen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a12 + ref_id: IND.1.A12.5 + description: "Erg\xE4nzend hierzu SOLLTEN organisatorische und technische Audits\ + \ zur Schwachstellenanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A13 + name: "Notfallplanung f\xFCr OT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a13 + ref_id: IND.1.A13.1 + description: "Notfallpl\xE4ne f\xFCr den Ausfall und f\xFCr die Kompromittierung\ + \ jeder Zone SOLLTEN definiert, dokumentiert, nach jeder gr\xF6\xDFeren \xC4\ + nderung getestet und regelm\xE4\xDFig ge\xFCbt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a13 + ref_id: IND.1.A13.2 + description: "Zudem SOLLTE ein wirksames Ersatzverfahren f\xFCr den Ausfall\ + \ der (Fern-) Administrationsm\xF6glichkeit definiert, dokumentiert und getestet\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A14 + name: Starke Authentisierung an OT-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14 + ref_id: IND.1.A14.1 + description: "Zur sicheren Authentisierung von privilegierten Benutzenden in\ + \ Steuerungssystemen SOLLTE ein zentraler Verzeichnisdienst eingerichtet werden\ + \ (siehe Baustein ORP.4 Identit\xE4ts- und Berechtigungsmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14 + ref_id: IND.1.A14.2 + description: "Die Authentisierung SOLLTE durch den Einsatz mehrerer Faktoren\ + \ wie Wissen, Besitz oder Biometrie zus\xE4tzlich abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14 + ref_id: IND.1.A14.3 + description: "Bei der Planung SOLLTE darauf geachtet werden, dass daraus entstehende\ + \ Abh\xE4ngigkeiten in der Authentisierung bekannt sind und bei der Umsetzung\ + \ der L\xF6sung ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a14 + ref_id: IND.1.A14.4 + description: "Es SOLLTE sichergestellt werden, dass die Authentisierung von\ + \ betrieblich erforderlichen technischen Konten auch in Notf\xE4llen durchgef\xFC\ + hrt werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A15 + name: "\xDCberwachung von weitreichenden Berechtigungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15 + ref_id: IND.1.A15.1 + description: "Die Institution SOLLTE ein Bestandsverzeichnis f\xFChren, das\ + \ alle vergebenen Zutritts-, Zugangs und Zugriffsrechte auf kritische Systeme\ + \ enth\xE4lt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15 + ref_id: IND.1.A15.2 + description: "Das Verzeichnis SOLLTE beinhalten, welche Rechte ein bestimmter\ + \ Benutzender oder eine bestimme Benutzende effektiv hat und wer an einem\ + \ bestimmten System \xFCber welche Rechte verf\xFCgt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15 + ref_id: IND.1.A15.3 + description: "Alle kritischen administrativen T\xE4tigkeiten SOLLTEN protokolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a15 + ref_id: IND.1.A15.4 + description: "Der IT-Betrieb SOLLTE NICHT die Protokolle l\xF6schen oder manipulieren\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A16 + name: "St\xE4rkere Abschottung der Zonen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16 + ref_id: IND.1.A16.1 + description: "Bei hoch schutzbed\xFCrftigen oder schlecht absicherbaren ICS-Umgebungen\ + \ SOLLTEN vorbeugend Schnittstellensysteme mit Sicherheitspr\xFCffunktionen\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16 + ref_id: IND.1.A16.2 + description: "Durch Realisierung einer oder mehrerer Anbindungszonen (DMZ) in\ + \ P-A-P-Struktur SOLLTEN durchg\xE4ngige Au\xDFenverbindungen terminiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a16 + ref_id: IND.1.A16.3 + description: "Erforderliche Sicherheitspr\xFCfungen SOLLTEN so erfolgen, dass\ + \ die ICS-Anlage nicht angepasst werden muss." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A17 + name: "Regelm\xE4\xDFige Sicherheits\xFCberpr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17 + ref_id: IND.1.A17.1 + description: "Die Sicherheitskonfiguration von OT-Komponenten SOLLTE regelm\xE4\ + \xDFig und bedarfsorientiert bei pl\xF6tzlich auftretenden neuen, bisher unbekannten\ + \ Gef\xE4hrdungen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17 + ref_id: IND.1.A17.2 + description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE zumindest die exponierten\ + \ Systeme mit Au\xDFenschnittstellen oder Benutzendeninteraktion umfassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17 + ref_id: IND.1.A17.3 + description: "Auch das realisierte Sicherheitskonzept SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a17 + ref_id: IND.1.A17.4 + description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE als Konfigurationspr\xFC\ + fung oder auch durch automatisierte Konformit\xE4tspr\xFCfungen erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A18 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a18 + ref_id: IND.1.A18.1 + description: "Jede \xC4nderung an ICS-Komponenten MUSS protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a18 + ref_id: IND.1.A18.2 + description: "Au\xDFerdem M\xDCSSEN alle Zugriffe auf ICS-Komponenten protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A19 + name: Erstellung von Datensicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a19 + ref_id: IND.1.A19.1 + description: "Programme und Daten M\xDCSSEN regelm\xE4\xDFig gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a19 + ref_id: IND.1.A19.2 + description: "Auch nach jeder System\xE4nderung an OT-Komponenten MUSS eine\ + \ Sicherung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A20 + name: Systemdokumentation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20 + ref_id: IND.1.A20.1 + description: Es SOLLTE eine erweiterte Systemdokumentation erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20 + ref_id: IND.1.A20.2 + description: "Darin SOLLTEN Besonderheiten im Betrieb und die M\xF6glichkeiten\ + \ zur Systemverwaltung festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a20 + ref_id: IND.1.A20.3 + description: "Au\xDFerdem SOLLTE dokumentiert werden, wenn ICS-Komponenten ver\xE4\ + ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A21 + name: Dokumentation der Kommunikationsbeziehungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a21 + ref_id: IND.1.A21.1 + description: Es SOLLTE dokumentiert werden, mit welchen Systemen eine ICS-Komponente + welche Daten austauscht. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a21 + ref_id: IND.1.A21.2 + description: "Au\xDFerdem SOLLTEN die Kommunikationsverbindungen neu integrierter\ + \ ICS-Komponenten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A22 + name: "Zentrale Systemprotokollierung und -\xFCberwachung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a22 + ref_id: IND.1.A22.1 + description: Die Protokollierungsdaten von ICS-Komponenten SOLLTEN zentral gespeichert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a22 + ref_id: IND.1.A22.2 + description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A23 + name: Aussonderung von ICS-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a23 + ref_id: IND.1.A23.1 + description: "Wenn alte oder defekte ICS-Komponenten ausgesondert werden, SOLLTEN\ + \ alle sch\xFCtzenswerten Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a23 + ref_id: IND.1.A23.2 + description: Es SOLLTE insbesondere sichergestellt sein, dass alle Zugangsdaten + nachhaltig entfernt wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1 + ref_id: IND.1.A24 + name: "Kommunikation im St\xF6rfall" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.1.a24 + ref_id: IND.1.A24.1 + description: "Alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ + \ SOLLTEN aufgebaut und betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + assessable: false + depth: 1 + ref_id: IND.2.1 + name: Allgemeine ICS-Komponente + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A1 + name: "Einschr\xE4nkung des Zugriffs auf Konfigurations- und Wartungsschnittstellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + ref_id: IND.2.1.A1.1 + description: "Standardm\xE4\xDFig eingerichtete bzw. vom herstellenden Unternehmen\ + \ gesetzte Passw\xF6rter M\xDCSSEN gewechselt werden (siehe ORP.4 Identit\xE4\ + ts- und Berechtigungsmanagement)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + ref_id: IND.2.1.A1.2 + description: Der Wechsel MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + ref_id: IND.2.1.A1.3 + description: "Die Passw\xF6rter M\xDCSSEN sicher hinterlegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + ref_id: IND.2.1.A1.4 + description: "Es MUSS sichergestellt werden, dass nur berechtigte Mitarbeitende\ + \ auf Konfigurations- und Wartungsschnittstellen von ICS-Komponenten zugreifen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a1 + ref_id: IND.2.1.A1.5 + description: "Die Konfiguration von ICS-Komponenten DARF NUR nach einer Freigabe\ + \ durch die verantwortliche Person oder nach einer Authentisierung ge\xE4\ + ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A2 + name: "Nutzung sicherer \xDCbertragungs-Protokolle f\xFCr die Konfiguration\ + \ und Wartung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a2 + ref_id: IND.2.1.A2.1 + description: "F\xFCr die Konfiguration und Wartung von ICS-Komponenten M\xDC\ + SSEN sichere Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a2 + ref_id: IND.2.1.A2.2 + description: "Die Informationen M\xDCSSEN gesch\xFCtzt \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A4 + name: Deaktivierung oder Deinstallation nicht genutzter Dienste, Funktionen + und Schnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a4 + ref_id: IND.2.1.A4.1 + description: "Alle nicht genutzten Dienste, Funktionen und Schnittstellen der\ + \ ICS-Komponenten M\xDCSSEN deaktiviert oder deinstalliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A6 + name: Netzsegmentierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6 + ref_id: IND.2.1.A6.1 + description: "ICS-Komponenten M\xDCSSEN von der Office-IT getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6 + ref_id: IND.2.1.A6.2 + description: "H\xE4ngen ICS-Komponenten von anderen Diensten im Netz ab, SOLLTE\ + \ das ausreichend dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a6 + ref_id: IND.2.1.A6.3 + description: "ICS-Komponenten SOLLTEN so wenig wie m\xF6glich mit anderen ICS-Komponenten\ + \ kommunizieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A7 + name: Erstellung von Datensicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a7 + ref_id: IND.2.1.A7.1 + description: "Vor jeder System\xE4nderung an einer ICS-Komponente M\xDCSSEN\ + \ Backups erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A8 + name: Schutz vor Schadsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8 + ref_id: IND.2.1.A8.1 + description: "ICS-Komponenten SOLLTEN durch geeignete Mechanismen vor Schadprogrammen\ + \ gesch\xFCtzt werden (siehe OPS.1.1.4 Schutz vor Schadprogrammen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8 + ref_id: IND.2.1.A8.2 + description: "Wird daf\xFCr ein Virenschutzprogramm benutzt, SOLLTEN das Programm\ + \ und die Virensignaturen nach der Freigabe durch das herstellende Unternehmen\ + \ immer auf dem aktuellen Stand sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a8 + ref_id: IND.2.1.A8.3 + description: "Wenn die Ressourcen auf der ICS-Komponente nicht ausreichend sind\ + \ oder die Echtzeitanforderung durch den Einsatz von Virenschutzprogrammen\ + \ gef\xE4hrdet werden k\xF6nnte, SOLLTEN alternative Ma\xDFnahmen ergriffen\ + \ werden, etwa die Abschottung der ICS-Komponente oder des Produktionsnetzes." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A11 + name: Wartung der ICS-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11 + ref_id: IND.2.1.A11.1 + description: Bei der Wartung einer ICS-Komponente SOLLTEN immer die aktuellen + und freigegebenen Sicherheitsupdates eingespielt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11 + ref_id: IND.2.1.A11.2 + description: "Updates f\xFCr das Betriebssystem SOLLTEN erst nach Freigabe durch\ + \ das herstellende Unternehmen einer ICS-Komponente installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11 + ref_id: IND.2.1.A11.3 + description: Alternativ SOLLTE die Aktualisierung in einer Testumgebung erprobt + werden, bevor diese in einer produktiven ICS-Komponente eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a11 + ref_id: IND.2.1.A11.4 + description: "F\xFCr kritische Sicherheitsupdates SOLLTE kurzfristig eine Wartung\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A13 + name: Geeignete Inbetriebnahme von ICS-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a13 + ref_id: IND.2.1.A13.1 + description: Bevor ICS-Komponenten in Betrieb genommen werden, SOLLTEN sie dem + aktuellen, intern freigegebenen Firmware-, Software- und Patch-Stand entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a13 + ref_id: IND.2.1.A13.2 + description: "Neue ICS-Komponenten SOLLTEN in die bestehenden Betriebs-, \xDC\ + berwachungs- und Informationssicherheitsmanagement-Prozesse eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A16 + name: Schutz externer Schnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a16 + ref_id: IND.2.1.A16.1 + description: "Von au\xDFen erreichbare Schnittstellen SOLLTEN vor Missbrauch\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A17 + name: "Nutzung sicherer Protokolle f\xFCr die \xDCbertragung von Mess- und Steuerdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17 + ref_id: IND.2.1.A17.1 + description: "Mess- oder Steuerdaten SOLLTEN bei der \xDCbertragung vor unberechtigten\ + \ Zugriffen oder Ver\xE4nderungen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17 + ref_id: IND.2.1.A17.2 + description: "Bei Anwendungen mit Echtzeitanforderungen SOLLTE gepr\xFCft werden,\ + \ ob dies umsetzbar ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a17 + ref_id: IND.2.1.A17.3 + description: "Werden Mess- oder Steuerdaten \xFCber \xF6ffentliche Netze \xFC\ + bertragen, SOLLTEN sie angemessen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A18 + name: "Kommunikation im St\xF6rfall" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a18 + ref_id: IND.2.1.A18.1 + description: "Es SOLLTE alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ + \ geben, die bei einem St\xF6rfall benutzt werden k\xF6nnen, um handlungsf\xE4\ + hig zu bleiben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A19 + name: Security-Tests + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + ref_id: IND.2.1.A19.1 + description: "Mithilfe von regelm\xE4\xDFigen Security-Tests SOLLTE gepr\xFC\ + ft werden, ob die technischen Sicherheitsma\xDFnahmen noch effektiv umgesetzt\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + ref_id: IND.2.1.A19.2 + description: Die Security-Tests SOLLTEN nicht im laufenden Anlagenbetrieb erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + ref_id: IND.2.1.A19.3 + description: Die Tests SOLLTEN auf die Wartungszeiten geplant werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + ref_id: IND.2.1.A19.4 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a19 + ref_id: IND.2.1.A19.5 + description: Erkannte Risiken SOLLTEN bewertet und behandelt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1 + ref_id: IND.2.1.A20 + name: "Vertrauensw\xFCrdiger Code" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a20 + ref_id: IND.2.1.A20.1 + description: "Firmware-Updates oder neue Steuerungsprogramme SOLLTEN NUR eingespielt\ + \ werden, wenn vorher ihre Integrit\xE4t \xFCberpr\xFCft wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.1.a20 + ref_id: IND.2.1.A20.2 + description: "Sie SOLLTEN nur aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2 + assessable: false + depth: 1 + ref_id: IND.2.2 + name: Speicherprogrammierbare Steuerung (SPS) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2 + ref_id: IND.2.2.A1 + name: "Erweiterte Systemdokumentation f\xFCr Speicherprogrammierbare Steuerungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a1 + ref_id: IND.2.2.A1.1 + description: "Steuerungsprogramme und Konfigurationen SOLLTEN immer gesichert\ + \ werden, bevor an ihnen etwas ver\xE4ndert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a1 + ref_id: IND.2.2.A1.2 + description: "\xC4nderungen an der Konfiguration oder der Tausch von Komponenten\ + \ SOLLTEN vollst\xE4ndig dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2 + ref_id: IND.2.2.A3 + name: Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.2.a3 + ref_id: IND.2.2.A3.1 + description: "Die Systemzeit SOLLTE automatisch \xFCber eine zentrale automatisierte\ + \ Zeitsynchronisation eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3 + assessable: false + depth: 1 + ref_id: IND.2.3 + name: Sensoren und Aktoren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3 + ref_id: IND.2.3.A1 + name: Installation von Sensoren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1 + ref_id: IND.2.3.A1.1 + description: "Sensoren M\xDCSSEN in geeigneter Weise installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1 + ref_id: IND.2.3.A1.2 + description: "Sensoren M\xDCSSEN ausreichend robust sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a1 + ref_id: IND.2.3.A1.3 + description: "Sie M\xDCSSEN zuverl\xE4ssig unter den vorhandenen Umgebungsbedingungen\ + \ wie gro\xDFer W\xE4rme, K\xE4lte, Staub, Vibration oder Korrosion messen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3 + ref_id: IND.2.3.A2 + name: Kalibrierung von Sensoren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2 + ref_id: IND.2.3.A2.1 + description: "Wenn notwendig, SOLLTEN Sensoren regelm\xE4\xDFig kalibriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2 + ref_id: IND.2.3.A2.2 + description: Die Kalibrierungen SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a2 + ref_id: IND.2.3.A2.3 + description: "Der Zugang zur Kalibrierung eines Sensors MUSS gesch\xFCtzt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3 + ref_id: IND.2.3.A3 + name: Drahtlose Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a3 + ref_id: IND.2.3.A3.1 + description: Drahtlose Verwaltungsschnittstellen wie Bluetooth, WLAN oder NFC + SOLLTEN NICHT benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.3.a3 + ref_id: IND.2.3.A3.2 + description: Alle nicht benutzten Kommunikationsschnittstellen SOLLTEN deaktiviert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4 + assessable: false + depth: 1 + ref_id: IND.2.4 + name: Maschine + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4 + ref_id: IND.2.4.A1 + name: Fernwartung durch Maschinen- und Anlagenbauende + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.1 + description: "F\xFCr die Fernwartung einer Maschine MUSS es eine zentrale Richtlinie\ + \ geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.2 + description: "Darin MUSS geregelt werden, wie die jeweiligen Fernwartungsl\xF6\ + sungen einzusetzen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.3 + description: "Die Richtlinie MUSS auch festlegen, wie Kommunikationsverbindungen\ + \ gesch\xFCtzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.4 + description: "Hier\xFCber hinaus MUSS sie auch beschreiben, welche Aktivit\xE4\ + ten w\xE4hrend der Fernwartung \xFCberwacht werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.5 + description: "Au\xDFerdem SOLLTE NICHT m\xF6glich sein, dass \xFCber die Fernwartung\ + \ einer Maschine auf andere IT-Systeme oder Maschinen der Institution zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a1 + ref_id: IND.2.4.A1.6 + description: "Mit Dienstleistenden MUSS vereinbart werden, wie sie die in der\ + \ Maschine gespeicherten Informationen verwerten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4 + ref_id: IND.2.4.A2 + name: "Betrieb nach Ende der Gew\xE4hrleistung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a2 + ref_id: IND.2.4.A2.1 + description: "Es MUSS ein Prozess etabliert werden, der gew\xE4hrleistet, dass\ + \ die Maschine auch \xFCber den Gew\xE4hrleistungszeitraum hinaus sicher weiterbetrieben\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.4.a2 + ref_id: IND.2.4.A2.2 + description: "Hierzu M\xDCSSEN mit den Liefernden weitere Unterst\xFCtzungsleistungen\ + \ vertraglich vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + assessable: false + depth: 1 + ref_id: IND.2.7 + name: Safety Instrumented Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A1 + name: Erfassung und Dokumentation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a1 + ref_id: IND.2.7.A1.1 + description: "Alle zum SIS geh\xF6renden Hardware- und Softwarekomponenten,\ + \ relevante Informationen, Verbindungen sowie Rollen und Zust\xE4ndigkeiten\ + \ M\xDCSSEN gesondert erfasst und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A2 + name: Zweckgebundene Nutzung der Hard- und Softwarekomponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a2 + ref_id: IND.2.7.A2.1 + description: "Die Hard- und Softwarekomponenten, die zum SIS geh\xF6ren oder\ + \ im Zusammenhang mit diesem genutzt werden, D\xDCRFEN NICHT zweckentfremdet\ + \ werde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A3 + name: "\xC4nderung des Anwendungsprogramms auf dem Logiksystem" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3 + ref_id: IND.2.7.A3.1 + description: "Bereits vorhandene Schutzmechanismen am Logiksystem M\xDCSSEN\ + \ aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3 + ref_id: IND.2.7.A3.2 + description: "Wenn dies nicht m\xF6glich ist, M\xDCSSEN alternative Ma\xDFnahmen\ + \ ergriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a3 + ref_id: IND.2.7.A3.3 + description: "Anwendungsprogramme auf den Logiksystemen D\xDCRFEN NUR von autorisierten\ + \ Personen ge\xE4ndert oder zur \xDCbertragung freigegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A4 + name: Verankerung von Informationssicherheit im Functional Safety Management + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a4 + ref_id: IND.2.7.A4.1 + description: "Alle Prozesse und Zust\xE4ndigkeiten bez\xFCglich der Informationssicherheit\ + \ von SIS SOLLTEN klar definiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a4 + ref_id: IND.2.7.A4.2 + description: Im Functional Safety Management SOLLTEN diese beschrieben und namentlich + genannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A5 + name: Notfallmanagement von SIS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a5 + ref_id: IND.2.7.A5.1 + description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE in einem Vorfallreaktionsplan\ + \ festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a5 + ref_id: IND.2.7.A5.2 + description: "Dieser SOLLTE die Rollen und Zust\xE4ndigkeiten festhalten und\ + \ die zu ergreifenden Ma\xDFnahmen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A6 + name: Sichere Planung und Spezifikation des SIS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a6 + ref_id: IND.2.7.A6.1 + description: "Versehentliche oder unautorisierte \xC4nderungen an der Spezifikation,\ + \ Implementierung und an den Engineering-Daten SOLLTEN verhindert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A7 + name: "Trennung und Unabh\xE4ngigkeit des SIS von der Umgebung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a7 + ref_id: IND.2.7.A7.1 + description: "Das SIS SOLLTE r\xFCckwirkungsfrei von seiner Umgebung betrieben\ + \ werden, um seine Sicherheitsfunktionen gew\xE4hrleisten zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a7 + ref_id: IND.2.7.A7.2 + description: "Prozesse, die potenziell Auswirkungen auf das SIS haben, SOLLTEN\ + \ dem \xC4nderungsmanagementprozess des Functional Safety Management unterstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A8 + name: "Sichere \xDCbertragung von Engineering Daten auf SIS" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a8 + ref_id: IND.2.7.A8.1 + description: "Die Integrit\xE4t der Engineering-Daten SOLLTE w\xE4hrend der\ + \ \xDCbertragung auf SIS sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A9 + name: Absicherung der Daten- und Signalverbindungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a9 + ref_id: IND.2.7.A9.1 + description: "Sofern keine R\xFCckwirkungsfreiheit von Daten- und Signalverbindungen\ + \ (Unidirektionalit\xE4t) nachgewiesen werden kann, SOLLTEN diese Verbindungen\ + \ geeignet abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A10 + name: "Anzeige und Alarmierung von simulierten oder gebr\xFCckten Variablen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10 + ref_id: IND.2.7.A10.1 + description: "Variablen der SIS, die durch Ersatzwerte besetzt (simuliert) oder\ + \ von au\xDFen gebr\xFCckt werden, SOLLTEN in geeigneter Weise \xFCberwacht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10 + ref_id: IND.2.7.A10.2 + description: Die Werte SOLLTEN den Benutzenden fortlaufend angezeigt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10 + ref_id: IND.2.7.A10.3 + description: Grenzwerte SOLLTEN definiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a10 + ref_id: IND.2.7.A10.4 + description: "Wenn diese Grenzwerte erreicht werden, SOLLTEN die zust\xE4ndigen\ + \ Personen in geeigneter Weise alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A11 + name: Umgang mit integrierten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a11 + ref_id: IND.2.7.A11.1 + description: "F\xFCr integrierte Systeme SOLLTE eine passende Strategie entwickelt\ + \ werden, die den Umgang mit Komponenten regelt, welche die funktionale Sicherheit\ + \ (Safety) betreffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7 + ref_id: IND.2.7.A12 + name: "Sicherstellen der Integrit\xE4t und Authentizit\xE4t von Anwendungsprogrammen\ + \ und Konfigurationsdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12 + ref_id: IND.2.7.A12.1 + description: "Es SOLLTE darauf geachtet werden, dass die herstellenden Unternehmen\ + \ geeignete Mechanismen entwickeln und integrieren, die die Integrit\xE4t\ + \ und Authentizit\xE4t von Konfigurationsdaten und Anwendungsprogrammen auf\ + \ dem Logiksystem oder auf den damit verbundenen Sensoren und Aktoren gew\xE4\ + hrleisten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12 + ref_id: IND.2.7.A12.2 + description: "Jegliche Software, die als Download angeboten wird, SOLLTE vor\ + \ Manipulation gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.2.7.a12 + ref_id: IND.2.7.A12.3 + description: "Verletzungen der Integrit\xE4t SOLLTEN automatisch erkannt und\ + \ gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + assessable: false + depth: 1 + ref_id: IND.3.2 + name: Fernwartung im industriellen Umfeld + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A1 + name: Planung des Einsatzes der Fernwartung in der OT + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.1 + description: "Im industriellen Umfeld MUSS f\xFCr s\xE4mtliche Einrichtungen\ + \ zur Fernwartung ein einheitliches, zentrales Fernwartungskonzept f\xFCr\ + \ die gesamte OT der Institution erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.2 + description: "In dem OT-Fernwartungskonzept M\xDCSSEN folgende Aspekte ber\xFC\ + cksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.3 + description: "\u2022 spezifische gesetzliche Vorgaben, z. B. Schutz von Personen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.4 + description: "\u2022 spezifische Vorgaben durch anlagenherstellende Unternehmen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.5 + description: "\u2022 spezifische Anforderungen durch dezentrale Infrastrukturen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.6 + description: "\u2022 spezifische Anforderungen an die Anbindungen f\xFCr die\ + \ Fernwartung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.7 + description: "\u2022 spezifische Anforderungen an die Verf\xFCgbarkeit der Fernwartung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.8 + description: "\u2022 spezifische Anforderungen durch Umgebungsbedingungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.9 + description: "\u2022 spezifische Anforderungen durch Bestandsanlagen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.10 + description: "Alle diese Aspekte M\xDCSSEN mit s\xE4mtlichen beteiligten internen\ + \ und externen Stellen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.11 + description: "S\xE4mtliche Fernwartungszug\xE4nge, \xFCber die Zugriffe auf\ + \ ein ICS der Institution m\xF6glich sind, M\xDCSSEN in einer zentralen Dokumentation\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.12 + description: "F\xFCr neu anzuschaffende fernwartbare Maschinen M\xDCSSEN die\ + \ Anforderungen an die Informationssicherheit mit den Liefernden abgestimmt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.13 + description: "Das Ziel SOLLTE eine Standardisierung der verwendeten Fernwartungsl\xF6\ + sungen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a1 + ref_id: IND.3.2.A1.14 + description: "Sobald standardisierte L\xF6sungen f\xFCr die Fernwartung geplant\ + \ werden, M\xDCSSEN sich die OT und die B\xFCro- und Geb\xE4ude-IT gemeinsam\ + \ abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A2 + name: "Konsistente Dokumentation der Fernwartung durch OT sowie B\xFCro- und\ + \ Geb\xE4ude-IT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a2 + ref_id: IND.3.2.A2.1 + description: "Im industriellen Umfeld M\xDCSSEN die OT und die B\xFCro- und\ + \ Geb\xE4ude-IT s\xE4mtliche OT-Fernwartungszug\xE4nge gemeinsam erfassen\ + \ und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a2 + ref_id: IND.3.2.A2.2 + description: "Insbesondere bei Fernwartungskomponenten, die in Package Units\ + \ integriert sind, M\xDCSSEN auch alle deaktivierten Zug\xE4nge dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A3 + name: "Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender\ + \ OT-Fernwartungszug\xE4nge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a3 + ref_id: IND.3.2.A3.1 + description: "S\xE4mtliche Anlagen M\xDCSSEN regelm\xE4\xDFig gepr\xFCft werden,\ + \ ob alle ihre Fernwartungszug\xE4nge dem Soll-Zustand, d. h. dem aktuellen\ + \ Fernwartungskonzept f\xFCr die OT, entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a3 + ref_id: IND.3.2.A3.2 + description: "F\xFCr notwendige Abweichungen vom Konzept MUSS innerhalb der\ + \ OT ein Genehmigungsprozess etabliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A4 + name: Verbindliche Regelung der OT-Fernwartung durch Dritte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.1 + description: "Mit s\xE4mtlichen externen Benutzenden, d. h. herstellenden Unternehmen,\ + \ Integratoren und Wartungsdienstleistenden, M\xDCSSEN angemessen restriktive\ + \ Regelungen f\xFCr die OT-Fernwartung vertraglich vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.2 + description: "Diese vertraglichen Regelungen M\xDCSSEN zu jedem Zeitpunkt gew\xE4\ + hrleisten, dass externe Benutzende jegliche OT-Fernwartungszug\xE4nge ausschlie\xDF\ + lich kontrolliert und abgestimmt nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.3 + description: "Intern MUSS festgelegt werden, \xFCber welche Fernwartungszug\xE4\ + nge welche T\xE4tigkeiten durch welche externen Benutzenden zul\xE4ssig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.4 + description: "Dar\xFCber hinaus MUSS festgelegt werden, welche internen Mitarbeitende\ + \ Fernwartungszugriffe und -t\xE4tigkeiten von Externen autorisieren, beobachten\ + \ und gegebenenfalls unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.5 + description: "Im industriellen Umfeld MUSS sichergestellt werden, dass Personen\ + \ an oder in Anlagen und Maschinen weder direkt noch indirekt durch eine aktive\ + \ Fernwartung gef\xE4hrdet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.6 + description: "Insbesondere bei Safety-Maschinen MUSS der oder die interne OT-Mitarbeitende\ + \ sowohl organisatorisch als auch technisch die Hoheit \xFCber den Beginn\ + \ und das Ende der Fernwartung haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a4 + ref_id: IND.3.2.A4.7 + description: Vertraglich MUSS ausgeschlossen werden, dass der Remote-Zugriff + ohne explizite Zustimmung der internen OT-Mitarbeitenden aufgebaut und aufrechterhalten + werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A5 + name: "Interne Abstimmung f\xFCr die OT-Fernwartung mit der B\xFCro- und Geb\xE4\ + ude-IT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.1 + description: "Die OT, die B\xFCro- und Geb\xE4ude-IT sowie alle weiteren beteiligten\ + \ Organisationseinheiten M\xDCSSEN angemessen restriktive Regelungen f\xFC\ + r s\xE4mtliche Komponenten und Schnittstellen festlegen, die direkt oder indirekt\ + \ OT-Fernwartung in der Institution erm\xF6glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.2 + description: "Diese internen Regelungen M\xDCSSEN zu jedem Zeitpunkt eine kontrollierte\ + \ und abgestimmte Nutzung der jeweiligen OT-Fernwartungszug\xE4nge gew\xE4\ + hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.3 + description: "Folgende Aspekte M\xDCSSEN geregelt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.4 + description: "\u2022 Prozesse" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.5 + description: "\u2022 Zust\xE4ndigkeiten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a5 + ref_id: IND.3.2.A5.6 + description: "\u2022 Berechtigungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A6 + name: Absicherung jedes Fernwartungszugriffs auf die OT + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + ref_id: IND.3.2.A6.1 + description: "Im industriellen Umfeld MUSS die OT jeden Zugriff auf ein IT-System,\ + \ das einen Fernwartungsdienst f\xFCr die OT bereitstellt, selbst steuern\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + ref_id: IND.3.2.A6.2 + description: "Hierf\xFCr MUSS der Zugriff durch mindestens eine Sicherheitskomponente\ + \ in der Zust\xE4ndigkeit der OT abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + ref_id: IND.3.2.A6.3 + description: "Der Zugang zur Fernwartung SOLLTE f\xFCr alle Zugriffe vereinheitlicht\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + ref_id: IND.3.2.A6.4 + description: Jeder Zugriff SOLLTE mithilfe zentraler Authentisierungskomponenten + kontrolliert und explizit zugelassen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a6 + ref_id: IND.3.2.A6.5 + description: "Falls Komponenten von OT-Fernwartungszug\xE4ngen dezentral liegen\ + \ oder in Package Units integriert sind, dann M\xDCSSEN diese Zug\xE4nge durch\ + \ eine zus\xE4tzliche Sicherheitskomponente abgesichert werden, die ihrerseits\ + \ zentral liegt und nicht in eine Package Unit integriert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A7 + name: Technische Entkopplung von Zugriffen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + ref_id: IND.3.2.A7.1 + description: Jeder Fernzugriff auf jegliche Komponenten in einer OT-Zone SOLLTE + entkoppelt erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + ref_id: IND.3.2.A7.2 + description: "In jedem Fernwartungszugang in die OT SOLLTE ein IT-System positioniert\ + \ sein, das die Verbindung vor dem \xDCbergang in die OT-Zielzone terminiert\ + \ und zum Fernwartungsdienst eine neue, \xFCberwachte und reglementierte Kommunikation\ + \ aufbaut." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + ref_id: IND.3.2.A7.3 + description: "Alle f\xFCr die Fernwartung ben\xF6tigten Werkzeuge und Programme\ + \ SOLLTEN auf dem IT-System des Fernwartungszugangs installiert und lauff\xE4\ + hig sein sowie einen Mehrbenutzendenbetrieb unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + ref_id: IND.3.2.A7.4 + description: Das IT-System SOLLTE ein Sprungserver oder ein vergleichbares Application + Layer Gateway (ALG) sein, das in einem dedizierten Sicherheitssegment, z. + B. in einer demilitarisierten Zone (DMZ) positioniert ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a7 + ref_id: IND.3.2.A7.5 + description: "F\xFCr das IT-System zur Entkopplung der Zugriffe SOLLTE die OT\ + \ zust\xE4ndig sein, d. h. es liegt idealerweise in einer OT-DMZ." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A8 + name: Explizite Freigabe jeder OT-Fernwartungssitzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + ref_id: IND.3.2.A8.1 + description: "Jede Fernwartungssitzung SOLLTE vorab durch einen oder einer OT-Mitarbeitenden\ + \ der betreibenden Institution, der oder die f\xFCr das Zielsystem der Sitzung\ + \ zust\xE4ndig ist, genehmigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + ref_id: IND.3.2.A8.2 + description: Erst danach SOLLTE der oder die OT-Mitarbeitende den Fernwartungszugang + freischalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + ref_id: IND.3.2.A8.3 + description: "Die explizite Freigabe SOLLTE sowohl im Bedarfsfall als auch w\xE4\ + hrend abgestimmter Wartungsfenster eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + ref_id: IND.3.2.A8.4 + description: "Die Freigabe SOLLTE grunds\xE4tzlich nur f\xFCr einen begrenzten\ + \ Zeitraum g\xFCltig sein, d. h. die zust\xE4ndigen OT-Mitarbeitenden behalten\ + \ die Hoheit \xFCber den Zeitpunkt der Fernwartung (siehe Anforderung IND.3.2.A3\ + \ Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender OT-Fernwartungszug\xE4\ + nge)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a8 + ref_id: IND.3.2.A8.5 + description: "Dar\xFCber hinaus SOLLTEN externe Fernwartungszugriffe ausschlie\xDF\ + lich von innen nach au\xDFen, d. h. aus dem OT-Netz heraus, aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A9 + name: Sicherer Austausch von Dateien begleitend zur OT-Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9 + ref_id: IND.3.2.A9.1 + description: "F\xFCr einen Dateiaustausch im Rahmen der OT-Fernwartung, z. B.\ + \ von Konfigurationsdateien, Updates oder Handb\xFCchern, SOLLTE ein sicheres\ + \ Vorgehen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9 + ref_id: IND.3.2.A9.2 + description: "Dies MUSS mindestens eine \xDCberpr\xFCfung auf Schadsoftware\ + \ beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9 + ref_id: IND.3.2.A9.3 + description: Der Verbindungsaufbau zwischen einem Datenaustauschsystem und der + Dateiquelle SOLLTE nicht automatisiert erfolgen, sondern vor jedem Dateiaustausch + von der OT der Institution initiiert und authentisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a9 + ref_id: IND.3.2.A9.4 + description: "Ein Dateiaustausch SOLLTE grunds\xE4tzlich protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A10 + name: Beobachtung und Kontrolle von OT-Fernwartungssitzungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10 + ref_id: IND.3.2.A10.1 + description: "Im industriellen Umfeld MUSS sichergestellt werden, dass weder\ + \ direkt noch indirekt Personen an oder in Anlagen und Maschinen sowie die\ + \ Anlagen oder Maschinen selbst durch eine aktive Fernwartung gef\xE4hrdet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10 + ref_id: IND.3.2.A10.2 + description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass eine aktive\ + \ Fernwartung den Produktionsprozess nicht beeintr\xE4chtigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10 + ref_id: IND.3.2.A10.3 + description: "Falls Personen- oder Sachsch\xE4den m\xF6glich sind, MUSS sichergestellt\ + \ sein, dass die OT-Mitarbeitenden die Fernwartungst\xE4tigkeiten vor Ort\ + \ mitverfolgen k\xF6nnen (Vier-Augen-Prinzip)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a10 + ref_id: IND.3.2.A10.4 + description: "Die OT-Mitarbeitenden SOLLTEN bei Bedarf eingreifen k\xF6nnen\ + \ sowie eine Fernwartungssitzung unterbrechen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A11 + name: "Zentrale Verwaltung aller Konten f\xFCr die OT-Fernwartung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a11 + ref_id: IND.3.2.A11.1 + description: "F\xFCr den Fernwartungszugriff in der OT SOLLTEN ausschlie\xDF\ + lich Konten verwendet werden, die in einem zentralen Verzeichnisdienst der\ + \ OT oder der Institution verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A12 + name: "Dedizierte Fernwartungsl\xF6sung in der OT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12 + ref_id: IND.3.2.A12.1 + description: "F\xFCr die Fernwartung im industriellen Umfeld SOLLTE eine dedizierte\ + \ OT-Fernwartungsl\xF6sung eingesetzt werden, die unabh\xE4ngig von der B\xFC\ + ro- und Geb\xE4ude-IT ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12 + ref_id: IND.3.2.A12.2 + description: "Alle weiteren Funktionen auf den IT-Systemen zur OT-Fernwartung,\ + \ insbesondere auch Funktionen zur Administration von IT-Systemen und Netzen\ + \ au\xDFerhalb der OT, SOLLTEN deaktiviert bzw. unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a12 + ref_id: IND.3.2.A12.3 + description: "Falls eine maximale Unabh\xE4ngigkeit realisiert werden soll,\ + \ SOLLTE auch ein dedizierter Internet-Zugang f\xFCr die OT-Fernwartung genutzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A13 + name: Protokollierung der Inhalte von Fernwartungszugriffen in der OT + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a13 + ref_id: IND.3.2.A13.1 + description: "F\xFCr die Fernwartung von OT-Anwendungen oder -Systemen SOLLTE\ + \ die Protokollierung so ausgeweitet werden, dass s\xE4mtliche T\xE4tigkeiten\ + \ l\xFCckenlos und umgehend nachvollziehbar sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a13 + ref_id: IND.3.2.A13.2 + description: "Hierzu SOLLTEN erg\xE4nzend zur Protokollierung von Ereignissen\ + \ und Sitzungsdaten auch die Inhalte von Fernwartungszugriffen protokolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2 + ref_id: IND.3.2.A14 + name: Technische Kontrolle von Fernwartungssitzungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14 + ref_id: IND.3.2.A14.1 + description: "OT-Fernwartungssitzungen SOLLTEN erg\xE4nzend zu IND.3.2.A10 Beobachtung\ + \ und Kontrolle von OT-Fernwartungssitzungen kontinuierlich durch eine technische\ + \ L\xF6sung reglementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14 + ref_id: IND.3.2.A14.2 + description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ + \ und automatisierte Befehle, technisch \xFCberwacht und gegebenenfalls automatisch\ + \ unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14 + ref_id: IND.3.2.A14.3 + description: "Zus\xE4tzlich SOLLTEN Sitzungen komponenten\xFCbergreifend \xFC\ + berwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:ind.3.2.a14 + ref_id: IND.3.2.A14.4 + description: "Falls technisch \xFCberwacht wird, dann SOLLTE nicht nur bei konkreten\ + \ Regelverst\xF6\xDFen, sondern auch bei Anomalien im Benutzungsverhalten\ + \ ein Alarm ausgel\xF6st werden, z. B. sobald ein pl\xF6tzlich erh\xF6htes\ + \ Kommunikationsvolumen erkannt wird." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-inf-infrastruktur.yaml b/backend/library/libraries/bs-it-gs-2023-inf-infrastruktur.yaml new file mode 100644 index 000000000..78b820e62 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-inf-infrastruktur.yaml @@ -0,0 +1,10008 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-inf-infrastruktur +locale: de +ref_id: bs-it-gs-2023-inf-infrastruktur +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - INF:\ + \ Infrastruktur" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-inf-infrastruktur + ref_id: bs-it-gs-2023-inf-infrastruktur + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - INF: Infrastruktur" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + assessable: false + depth: 1 + ref_id: INF.1 + name: "Allgemeines Geb\xE4ude" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A1 + name: "Planung der Geb\xE4udeabsicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1 + ref_id: INF.1.A1.1 + description: "Je nach der (geplanten) Nutzung eines Geb\xE4udes und dem Schutzbedarf\ + \ der dort betriebenen Gesch\xE4ftsprozesse MUSS festgelegt werden, wie das\ + \ Geb\xE4ude abzusichern ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1 + ref_id: INF.1.A1.2 + description: "Bei einem Geb\xE4ude M\xDCSSEN insbesondere Sicherheitsaspekte\ + \ zum Schutz von Personen im Geb\xE4ude, dem Schutz der Wirtschaftsg\xFCter\ + \ und der IT beachtet werden, von Brandschutz \xFCber Elektrik bis hin zur\ + \ Zutrittskontrolle." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a1 + ref_id: INF.1.A1.3 + description: "Die Sicherheitsanforderungen aus den verschiedenen Bereichen M\xDC\ + SSEN aufeinander abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A2 + name: Angepasste Aufteilung der Stromkreise + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a2 + ref_id: INF.1.A2.1 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Absicherung\ + \ und Auslegung der Stromkreise noch den tats\xE4chlichen Bed\xFCrfnissen\ + \ gen\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A3 + name: Einhaltung von Brandschutzvorschriften + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.1 + description: "Die bestehenden Brandschutzvorschriften sowie die Auflagen der\ + \ Bauaufsicht M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.2 + description: "Die Fluchtwege M\xDCSSEN vorschriftsm\xE4\xDFig ausgeschildert\ + \ und freigehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.3 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass die Fluchtwege\ + \ benutzbar und frei von Hindernissen sind, damit das Geb\xE4ude in einer\ + \ Gefahrensituation schnell ger\xE4umt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.4 + description: "Bei der Brandschutzplanung SOLLTE die \xF6rtliche Feuerwehr hinzugezogen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.5 + description: "Unn\xF6tige Brandlasten M\xDCSSEN vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.6 + description: Es MUSS eine Brandschutzbeauftragte oder einen Brandschutzbeauftragten + oder eine mit dem Aufgabengebiet betraute Person geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a3 + ref_id: INF.1.A3.7 + description: Diese Person MUSS geeignet geschult sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A4 + name: "Branderkennung in Geb\xE4uden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + ref_id: INF.1.A4.1 + description: "Geb\xE4ude M\xDCSSEN entsprechend der Auflagen in der Baugenehmigung\ + \ und dem Brandschutzkonzept folgend mit einer ausreichenden Anzahl von Rauchmeldern\ + \ ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + ref_id: INF.1.A4.2 + description: "Ist eine lokale Alarmierung am Ort des Melders nicht ausreichend,\ + \ M\xDCSSEN alle Melder auf eine Brandmeldezentrale (BMZ) aufgeschaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + ref_id: INF.1.A4.3 + description: "Bei Rauchdetektion MUSS eine Alarmierung im Geb\xE4ude ausgel\xF6\ + st werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + ref_id: INF.1.A4.4 + description: "Es MUSS sichergestellt sein, dass alle im Geb\xE4ude anwesenden\ + \ Personen diese wahrnehmen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a4 + ref_id: INF.1.A4.5 + description: "Die Funktionsf\xE4higkeit aller Rauchmelder sowie aller sonstigen\ + \ Komponenten einer Brandmeldeanlage (BMA) MUSS regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A5 + name: "Handfeuerl\xF6scher" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5 + ref_id: INF.1.A5.1 + description: "Zur Sofortbek\xE4mpfung von Br\xE4nden M\xDCSSEN Handfeuerl\xF6\ + scher in der jeweils geeigneten Brandklasse (DIN EN 3 Tragbare Feuerl\xF6\ + scher) in ausreichender Zahl und Gr\xF6\xDFe im Geb\xE4ude zur Verf\xFCgung\ + \ stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5 + ref_id: INF.1.A5.2 + description: "Die Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig gepr\xFCft\ + \ und gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5 + ref_id: INF.1.A5.3 + description: "Die Mitarbeitenden SOLLTEN in die Benutzung der Handfeuerl\xF6\ + scher eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a5 + ref_id: INF.1.A5.4 + description: "Die Einweisungen SOLLTEN in zweckm\xE4\xDFigen Zeitabst\xE4nden\ + \ wiederholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A6 + name: "Geschlossene Fenster und T\xFCren" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.1 + description: "Fenster und von au\xDFen zug\xE4ngliche T\xFCren, etwa von Balkonen\ + \ oder Terrassen, M\xDCSSEN zu Zeiten, in denen ein Raum nicht besetzt ist,\ + \ geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.2 + description: "R\xE4ume M\xDCSSEN verschlossen werden, falls dort vertrauliche\ + \ Informationen zur\xFCckgelassen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.3 + description: "Daf\xFCr MUSS es eine entsprechende Anweisung geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.4 + description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung + nachzukommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Fenster\ + \ und Innen- sowie Au\xDFent\xFCren nach Verlassen des Geb\xE4udes verschlossen\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a6 + ref_id: INF.1.A6.6 + description: "Brand- und Rauchschutzt\xFCren D\xDCRFEN NUR dann dauerhaft offen\ + \ gehalten werden, wenn dies durch zugelassene Feststellanlagen erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A7 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.1 + description: "Der Zutritt zu schutzbed\xFCrftigen Geb\xE4udeteilen und R\xE4\ + umen MUSS geregelt und kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.2 + description: "Es SOLLTE ein Konzept f\xFCr die Zutrittskontrolle existieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.3 + description: "Die Zahl der zutrittsberechtigten Personen SOLLTE f\xFCr jeden\ + \ Bereich auf ein Mindestma\xDF reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.4 + description: "Weitere Personen D\xDCRFEN erst Zutritt erhalten, nachdem gepr\xFC\ + ft wurde, ob dies notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.5 + description: Alle erteilten Zutrittsberechtigungen SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.6 + description: "Die Zutrittskontrollma\xDFnahmen M\xDCSSEN regelm\xE4\xDFig auf\ + \ ihre Wirksamkeit \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a7 + ref_id: INF.1.A7.7 + description: "Zutrittskontrollen SOLLTEN auch w\xE4hrend Umz\xFCgen soweit wie\ + \ m\xF6glich vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A8 + name: Rauchverbot + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a8 + ref_id: INF.1.A8.1 + description: "F\xFCr R\xE4ume mit IT oder Datentr\xE4gern, in denen Br\xE4nde\ + \ oder Verschmutzungen zu hohen Sch\xE4den f\xFChren k\xF6nnen, wie Serverr\xE4\ + ume, Datentr\xE4ger- oder Belegarchive, MUSS ein Rauchverbot erlassen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a8 + ref_id: INF.1.A8.2 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass bei der Einrichtung\ + \ oder Duldung von Raucherzonen der Zutrittsschutz nicht umgangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A9 + name: "Sicherheitskonzept f\xFCr die Geb\xE4udenutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + ref_id: INF.1.A9.1 + description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Geb\xE4udenutzung\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + ref_id: INF.1.A9.2 + description: "Das Sicherheitskonzept f\xFCr das Geb\xE4ude SOLLTE mit dem Gesamtsicherheitskonzept\ + \ der Institution abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + ref_id: INF.1.A9.3 + description: "Es SOLLTE dokumentiert und regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + ref_id: INF.1.A9.4 + description: "Sch\xFCtzenswerte R\xE4ume oder Geb\xE4udeteile SOLLTEN nicht\ + \ in exponierten oder besonders gef\xE4hrdeten Bereichen untergebracht sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a9 + ref_id: INF.1.A9.5 + description: Es MUSS ein IT-bezogenes Brandschutzkonzept erstellt und umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A10 + name: "Einhaltung einschl\xE4giger Normen und Vorschriften" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a10 + ref_id: INF.1.A10.1 + description: "Bei der Planung, der Errichtung und dem Umbau von Geb\xE4uden\ + \ sowie beim Einbau von technischen Einrichtungen M\xDCSSEN alle relevanten\ + \ Normen und Vorschriften ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A12 + name: "Schl\xFCsselverwaltung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + ref_id: INF.1.A12.1 + description: "F\xFCr alle Schl\xFCssel des Geb\xE4udes SOLLTE ein Schlie\xDF\ + plan vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + ref_id: INF.1.A12.2 + description: "Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schl\xFC\ + sseln SOLLTE zentral geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + ref_id: INF.1.A12.3 + description: "Reserveschl\xFCssel SOLLTEN vorgehalten und gesichert, aber f\xFC\ + r Notf\xE4lle griffbereit aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + ref_id: INF.1.A12.4 + description: "Nicht ausgegebene Schl\xFCssel SOLLTEN sicher aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a12 + ref_id: INF.1.A12.5 + description: "Jede Schl\xFCsselausgabe SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A13 + name: "Regelungen f\xFCr Zutritt zu Verteilern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a13 + ref_id: INF.1.A13.1 + description: "Der Zutritt zu den Verteilern aller Versorgungseinrichtungen in\ + \ einem Geb\xE4ude SOLLTE im Bedarfsfall schnell m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a13 + ref_id: INF.1.A13.2 + description: "Der Zutritt zu Verteilern SOLLTE auf einen engen Kreis von Berechtigten\ + \ beschr\xE4nkt sein" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A14 + name: Blitzschutzeinrichtungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14 + ref_id: INF.1.A14.1 + description: Es SOLLTE eine Blitzschutzanlage nach geltender Norm installiert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14 + ref_id: INF.1.A14.2 + description: "Es SOLLTE ein umfassendes Blitz- und \xDCberspannungsschutzkonzept\ + \ vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14 + ref_id: INF.1.A14.3 + description: "Die Fangeinrichtungen bei Geb\xE4uden mit umfangreicher IT-Ausstattung\ + \ SOLLTEN mindestens der Schutzklasse II gem\xE4\xDF DIN EN 62305 Blitzschutz\ + \ entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a14 + ref_id: INF.1.A14.4 + description: "Die Blitzschutzanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und gewartet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A15 + name: "Lagepl\xE4ne der Versorgungsleitungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15 + ref_id: INF.1.A15.1 + description: "Es SOLLTEN aktuelle Lagepl\xE4ne aller Versorgungsleitungen existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15 + ref_id: INF.1.A15.2 + description: "Es SOLLTE geregelt sein, wer die Lagepl\xE4ne aller Versorgungsleitungen\ + \ f\xFChrt und aktualisiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a15 + ref_id: INF.1.A15.3 + description: "Die Pl\xE4ne SOLLTEN so aufbewahrt werden, dass ausschlie\xDF\ + lich berechtigte Personen darauf zugreifen k\xF6nnen, sie aber im Bedarfsfall\ + \ schnell verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A16 + name: "Vermeidung von Lagehinweisen auf sch\xFCtzenswerte Geb\xE4udeteile" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a16 + ref_id: INF.1.A16.1 + description: "Lagehinweise auf schutzw\xFCrdige Bereiche SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a16 + ref_id: INF.1.A16.2 + description: "Schutzw\xFCrdige Geb\xE4udebereiche SOLLTEN von au\xDFen nicht\ + \ leicht einsehbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A17 + name: Baulicher Rauchschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a17 + ref_id: INF.1.A17.1 + description: "Der bauliche Rauchschutz SOLLTE nach Installations- und Umbauarbeiten\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a17 + ref_id: INF.1.A17.2 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Rauchschutz-Komponenten\ + \ noch funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A18 + name: Brandschutzbegehungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a18 + ref_id: INF.1.A18.1 + description: "Brandschutzbegehungen SOLLTEN regelm\xE4\xDFig, d. h. mindestens\ + \ ein- bis zweimal im Jahr, stattfinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a18 + ref_id: INF.1.A18.2 + description: "Bei Brandschutzbegehungen festgestellte M\xE4ngel SOLLTEN unverz\xFC\ + glich behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A19 + name: Information des oder der Brandschutzbeauftragten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a19 + ref_id: INF.1.A19.1 + description: "Der oder die Brandschutzbeauftragte SOLLTE \xFCber Arbeiten an\ + \ Leitungstrassen, Fluren, Flucht- und Rettungswegen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a19 + ref_id: INF.1.A19.2 + description: "Diese Person SOLLTE die ordnungsgem\xE4\xDFe Ausf\xFChrung von\ + \ Brandschutzma\xDFnahmen kontrollieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A20 + name: "Alarmierungsplan und Brandschutz\xFCbungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20 + ref_id: INF.1.A20.1 + description: "Es SOLLTE ein Alarmierungsplan f\xFCr die im Brandfall zu ergreifenden\ + \ Ma\xDFnahmen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20 + ref_id: INF.1.A20.2 + description: "Der Alarmierungsplan SOLLTE in regelm\xE4\xDFigen Abst\xE4nden\ + \ \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a20 + ref_id: INF.1.A20.3 + description: "Brandschutz\xFCbungen SOLLTEN regelm\xE4\xDFig durchgef\xFChrt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A22 + name: "Sichere T\xFCren und Fenster" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22 + ref_id: INF.1.A22.1 + description: "T\xFCren und Fenster SOLLTEN anhand der Schutzziele des zu sichernden\ + \ Bereichs und des Schutzbedarfs der Institution in der passenden Klassifizierung\ + \ nach den einschl\xE4gigen Normen ausgew\xE4hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22 + ref_id: INF.1.A22.2 + description: "Alle raumumschlie\xDFenden Sicherungsma\xDFnahmen durch Fenster,\ + \ T\xFCren und W\xE4nde SOLLTEN in Bezug auf Einbruch, Brand und Rauch gleichwertig\ + \ und angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a22 + ref_id: INF.1.A22.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, dass die Sicherheitst\xFC\ + ren und -fenster funktionst\xFCchtig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A23 + name: Bildung von Sicherheitszonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a23 + ref_id: INF.1.A23.1 + description: "R\xE4ume \xE4hnlichen Schutzbedarfs SOLLTEN in Zonen zusammengefasst\ + \ werden, um vergleichbare Risiken einheitlich behandeln und Kosten f\xFC\ + r erforderliche Sicherheitsma\xDFnahmen reduzieren zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A24 + name: "Selbstt\xE4tige Entw\xE4sserung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a24 + ref_id: INF.1.A24.1 + description: "Alle von Wasser gef\xE4hrdeten Bereiche SOLLTEN mit einer selbstt\xE4\ + tigen Entw\xE4sserung ausgestattet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a24 + ref_id: INF.1.A24.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die aktiven und\ + \ passiven Entw\xE4sserungseinrichtungen noch funktionieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A25 + name: Geeignete Standortauswahl + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25 + ref_id: INF.1.A25.1 + description: "Bei Planung und Auswahl des Geb\xE4udestandortes SOLLTE gepr\xFC\ + ft werden, welche Umfeldbedingungen Einfluss auf die Informationssicherheit\ + \ haben k\xF6nnten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25 + ref_id: INF.1.A25.2 + description: "Es SOLLTE eine \xDCbersicht \xFCber standortbedingte Gef\xE4hrdungen\ + \ geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a25 + ref_id: INF.1.A25.3 + description: "Diesen Gef\xE4hrdungen SOLLTE mit zus\xE4tzlichen kompensierenden\ + \ Ma\xDFnahmen entgegengewirkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A26 + name: Pforten- oder Sicherheitsdienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + ref_id: INF.1.A26.1 + description: Die Aufgaben des Pforten- oder Sicherheitsdienstes SOLLTEN klar + dokumentiert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + ref_id: INF.1.A26.2 + description: "Der Pfortendienst SOLLTE alle Personenbewegungen an der Pforte\ + \ und an allen anderen Eing\xE4ngen beobachten und, je nach Sicherheitskonzept,\ + \ kontrollieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + ref_id: INF.1.A26.3 + description: "Alle Mitarbeitenden und Besuchenden SOLLTEN sich bei dem Pfortendienst\ + \ ausweisen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + ref_id: INF.1.A26.4 + description: Besuchende SOLLTEN zu den Besuchten begleitet oder an der Pforte + abgeholt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a26 + ref_id: INF.1.A26.5 + description: "Der Pfortendienst SOLLTE rechtzeitig dar\xFCber informiert werden,\ + \ wenn sich Zutrittsberechtigungen \xE4ndern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A27 + name: Einbruchschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27 + ref_id: INF.1.A27.1 + description: "Es SOLLTEN ausreichende und den \xF6rtlichen Gegebenheiten angepasste\ + \ Ma\xDFnahmen zum Einbruchschutz umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27 + ref_id: INF.1.A27.2 + description: "Bei der Planung, der Umsetzung und im Betrieb SOLLTE beim Einbruchschutz\ + \ darauf geachtet werden, dass er gleichwertig und durchg\xE4ngig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27 + ref_id: INF.1.A27.3 + description: "Er SOLLTE regelm\xE4\xDFig durch eine fachkundige Person begutachtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a27 + ref_id: INF.1.A27.4 + description: Die Regelungen zum Einbruchschutz SOLLTEN den Mitarbeitenden bekannt + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A30 + name: "Auswahl eines geeigneten Geb\xE4udes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a30 + ref_id: INF.1.A30.1 + description: "Bei der Auswahl eines geeigneten Geb\xE4udes SOLLTE gepr\xFCft\ + \ werden, ob alle f\xFCr die sp\xE4tere Nutzung relevanten Sicherheitsanforderungen\ + \ umgesetzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a30 + ref_id: INF.1.A30.2 + description: "F\xFCr jedes Geb\xE4ude SOLLTEN im Vorfeld die vorhandenen Gef\xE4\ + hrdungen und die erforderlichen Sch\xE4den vorbeugenden oder reduzierenden\ + \ Ma\xDFnahmen dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A31 + name: "Auszug aus Geb\xE4uden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a31 + ref_id: INF.1.A31.1 + description: "Im Vorfeld des Auszugs SOLLTE ein Bestandsverzeichnis aller f\xFC\ + r die Informationssicherheit f\xFCr den Umzug relevanten Objekte wie Hardware,\ + \ Software, Datentr\xE4ger, Ordner oder Schriftst\xFCcke erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a31 + ref_id: INF.1.A31.2 + description: "Nach dem Auszug SOLLTEN alle R\xE4ume nach zur\xFCckgelassenen\ + \ Dingen durchsucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A32 + name: Brandschott-Kataster + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32 + ref_id: INF.1.A32.1 + description: "Es SOLLTE ein Brandschott-Kataster gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32 + ref_id: INF.1.A32.2 + description: In diesem SOLLTEN alle Arten von Schotten individuell aufgenommen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a32 + ref_id: INF.1.A32.3 + description: "Nach Arbeiten an Brandschotten SOLLTEN die \xC4nderungen im Kataster\ + \ sp\xE4testens nach vier Wochen eingetragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A34 + name: Gefahrenmeldeanlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34 + ref_id: INF.1.A34.1 + description: "Es SOLLTE eine den R\xE4umlichkeiten und den Risiken angemessene\ + \ Gefahrenmeldeanlage geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34 + ref_id: INF.1.A34.2 + description: "Die Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ + \ gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a34 + ref_id: INF.1.A34.3 + description: Es MUSS sichergestellt werden, dass diejenigen, die Gefahrenmeldungen + empfangen in der Lage sind, technisch und personell angemessen auf den Alarm + zu reagieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A35 + name: Perimeterschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.1 + description: "Abh\xE4ngig vom Schutzbedarf des Geb\xE4udes und abh\xE4ngig vom\ + \ Gel\xE4nde SOLLTE dieses \xFCber einen Perimeterschutz verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.2 + description: 'Hierbei SOLLTEN mindestens folgende Komponenten auf ihren Nutzen + und ihre Umsetzbarkeit hin betrachtet werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.3 + description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.4 + description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ + \ einer Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.5 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.6 + description: "\u2022 Ma\xDFnahmen zur Erschwerung des beabsichtigten gewaltsamen\ + \ \xDCberwindens der Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.7 + description: "\u2022 Freigel\xE4nde-Sicherungsma\xDFnahmen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.8 + description: "\u2022 Personen- und Fahrzeugdetektion," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.9 + description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ + \ sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a35 + ref_id: INF.1.A35.10 + description: "\u2022 automatische Alarmierung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1 + ref_id: INF.1.A36 + name: "Regelm\xE4\xDFige Aktualisierungen der Dokumentation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36 + ref_id: INF.1.A36.1 + description: "Die Dokumentation eines Geb\xE4udes, z. B. Baupl\xE4ne, Trassenpl\xE4\ + ne, Strangschemata, Fluchtwegpl\xE4ne und Feuerwehrlaufkarten, SOLLTE immer\ + \ auf dem aktuellen Stand gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36 + ref_id: INF.1.A36.2 + description: "Es SOLLTE mindestens einmal innerhalb von drei Jahren \xFCberpr\xFC\ + ft werden, ob alle relevanten Pl\xE4ne noch aktuell und korrekt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.1.a36 + ref_id: INF.1.A36.3 + description: "\xDCber \xC4nderungen SOLLTEN die Mitarbeitenden informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + assessable: false + depth: 1 + ref_id: INF.2 + name: Rechenzentrum sowie Serverraum + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A1 + name: Festlegung von Anforderungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.1 + description: "F\xFCr ein Rechenzentrum M\xDCSSEN angemessene technische und\ + \ organisatorische Vorgaben definiert und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.2 + description: "Wenn ein Rechenzentrum geplant wird oder geeignete R\xE4umlichkeiten\ + \ ausgew\xE4hlt werden, M\xDCSSEN auch geeignete Sicherheitsma\xDFnahmen unter\ + \ Ber\xFCcksichtigung des Schutzbedarfs der IT-Komponenten (insbesondere der\ + \ Verf\xFCgbarkeit) mit geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.3 + description: Ein Rechenzentrum MUSS insgesamt als geschlossener Sicherheitsbereich + konzipiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.4 + description: Es MUSS zudem unterschiedliche Sicherheitszonen aufweisen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.5 + description: "Daf\xFCr M\xDCSSEN z. B. Verwaltungs-, Logistik-, IT-Betriebs-\ + \ und Support-Bereiche klar voneinander getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a1 + ref_id: INF.2.A1.6 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob unterschiedliche\ + \ Sicherheitszonen eingerichtet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A2 + name: Bildung von Brandabschnitten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2 + ref_id: INF.2.A2.1 + description: "Es M\xDCSSEN geeignete Brand- und Rauchabschnitte f\xFCr die R\xE4\ + umlichkeiten eines Rechenzentrums festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2 + ref_id: INF.2.A2.2 + description: "Die Brand- und Rauchabschnitte M\xDCSSEN \xFCber den baurechtlich\ + \ vorgeschriebenen Rahmen hinaus auch Schutz f\xFCr die darin befindlichen\ + \ technischen Einrichtungen und deren Verf\xFCgbarkeit bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2 + ref_id: INF.2.A2.3 + description: Es MUSS verhindert werden, dass sich Brand und Rauch ausbreiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a2 + ref_id: INF.2.A2.4 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob geeignete\ + \ Brand- und Rauchabschnitte f\xFCr die R\xE4umlichkeiten umsetzbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A3 + name: Einsatz einer unterbrechungsfreien Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.1 + description: "F\xFCr alle betriebsrelevanten Komponenten des Rechenzentrums\ + \ MUSS eine unterbrechungsfreie Stromversorgung (USV) installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.2 + description: "Da der Leistungsbedarf von Klimaanlagen oft zu hoch f\xFCr eine\ + \ USV ist, MUSS mindestens die Steuerung der Anlagen an die unterbrechungsfreie\ + \ Stromversorgung angeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.3 + description: "Im Falle eines Serverraums SOLLTE je nach Verf\xFCgbarkeitsanforderungen\ + \ der IT-Systeme gepr\xFCft werden, ob der Betrieb einer USV notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.4 + description: Die USV MUSS ausreichend dimensioniert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.5 + description: "Bei relevanten \xC4nderungen an den Verbrauchern MUSS \xFCberpr\xFC\ + ft werden, ob die vorhandenen USV-Systeme noch ausreichend dimensioniert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.6 + description: Bei USV-Systemen mit Batterie als Energiespeicher MUSS die Batterie + im erforderlichen Temperaturbereich gehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.7 + description: "Sie SOLLTE dazu vorzugsweise r\xE4umlich getrennt von der Leistungselektronik\ + \ der USV platziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.8 + description: "Die USV MUSS regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ + higkeit getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a3 + ref_id: INF.2.A3.9 + description: "Daf\xFCr M\xDCSSEN die vom herstellenden Unternehmen vorgesehenen\ + \ Wartungsintervalle eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A4 + name: Notabschaltung der Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + ref_id: INF.2.A4.1 + description: "Es MUSS geeignete M\xF6glichkeiten geben, elektrische Verbraucher\ + \ im Rechenzentrum spannungsfrei zu schalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + ref_id: INF.2.A4.2 + description: "Dabei MUSS darauf geachtet werden, ob und wie eine vorhandene\ + \ USV r\xE4umlich und funktional in die Stromversorgung eingebunden ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + ref_id: INF.2.A4.3 + description: "Werden klassische Not-Aus-Schalter eingesetzt, MUSS darauf geachtet\ + \ werden, dass dar\xFCber nicht das komplette Rechenzentrum abgeschaltet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + ref_id: INF.2.A4.4 + description: Die Notabschaltung MUSS sinnvoll parzelliert und zielgerichtet + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a4 + ref_id: INF.2.A4.5 + description: "Alle Not-Aus-Schalter M\xDCSSEN so gesch\xFCtzt sein, dass sie\ + \ nicht unbeabsichtigt oder unbefugt bet\xE4tigt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A5 + name: Einhaltung der Lufttemperatur und -feuchtigkeit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5 + ref_id: INF.2.A5.1 + description: Es MUSS sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit + im IT-Betriebsbereich innerhalb der vorgeschriebenen Grenzwerte liegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5 + ref_id: INF.2.A5.2 + description: "Die tats\xE4chliche W\xE4rmelast in den gek\xFChlten Bereichen\ + \ MUSS in regelm\xE4\xDFigen Abst\xE4nden und nach gr\xF6\xDFeren Umbauten\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5 + ref_id: INF.2.A5.3 + description: "Eine vorhandene Klimatisierung MUSS regelm\xE4\xDFig gewartet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a5 + ref_id: INF.2.A5.4 + description: "Die Parameter Temperatur und Feuchtigkeit M\xDCSSEN mindestens\ + \ so aufgezeichnet werden, dass sich r\xFCckwirkend erkennen l\xE4sst, ob\ + \ Grenzwerte \xFCberschritten wurden, und dass sie bei der Lokalisierung der\ + \ Ursache der Abweichung sowie bei der Beseitigung der Ursache unterst\xFC\ + tzend genutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A6 + name: Zutrittskontrolle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.1 + description: Der Zutritt zum Rechenzentrum MUSS kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.2 + description: "Zutrittsrechte M\xDCSSEN gem\xE4\xDF der Vorgaben des Bausteins\ + \ ORP.4 Identit\xE4ts- und Berechtigungsmanagement vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.3 + description: "F\xFCr im Rechenzentrum t\xE4tige Personen MUSS sichergestellt\ + \ werden, dass diese keinen Zutritt zu IT-Systemen au\xDFerhalb ihres T\xE4\ + tigkeitsbereiches erhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.4 + description: "Alle Zutrittsm\xF6glichkeiten zum Rechenzentrum M\xDCSSEN mit\ + \ Zutrittskontrolleinrichtungen ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.5 + description: Jeder Zutritt zum Rechenzentrum MUSS von der Zutrittskontrolle + individuell erfasst werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.6 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob eine \xDC\ + berwachung aller Zutrittsm\xF6glichkeiten sinnvoll ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.7 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die Regelungen\ + \ zum Einsatz einer Zutrittskontrolle eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a6 + ref_id: INF.2.A6.8 + description: "Die Anforderungen der Institution an ein Zutrittskontrollsystem\ + \ M\xDCSSEN in einem Konzept ausreichend detailliert dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A7 + name: "Verschlie\xDFen und Sichern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.1 + description: "Alle T\xFCren des Rechenzentrums M\xDCSSEN stets verschlossen\ + \ gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.2 + description: "Fenster M\xDCSSEN m\xF6glichst schon bei der Planung vermieden\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.3 + description: "Falls sie doch vorhanden sind, M\xDCSSEN sie ebenso wie die T\xFC\ + ren stets verschlossen gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.4 + description: "T\xFCren und Fenster M\xDCSSEN einen dem Sicherheitsniveau angemessenen\ + \ Schutz gegen Angriffe und Umgebungseinfl\xFCsse bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.5 + description: "Sie M\xDCSSEN mit einem Sichtschutz versehen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a7 + ref_id: INF.2.A7.6 + description: "Dabei MUSS beachtet werden, dass die bauliche Ausf\xFChrung aller\ + \ raumbildenden Elemente in Bezug auf die erforderliche Schutzwirkung gleichwertig\ + \ sein muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A8 + name: Einsatz einer Brandmeldeanlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + ref_id: INF.2.A8.1 + description: In einem Rechenzentrum MUSS eine Brandmeldeanlage installiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + ref_id: INF.2.A8.2 + description: "Diese MUSS alle Fl\xE4chen \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + ref_id: INF.2.A8.3 + description: "Alle Meldungen der Brandmeldeanlage M\xDCSSEN geeignet weitergeleitet\ + \ werden (siehe dazu auch INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + ref_id: INF.2.A8.4 + description: "Die Brandmeldeanlage MUSS regelm\xE4\xDFig gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a8 + ref_id: INF.2.A8.5 + description: "Es MUSS sichergestellt werden, dass in R\xE4umen des Rechenzentrums\ + \ keine besonderen Brandlasten vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A9 + name: "Einsatz einer L\xF6sch- oder Brandvermeidungsanlage" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.1 + description: "In einem Rechenzentrum MUSS entweder eine L\xF6sch- oder Brandvermeidungsanlage\ + \ nach aktuellem Stand der Technik installiert sein oder durch technische\ + \ (insbesondere durch eine fl\xE4chendeckende Brandfr\xFCherkennung, siehe\ + \ INF.2.A17 Brandfr\xFCherkennung) und organisatorische Ma\xDFnahmen (geschultes\ + \ Personal und Reaktionspl\xE4ne f\xFCr Meldungen der Brandfr\xFCherkennung)\ + \ sichergestellt sein, dass unmittelbar (innerhalb von maximal 3 Minuten)\ + \ auf Meldungen der Brandfr\xFCherkennung mit schadensminimierenden Ma\xDF\ + nahmen reagiert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.2 + description: "In Serverr\xE4umen ohne L\xF6sch- oder Brandvermeidungsanlage\ + \ M\xDCSSEN Handfeuerl\xF6scher mit geeigneten L\xF6schmitteln in ausreichender\ + \ Zahl und Gr\xF6\xDFe vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.3 + description: "Es MUSS beachtet werden, dass dar\xFCber hinausgehende baurechtliche\ + \ Anforderungen hinsichtlich der Ausstattung mit Handfeuerl\xF6schern davon\ + \ unber\xFChrt bleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.4 + description: "Die Feuerl\xF6scher M\xDCSSEN so angebracht werden, dass sie im\ + \ Brandfall leicht zu erreichen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.5 + description: "Jeder Feuerl\xF6scher MUSS regelm\xE4\xDFig gepr\xFCft und gewartet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a9 + ref_id: INF.2.A9.6 + description: "Alle Mitarbeitenden, die ein Rechenzentrum oder einen Serverraum\ + \ betreten d\xFCrfen, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A10 + name: Inspektion und Wartung der Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10 + ref_id: INF.2.A10.1 + description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ + \ M\xDCSSEN mindestens die vom herstellenden Unternehmen empfohlenen oder\ + \ durch Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion\ + \ und Wartung eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10 + ref_id: INF.2.A10.2 + description: "Inspektionen und Wartungsarbeiten M\xDCSSEN protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10 + ref_id: INF.2.A10.3 + description: "Brandschotten M\xDCSSEN daraufhin gepr\xFCft werden, ob sie unversehrt\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a10 + ref_id: INF.2.A10.4 + description: "Die Ergebnisse M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A11 + name: "Automatische \xDCberwachung der Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11 + ref_id: INF.2.A11.1 + description: "Alle Einrichtungen der Infrastruktur, wie z. B. Leckage\xFCberwachung,\ + \ Klima-, Strom- und USV-Anlagen, M\xDCSSEN automatisch \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11 + ref_id: INF.2.A11.2 + description: "Erkannte St\xF6rungen M\xDCSSEN schnellstm\xF6glich in geeigneter\ + \ Weise weitergeleitet und bearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11 + ref_id: INF.2.A11.3 + description: "Im Falle eines Serverraums SOLLTEN IT- und Supportger\xE4te, die\ + \ nicht oder nur selten von einer Person bedient werden m\xFCssen, mit einer\ + \ Fernanzeige f\xFCr St\xF6rungen ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a11 + ref_id: INF.2.A11.4 + description: "Die verantwortlichen Mitarbeitenden M\xDCSSEN zeitnah alarmiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A12 + name: "Perimeterschutz f\xFCr das Rechenzentrum" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.1 + description: "F\xFCr Rechenzentren SOLLTE ein Perimeterschutz existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.2 + description: "Je nach festgelegtem Schutzbedarf f\xFCr das Rechenzentrum und\ + \ abh\xE4ngig vom Gel\xE4nde SOLLTE der Perimeterschutz aus folgenden Komponenten\ + \ bestehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.3 + description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.4 + description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ + \ einer Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.5 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.6 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltsames\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.7 + description: "\u2022 Freiland-Sicherungsma\xDFnahmen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.8 + description: "\u2022 \xE4u\xDFere Personen- und Fahrzeugdetektion," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.9 + description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a12 + ref_id: INF.2.A12.10 + description: "\u2022 automatische Alarmierung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A13 + name: Planung und Installation von Gefahrenmeldeanlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.1 + description: "Basierend auf dem Sicherheitskonzept des Geb\xE4udes SOLLTE geplant\ + \ werden, welche Gefahrenmeldeanlagen f\xFCr welche Bereiche des Rechenzentrums\ + \ ben\xF6tigt und installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.2 + description: "Hier\xFCber hinaus SOLLTE festgelegt werden, wie mit Alarmmeldungen\ + \ umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.3 + description: "Das Konzept SOLLTE immer angepasst werden, wenn sich die Nutzung\ + \ der Geb\xE4udebereiche ver\xE4ndert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.4 + description: Es SOLLTE eine zum jeweiligen Einsatzzweck passende Gefahrenmeldeanlage + (GMA) installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.5 + description: "Die Meldungen der GMA SOLLTEN unter Beachtung der daf\xFCr geltenden\ + \ Technischen Anschlussbedingungen (TAB) auf eine Alarmempfangsstelle aufgeschaltet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.6 + description: "Die ausgew\xE4hlte Alarmempfangsstelle MUSS jederzeit erreichbar\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.7 + description: "Sie MUSS technisch sowie personell in der Lage sein, geeignet\ + \ auf die gemeldete Gef\xE4hrdung zu reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.8 + description: "Der \xDCbertragungsweg zwischen eingesetzter GMA und Alarmempfangsstelle\ + \ SOLLTE entsprechend den TAB und nach M\xF6glichkeit redundant ausgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a13 + ref_id: INF.2.A13.9 + description: "Alle vorhandenen \xDCbertragungswege M\xDCSSEN regelm\xE4\xDF\ + ig getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A14 + name: Einsatz einer Netzersatzanlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.1 + description: "Die Energieversorgung eines Rechenzentrums aus dem Netz eines\ + \ Energieversorgungsunternehmens SOLLTE um eine Netzersatzanlage (NEA) erg\xE4\ + nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.2 + description: "Wird eine NEA verwendet, MUSS sie regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.3 + description: "Bei diesen Wartungen M\xDCSSEN auch Belastungs- und Funktionstests\ + \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.4 + description: "Der Betriebsmittelvorrat einer NEA MUSS regelm\xE4\xDFig daraufhin\ + \ \xFCberpr\xFCft werden, ob er ausreichend ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.5 + description: "Au\xDFerdem MUSS regelm\xE4\xDFig kontrolliert werden, ob die\ + \ Vorr\xE4te noch verwendbar sind, vor allem um die sogenannte Dieselpest\ + \ zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.6 + description: "Nach M\xF6glichkeit SOLLTE statt Diesel-Kraftstoff schwefelarmes\ + \ Heiz\xF6l verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.7 + description: "Die Tankvorg\xE4nge von Brennstoffen M\xDCSSEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.8 + description: Aus dem Protokoll MUSS die Art des Brennstoffs, die genutzten Additive, + das Tankdatum und die getankte Menge hervorgehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a14 + ref_id: INF.2.A14.9 + description: "Wenn f\xFCr einen Serverraum auf den Einsatz einer NEA verzichtet\ + \ wird, SOLLTE alternativ zur NEA eine USV mit einer dem Schutzbedarf angemessenen\ + \ Autonomiezeit realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A15 + name: "\xDCberspannungsschutzeinrichtung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15 + ref_id: INF.2.A15.1 + description: "Es SOLLTE auf Basis der aktuell g\xFCltigen Norm (DIN EN 62305\ + \ Teil 1 bis 4) ein Blitz- und \xDCberspannungsschutzkonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15 + ref_id: INF.2.A15.2 + description: "Dabei sind die f\xFCr den ordnungsgem\xE4\xDFen Betrieb des RZ\ + \ erforderlichen Blitzschutzzonen (LPZ) festzulegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15 + ref_id: INF.2.A15.3 + description: "F\xFCr alle f\xFCr den ordnungsgem\xE4\xDFen Betreib des RZ und\ + \ dessen Dienstleistungsbereitstellung erforderlichen Einrichtungen SOLLTE\ + \ das mindestens die LPZ 2 sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a15 + ref_id: INF.2.A15.4 + description: "Alle Einrichtungen des \xDCberspannungsschutzes SOLLTEN gem\xE4\ + \xDF DIN EN 62305-3, Tabelle E.2 ein Mal im Jahr einer Umfassenden Pr\xFC\ + fung unterzogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A16 + name: Klimatisierung im Rechenzentrum + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + ref_id: INF.2.A16.1 + description: Es SOLLTE sichergestellt werden, dass im Rechenzentrum geeignete + klimatische Bedingungen geschaffen und aufrechterhalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + ref_id: INF.2.A16.2 + description: "Die Klimatisierung SOLLTE f\xFCr das Rechenzentrum ausreichend\ + \ dimensioniert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + ref_id: INF.2.A16.3 + description: "Alle relevanten Werte SOLLTEN st\xE4ndig \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + ref_id: INF.2.A16.4 + description: Weicht ein Wert von der Norm ab, SOLLTE automatisch alarmiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a16 + ref_id: INF.2.A16.5 + description: "Die Klimaanlagen SOLLTEN in IT-Betriebsbereichen m\xF6glichst\ + \ ausfallsicher sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A17 + name: "Einsatz einer Brandfr\xFCherkennung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + ref_id: INF.2.A17.1 + description: "Ein Rechenzentrum MUSS mit einer Brandfr\xFCherkennungsanlage\ + \ ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + ref_id: INF.2.A17.2 + description: "Ein Serverraum SOLLTE mit einer Brandfr\xFCherkennungsanlage ausgestattet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + ref_id: INF.2.A17.3 + description: "Die Meldungen der Brandfr\xFCherkennung M\xDCSSEN an eine st\xE4\ + ndig besetzte Stelle geleitet werden, die eine Kontrolle und Schutzreaktion\ + \ innerhalb von maximal 3 Minuten veranlassen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + ref_id: INF.2.A17.4 + description: Alternativ MUSS eine automatische Schutzreaktion erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a17 + ref_id: INF.2.A17.5 + description: "Um ein ausgewogenes Verh\xE4ltnis zwischen Brandschutz und Verf\xFC\ + gbarkeit zu erreichen, MUSS sichergestellt werden, dass sich einander Redundanz\ + \ gebende Einrichtungen nicht gemeinsam im Wirkungsbereich der gleichen Spannungsfreischaltung\ + \ befinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A19 + name: "Durchf\xFChrung von Funktionstests der technischen Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19 + ref_id: INF.2.A19.1 + description: "Die technische Infrastruktur eines Rechenzentrums SOLLTE regelm\xE4\ + \xDFig (zumindest ein- bis zweimal j\xE4hrlich) sowie nach Systemumbauten\ + \ und umfangreichen Reparaturen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19 + ref_id: INF.2.A19.2 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a19 + ref_id: INF.2.A19.3 + description: Besonders ganze Reaktionsketten SOLLTEN einem echten Funktionstest + unterzogen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A21 + name: Ausweichrechenzentrum + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.1 + description: Es SOLLTE ein geografisch separiertes Ausweichrechenzentrum aufgebaut + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.2 + description: "Das Ausweichrechenzentrum SOLLTE so dimensioniert sein, dass alle\ + \ Prozesse der Institution aufrechterhalten werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.3 + description: "Auch SOLLTE es st\xE4ndig einsatzbereit sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.4 + description: "Alle Daten der Institution SOLLTEN regelm\xE4\xDFig ins Ausweichrechenzentrum\ + \ gespiegelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.5 + description: "Der Schwenk auf das Notfallrechenzentrum SOLLTE regelm\xE4\xDF\ + ig getestet und ge\xFCbt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a21 + ref_id: INF.2.A21.6 + description: "Die \xDCbertragungswege in das Ausweichrechenzentrum SOLLTEN geeignet\ + \ abgesichert und entsprechend redundant ausgelegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A22 + name: "Durchf\xFChrung von Staubschutzma\xDFnahmen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a22 + ref_id: INF.2.A22.1 + description: "Bei Bauma\xDFnahmen in einem Rechenzentrum SOLLTEN geeignete Staubschutzma\xDF\ + nahmen definiert, geplant und umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a22 + ref_id: INF.2.A22.2 + description: "Personen, die selbst nicht an den Bauma\xDFnahmen beteiligt sind,\ + \ SOLLTEN in ausreichend engen Zeitabst\xE4nden kontrollieren, ob die Staubschutzma\xDF\ + nahmen ordnungsgem\xE4\xDF funktionieren und die Regelungen zum Staubschutz\ + \ eingehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A23 + name: "Zweckm\xE4\xDFiger Aufbau der Verkabelung im Rechenzentrum" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23 + ref_id: INF.2.A23.1 + description: "Kabeltrassen in Rechenzentren SOLLTEN sorgf\xE4ltig geplant und\ + \ ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23 + ref_id: INF.2.A23.2 + description: "Trassen SOLLTEN hinsichtlich Anordnung und Dimensionierung so\ + \ ausgelegt sein, dass eine Trennung der Spannungsebenen sowie eine sinnvolle\ + \ Verteilung von Kabeln auf den Trassen m\xF6glich ist und dass auch f\xFC\ + r zuk\xFCnftige Bedarfsmehrung ausreichend Platz zur Verf\xFCgung steht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23 + ref_id: INF.2.A23.3 + description: "Zur optimalen Versorgung von IT-Hardware, die \xFCber zwei Netzteile\ + \ verf\xFCgt, SOLLTE ab der Niederspannungshauptverteilung f\xFCr die IT-Betriebsbereiche\ + \ eine zweiz\xFCgige sogenannte A-B-Versorgung aufgebaut werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a23 + ref_id: INF.2.A23.4 + description: "Einander Redundanz gebende Leitungen SOLLTEN \xFCber getrennte\ + \ Trassen verlegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A24 + name: "Einsatz von Video\xFCberwachungsanlagen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + ref_id: INF.2.A24.1 + description: "Die Zutrittskontrolle und die Einbruchmeldung SOLLTEN durch Video\xFC\ + berwachungsanlagen erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + ref_id: INF.2.A24.2 + description: "Eine Video\xFCberwachung SOLLTE in das gesamte Sicherheitskonzept\ + \ eingebettet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + ref_id: INF.2.A24.3 + description: Bei der Planung, Konzeption und eventuellen Auswertung von Videoaufzeichnungen + MUSS der Datenschutzbeauftragte immer mit einbezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + ref_id: INF.2.A24.4 + description: "Die f\xFCr eine Video\xFCberwachung ben\xF6tigten zentralen Technikkomponenten\ + \ SOLLTEN in einer geeigneten Umgebung gesch\xFCtzt aufgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a24 + ref_id: INF.2.A24.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Video\xFC\ + berwachungsanlage korrekt funktioniert und ob die mit dem oder der Datenschutzbeauftragten\ + \ abgestimmten Blickwinkel eingehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A25 + name: Redundante Auslegung von unterbrechungsfreien Stromversorgungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a25 + ref_id: INF.2.A25.1 + description: USV-Systeme SOLLTEN modular und so aufgebaut sein, dass der Ausfall + durch ein redundantes Modul unterbrechungsfrei kompensiert wird. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a25 + ref_id: INF.2.A25.2 + description: "Sofern f\xFCr die IT-Betriebsbereiche eine zweiz\xFCgige sogenannte\ + \ A-B-Versorgung aufgebaut ist, SOLLTE jeder der beiden Strompfade mit einem\ + \ eigenst\xE4ndigen USV-System ausgestattet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A26 + name: Redundante Auslegung von Netzersatzanlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a26 + ref_id: INF.2.A26.1 + description: Netzersatzanlagen SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a26 + ref_id: INF.2.A26.2 + description: "Hinsichtlich der Wartung M\xDCSSEN auch redundante NEAs entsprechend\ + \ INF.2.A14 Einsatz einer Netzersatzanlage behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A28 + name: "Einsatz von h\xF6herwertigen Gefahrenmeldeanlagen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a28 + ref_id: INF.2.A28.1 + description: "F\xFCr Rechenzentrumsbereiche mit erh\xF6htem Schutzbedarf SOLLTEN\ + \ ausschlie\xDFlich Gefahrenmeldeanlagen der VdS-Klasse C (gem\xE4\xDF VDS-Richtlinie\ + \ 2311) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A29 + name: "Vermeidung und \xDCberwachung nicht erforderlicher Leitungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.1 + description: "In einem Rechenzentrum D\xDCRFEN NUR Leitungen verlegt werden,\ + \ die der unmittelbaren Versorgung der im Rechenzentrum aufgebauten Technik\ + \ (in der Regel IT- und gegebenenfalls K\xFChltechnik) dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.2 + description: "Ist es aus baulichen Gr\xFCnden unabwendbar, Leitungen durch das\ + \ Rechenzentrum zu f\xFChren, um andere Bereiche als die des Rechenzentrums\ + \ zu versorgen, MUSS dies einschlie\xDFlich Begr\xFCndung dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.3 + description: "Die Risiken, die von solchen Leitungen ausgehen, M\xDCSSEN durch\ + \ geeignete Ma\xDFnahmen minimiert werden, z. B. durch Einhausung und \xDC\ + berwachung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.4 + description: "Durch Serverr\xE4ume d\xFCrfen vorgenannte Leitungen gef\xFChrt\ + \ werden, ohne zu begr\xFCnden, warum dies unabwendbar ist, diese M\xDCSSEN\ + \ aber genauso behandelt werden, wie f\xFCr das Rechenzentrum beschrieben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.5 + description: "Meldungen aus der \xDCberwachung der Leitungen M\xDCSSEN unverz\xFC\ + glich hinsichtlich der Gef\xE4hrdungsrelevanz gepr\xFCft und bewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a29 + ref_id: INF.2.A29.6 + description: "Gegenma\xDFnahmen M\xDCSSEN entsprechend der erkannten Gef\xE4\ + hrdungsrelevanz zeitgerecht umgesetzt werden (siehe auch INF.2.A13 Planung\ + \ und Installation von Gefahrenmeldeanlagen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2 + ref_id: INF.2.A30 + name: "Anlagen zur, L\xF6schung oder Vermeidung von Br\xE4nden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.2.a30 + ref_id: INF.2.A30.1 + description: "Ein Rechenzentrum SOLLTE mit einer automatischen L\xF6sch- oder\ + \ Brandvermeidungsanlage ausgestattet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + assessable: false + depth: 1 + ref_id: INF.5 + name: "Raum sowie Schrank f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A1 + name: Planung der Raumabsicherung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1 + ref_id: INF.5.A1.1 + description: "F\xFCr einen Raum f\xFCr technische Infrastruktur M\xDCSSEN angemessene\ + \ technische und organisatorische Vorgaben definiert und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1 + ref_id: INF.5.A1.2 + description: "Dabei MUSS das f\xFCr den Raum zu erreichende Schutzniveau ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a1 + ref_id: INF.5.A1.3 + description: "Bei der Planung M\xDCSSEN sowohl gesetzliche Regelungen und Vorschriften\ + \ als auch potenzielle Gef\xE4hrdungen durch Umwelteinfl\xFCsse, Einbruch\ + \ und Sabotage beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A2 + name: "Lage und Gr\xF6\xDFe des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a2 + ref_id: INF.5.A2.1 + description: "Der Raum f\xFCr technische Infrastruktur DARF KEIN Durchgangsraum\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a2 + ref_id: INF.5.A2.2 + description: "Es MUSS sichergestellt sein, dass ausreichend Fl\xE4che f\xFC\ + r Fluchtwege und Arbeitsfl\xE4che vorhanden ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A3 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3 + ref_id: INF.5.A3.1 + description: "Der Raum f\xFCr technische Infrastruktur MUSS gegen unberechtigten\ + \ Zutritt gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3 + ref_id: INF.5.A3.2 + description: "Es MUSS geregelt werden, welche Personen f\xFCr welchen Zeitraum,\ + \ f\xFCr welche Bereiche und zu welchem Zweck den Raum betreten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3 + ref_id: INF.5.A3.3 + description: "Dabei MUSS sichergestellt sein, dass keine unn\xF6tigen oder zu\ + \ weitreichenden Zutrittsrechte vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a3 + ref_id: INF.5.A3.4 + description: "Alle Zutritte zum Raum f\xFCr technische Infrastruktur SOLLTEN\ + \ von der Zutrittskontrolle individuell erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A4 + name: Schutz vor Einbruch + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a4 + ref_id: INF.5.A4.1 + description: "Der Raum MUSS vor Einbruch gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a4 + ref_id: INF.5.A4.2 + description: "Je nach erforderlichem Sicherheitsniveau des Raumes f\xFCr technische\ + \ Infrastruktur SOLLTEN geeignete raumbildende Teile wie W\xE4nde, Decken\ + \ und B\xF6den sowie Fenster und T\xFCren mit entsprechenden Widerstandsklassen\ + \ nach DIN EN 1627 ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A5 + name: "Vermeidung sowie Schutz vor elektromagnetischen St\xF6rfeldern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a5 + ref_id: INF.5.A5.1 + description: "Elektromagnetische Felder M\xDCSSEN in unmittelbarer N\xE4he zum\ + \ Raum f\xFCr technische Infrastruktur vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a5 + ref_id: INF.5.A5.2 + description: "Ein ausreichender Abstand zu gro\xDFen Maschinen wie z. B. Aufzugsmotoren\ + \ MUSS eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A6 + name: Minimierung von Brandlasten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a6 + ref_id: INF.5.A6.1 + description: "Brandlasten innerhalb und in der direkten Umgebung des Raumes\ + \ f\xFCr technische Infrastruktur M\xDCSSEN auf ein Minimum reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a6 + ref_id: INF.5.A6.2 + description: "Auf brennbare Materialien f\xFCr raumbildende Teile MUSS verzichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A7 + name: Verhinderung von Zweckentfremdung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a7 + ref_id: INF.5.A7.1 + description: "Der Raum f\xFCr technische Infrastruktur DARF NICHT zweckentfremdet\ + \ werden, z. B. als Abstellraum oder Putzmittellager." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A8 + name: Vermeidung von unkontrollierter elektrostatischer Entladung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a8 + ref_id: INF.5.A8.1 + description: "Im Raum f\xFCr technische Infrastruktur SOLLTE ein ableitf\xE4\ + higer Fu\xDFbodenbelag nach DIN EN 14041 verlegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A9 + name: Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a9 + ref_id: INF.5.A9.1 + description: "Das Stromversorgungsnetz, \xFCber das der Raum f\xFCr technische\ + \ Infrastruktur und die daran angeschlossenen Endger\xE4te versorgt werden,\ + \ MUSS als TN-S-System errichtet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A10 + name: Einhaltung der Lufttemperatur und -Feuchtigkeit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10 + ref_id: INF.5.A10.1 + description: "Es SOLLTE sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit\ + \ im Raum f\xFCr technische Infrastruktur innerhalb der Grenzen liegen, die\ + \ in den Datenbl\xE4ttern der darin betriebenen Ger\xE4te genannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10 + ref_id: INF.5.A10.2 + description: "Daf\xFCr SOLLTE eine geeignete raumlufttechnische Anlage eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a10 + ref_id: INF.5.A10.3 + description: Diese SOLLTE ausreichend dimensioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A11 + name: "Vermeidung von Leitungen mit gef\xE4hrdenden Fl\xFCssigkeiten und Gasen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a11 + ref_id: INF.5.A11.1 + description: "Im Raum f\xFCr technische Infrastruktur SOLLTE es nur Leitungen\ + \ geben, die f\xFCr den Betrieb der Technik im Raum unbedingt erforderlich\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a11 + ref_id: INF.5.A11.2 + description: "Leitungen wie Abwasserleitungen, Frischwasserleitungen, Gas- und\ + \ Heizungsrohre sowie Leitungen f\xFCr Treibstoff oder Ferndampf SOLLTEN NICHT\ + \ durch den Raum gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A12 + name: "Schutz vor versehentlicher Besch\xE4digung von Zuleitungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a12 + ref_id: INF.5.A12.1 + description: "Zuleitungen au\xDFerhalb des Raumes f\xFCr technische Infrastruktur\ + \ SOLLTEN gegen versehentliche Besch\xE4digung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A13 + name: "Schutz vor Sch\xE4digung durch Brand und Rauchgase" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13 + ref_id: INF.5.A13.1 + description: "Unabh\xE4ngig von den f\xFCr den Raum geltenden baurechtlichen\ + \ Brandschutzvorgaben SOLLTEN alle raumbildenden Teile sowie T\xFCren und\ + \ Fenster gleichwertig rauchdicht sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13 + ref_id: INF.5.A13.2 + description: "Sie SOLLTEN Feuer und Rauch f\xFCr mindestens 30 Minuten standhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a13 + ref_id: INF.5.A13.3 + description: Brandlasten im Bereich der Leitungstrassen SOLLTEN vermieden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A14 + name: Minimierung von Brandgefahren aus Nachbarbereichen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a14 + ref_id: INF.5.A14.1 + description: "Der Raum SOLLTE NICHT in unmittelbarer N\xE4he zu anderen R\xE4\ + umlichkeiten mit brennbaren Materialien liegen, deren Menge \xFCber eine b\xFC\ + rotypische Nutzung hinaus geht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A15 + name: "Blitz- und \xDCberspannungsschutz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15 + ref_id: INF.5.A15.1 + description: "Es SOLLTE ein Blitz- und \xDCberspannungsschutzkonzept nach dem\ + \ Prinzip der energetischen Koordination (siehe DIN EN 62305) erstellt und\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15 + ref_id: INF.5.A15.2 + description: "Der Raum f\xFCr technische Infrastruktur SOLLTE mindestens der\ + \ Blitzschutzzone 2 (LPZ 2) zugeordnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a15 + ref_id: INF.5.A15.3 + description: "Die Blitz- und \xDCberspannungsschutzeinrichtungen SOLLTEN regelm\xE4\ + \xDFig und anlassbezogen auf ihre Funktion \xFCberpr\xFCft und, falls erforderlich,\ + \ ersetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A16 + name: Einsatz einer unterbrechungsfreien Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.1 + description: "Es SOLLTE gepr\xFCft werden, welche Ger\xE4te an eine USV angeschlossen\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.2 + description: "Falls eine USV erforderlich ist, SOLLTE die St\xFCtzzeit der USV\ + \ so ausgelegt sein, dass alle versorgten Komponenten sicher herunterfahren\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.3 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Batterien von USV-Anlagen\ + \ altern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.4 + description: "Bei relevanten \xC4nderungen SOLLTE \xFCberpr\xFCft werden, ob\ + \ die vorhandenen USV-Anlagen noch ausreichend dimensioniert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.5 + description: Die Batterie der USV SOLLTE im erforderlichen Temperaturbereich + gehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.6 + description: "Die USV SOLLTE regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ + higkeit getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a16 + ref_id: INF.5.A16.7 + description: "Daf\xFCr SOLLTEN die vom herstellenden Unternehmen vorgesehenen\ + \ Wartungsintervalle eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A17 + name: Inspektion und Wartung der Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17 + ref_id: INF.5.A17.1 + description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ + \ SOLLTEN mindestens die vom herstellenden Unternehmen empfohlenen oder durch\ + \ Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion und Wartung\ + \ eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17 + ref_id: INF.5.A17.2 + description: "Kabel- und Rohrdurchf\xFChrungen durch brand- und rauchabschnittbegrenzende\ + \ W\xE4nde SOLLTEN daraufhin gepr\xFCft werden, ob die Schotten die f\xFC\ + r den jeweiligen Einsatzzweck erforderliche Zulassung haben und unversehrt\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a17 + ref_id: INF.5.A17.3 + description: "Inspektionen und Wartungsarbeiten M\xDCSSEN geeignet protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A18 + name: "Lage des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18 + ref_id: INF.5.A18.1 + description: "Der Raum f\xFCr technische Infrastruktur SOLLTE so im Geb\xE4\ + ude angeordnet werden, dass er weder internen noch externen Gef\xE4hrdungen\ + \ wie z. B. Regen, Wasser oder Abwasser ausgesetzt ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18 + ref_id: INF.5.A18.2 + description: "In oberirdischen Geschossen SOLLTE darauf geachtet werden, dass\ + \ der Raum nicht durch Sonneneinstrahlung erw\xE4rmt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a18 + ref_id: INF.5.A18.3 + description: "Wird der Raum im obersten Geschoss des Geb\xE4udes untergebracht,\ + \ SOLLTE sichergestellt werden, dass kein Wasser \xFCber das Dach eindringen\ + \ kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A19 + name: "Redundanz des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19 + ref_id: INF.5.A19.1 + description: Der Raum SOLLTE redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19 + ref_id: INF.5.A19.2 + description: "Beide R\xE4ume SOLLTEN eine eigene Elektrounterverteilung erhalten,\ + \ die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a19 + ref_id: INF.5.A19.3 + description: "Beide R\xE4ume SOLLTEN unterschiedlichen Brandabschnitten zugeordnet\ + \ sein und, sofern erforderlich, jeweils \xFCber eine eigene raumlufttechnische\ + \ Anlage verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A20 + name: Erweiterter Schutz vor Einbruch und Sabotage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.1 + description: Der Raum SOLLTE fensterlos sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.2 + description: "Sind dennoch Fenster vorhanden, SOLLTEN sie je nach Geschossh\xF6\ + he gegen Eindringen von au\xDFen angemessen gesichert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.3 + description: "Gibt es neben Fenstern und T\xFCren weitere betriebsnotwendige\ + \ \xD6ffnungen, wie z. B. L\xFCftungskan\xE4le, SOLLTEN diese gleichwertig\ + \ zur Raumh\xFClle gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.4 + description: "Es SOLLTEN Einbruchmeldeanlagen nach VdS Klasse C (gem\xE4\xDF\ + \ VdS-Richtlinie 2311) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.5 + description: "Alle erforderlichen T\xFCren, Fenster und sonstige gesch\xFCtzte\ + \ \xD6ffnungen SOLLTEN \xFCber die Einbruchmeldeanlage auf Verschluss, Verriegelung\ + \ und Durchbruch \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.6 + description: Vorhandene Fenster SOLLTEN stets geschlossen sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.7 + description: "Die Widerstandsklasse von raumbildenden Teilen, Fenstern und T\xFC\ + ren SOLLTE dem Sicherheitsbedarf des Raumes angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a20 + ref_id: INF.5.A20.8 + description: "Die Qualit\xE4t der Schl\xF6sser, Schlie\xDFzylinder und Schutzbeschl\xE4\ + ge SOLLTE der Widerstandsklasse der T\xFCr entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A22 + name: Redundante Auslegung der Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22 + ref_id: INF.5.A22.1 + description: "Die Stromversorgung SOLLTE durchg\xE4ngig vom Niederspannungshauptverteiler\ + \ (NSHV) bis zum Verbraucher im Raum f\xFCr technische Infrastruktur zweiz\xFC\ + gig sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22 + ref_id: INF.5.A22.2 + description: Diese Stromversorgungen SOLLTEN sich in getrennten Brandabschnitten + befinden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a22 + ref_id: INF.5.A22.3 + description: Der NSHV SOLLTE betriebsredundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A23 + name: Netzersatzanlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23 + ref_id: INF.5.A23.1 + description: "Die Energieversorgung der Institution SOLLTE um eine Netzersatzanlage\ + \ (NEA) erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23 + ref_id: INF.5.A23.2 + description: "Der Betriebsmittelvorrat einer NEA SOLLTE regelm\xE4\xDFig kontrolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23 + ref_id: INF.5.A23.3 + description: "Die NEA SOLLTE au\xDFerdem regelm\xE4\xDFig gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a23 + ref_id: INF.5.A23.4 + description: "Bei diesen Wartungen SOLLTEN auch Belastungs- und Funktionstests\ + \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A24 + name: "L\xFCftung und K\xFChlung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24 + ref_id: INF.5.A24.1 + description: "Die L\xFCftungs- und K\xFChltechnik SOLLTE betriebsredundant ausgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24 + ref_id: INF.5.A24.2 + description: "Es SOLLTE sichergestellt werden, dass diese Anlagen regelm\xE4\ + \xDFig gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a24 + ref_id: INF.5.A24.3 + description: Bei sehr hohem Schutzbedarf SOLLTE auch eine Wartungsredundanz + vorhanden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A25 + name: "Erh\xF6hter Schutz vor Sch\xE4digung durch Brand und Rauchgase" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.1 + description: "Raumbildende Teile sowie T\xFCren, Fenster und L\xFCftungsklappen\ + \ SOLLTEN Feuer und Rauch f\xFCr mindestens 90 Minuten standhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.2 + description: "Die Zuleitungen SOLLTEN einen Funktionserhalt von mindestens 90\ + \ Minuten gew\xE4hrleisten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.3 + description: "Bei sehr hohem Schutzbedarf SOLLTE die Raumh\xFClle wie ein eigener\ + \ Brandabschnitt ausgebildet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.4 + description: "In vorhandenen L\xFCftungskan\xE4len SOLLTEN Brandschutzklappen\ + \ eingebaut werden, die \xFCber Rauchmelder angesteuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.5 + description: "Trassen SOLLTEN bis zum Eintritt in den Raum in getrennten Brandabschnitten\ + \ gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.6 + description: "Bei sehr hohem Schutzbedarf SOLLTEN ein Brandfr\xFChesterkennungssystem\ + \ und eine automatische L\xF6schanlage vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.7 + description: Brand- und Rauchmelder SOLLTEN an die Brandmelderzentrale angeschlossen + sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a25 + ref_id: INF.5.A25.8 + description: "Das Brandfr\xFChesterkennungssystem und die automatische L\xF6\ + schanlage SOLLTEN an die zweiz\xFCgige Stromversorgung mit USV und NEA angebunden\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5 + ref_id: INF.5.A26 + name: "\xDCberwachung der Energieversorgung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.5.a26 + ref_id: INF.5.A26.1 + description: "Es SOLLTEN geeignete \xDCberwachungseinrichtungen eingebaut und\ + \ betrieben werden, die unzul\xE4ssig hohe Str\xF6me auf dem Schutzleitersystem\ + \ und damit auf Leitungsschirmen sowie potenziell st\xF6rende Oberschwingungen\ + \ erfassen und an geeigneter Stelle zur Nachverfolgung und Behebung anzeigen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + assessable: false + depth: 1 + ref_id: INF.6 + name: "Datentr\xE4gerarchiv" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A1 + name: "Handfeuerl\xF6scher" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1 + ref_id: INF.6.A1.1 + description: "Im Brandfall M\xDCSSEN im Datentr\xE4gerarchiv geeignete Handfeuerl\xF6\ + scher leicht erreichbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1 + ref_id: INF.6.A1.2 + description: "Diese Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig inspiziert\ + \ und gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a1 + ref_id: INF.6.A1.3 + description: "Mitarbeitende, die in der N\xE4he eines Datentr\xE4gerarchivs\ + \ t\xE4tig sind, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A2 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.1 + description: "Der Zutritt zum Datentr\xE4gerarchiv DARF NUR f\xFCr befugte Personen\ + \ m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.2 + description: "Der Zutritt MUSS auf ein Mindestma\xDF an Mitarbeitenden reduziert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.3 + description: Daher MUSS der Zutritt geregelt und kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.4 + description: "F\xFCr die Zutrittskontrolle MUSS ein Konzept entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.5 + description: "Die darin festgelegten Ma\xDFnahmen f\xFCr die Zutrittskontrolle\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie noch wirksam\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a2 + ref_id: INF.6.A2.6 + description: "Um es zu erschweren bzw. zu verhindern, dass eine Zutrittskontrolle\ + \ umgangen wird, MUSS der komplette Raum einen dem Schutzbedarf gen\xFCgenden\ + \ mechanischen Widerstand aufweisen, der keinesfalls unter RC2 (gem\xE4\xDF\ + \ DIN EN 1627) liegen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A3 + name: Schutz vor Staub und anderer Verschmutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3 + ref_id: INF.6.A3.1 + description: "Es MUSS sichergestellt werden, dass die Datentr\xE4ger im Datentr\xE4\ + gerarchiv ausreichend vor Staub und Verschmutzung gesch\xFCtzt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3 + ref_id: INF.6.A3.2 + description: "Die Anforderungen daf\xFCr M\xDCSSEN bereits in der Planungsphase\ + \ analysiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a3 + ref_id: INF.6.A3.3 + description: "Es MUSS in Datentr\xE4gerarchiven ein striktes Rauchverbot eingehalten\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A4 + name: "Geschlossene Fenster und abgeschlossene T\xFCren" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4 + ref_id: INF.6.A4.1 + description: "In einem Datentr\xE4gerarchiv SOLLTEN, wenn m\xF6glich, keine\ + \ Fenster vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4 + ref_id: INF.6.A4.2 + description: "Gibt es dennoch Fenster, M\xDCSSEN diese beim Verlassen des Datentr\xE4\ + gerarchivs geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4 + ref_id: INF.6.A4.3 + description: "Ebenso MUSS beim Verlassen die T\xFCr verschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a4 + ref_id: INF.6.A4.4 + description: "Auch Brand- und Rauchschutzt\xFCren M\xDCSSEN geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A5 + name: "Verwendung von Schutzschr\xE4nken" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a5 + ref_id: INF.6.A5.1 + description: "Die Datentr\xE4ger und Medien in Datentr\xE4gerarchiven SOLLTEN\ + \ in geeigneten Schutzschr\xE4nken gelagert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A6 + name: "Vermeidung von wasserf\xFChrenden Leitungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6 + ref_id: INF.6.A6.1 + description: "In Datentr\xE4gerarchiven SOLLTEN unn\xF6tige wasserf\xFChrende\ + \ Leitungen generell vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6 + ref_id: INF.6.A6.2 + description: "Sind dennoch Wasserleitungen durch das Datentr\xE4gerarchiv hinweg\ + \ verlegt, SOLLTEN diese regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ + \ ob sie noch dicht sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6 + ref_id: INF.6.A6.3 + description: "Zudem SOLLTEN Vorkehrungen getroffen werden, um fr\xFChzeitig\ + \ erkennen zu k\xF6nnen, ob dort Wasser austritt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a6 + ref_id: INF.6.A6.4 + description: "F\xFCr ein Datentr\xE4gerarchiv mit Hochverf\xFCgbarkeitsanforderungen\ + \ SOLLTE es Reaktionspl\xE4ne geben, die genau vorgeben, wer im Fall eines\ + \ Lecks informiert werden muss und wie grunds\xE4tzlich vorzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A7 + name: Einhaltung von klimatischen Bedingungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7 + ref_id: INF.6.A7.1 + description: "Es SOLLTE sichergestellt werden, dass die zul\xE4ssigen H\xF6\ + chst- und Tiefstwerte f\xFCr Temperatur und Luftfeuchtigkeit sowie der Schwebstoffanteil\ + \ in der Raumluft im Datentr\xE4gerarchiv eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7 + ref_id: INF.6.A7.2 + description: "Die Werte von Lufttemperatur und -feuchte SOLLTEN mehrmals im\ + \ Jahr f\xFCr die Dauer von einer Woche aufgezeichnet und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7 + ref_id: INF.6.A7.3 + description: Dabei festgestellte Abweichungen vom Sollwert SOLLTEN zeitnah behoben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a7 + ref_id: INF.6.A7.4 + description: "Die eingesetzten Klimager\xE4te SOLLTEN regelm\xE4\xDFig gewartet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A8 + name: "Sichere T\xFCren und Fenster" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8 + ref_id: INF.6.A8.1 + description: "Sicherungsma\xDFnahmen wie Fenster, T\xFCren und W\xE4nde SOLLTEN\ + \ bez\xFCglich Einbruch, Brand und Rauch gleichwertig und angemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8 + ref_id: INF.6.A8.2 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine geeignete Widerstandsklasse\ + \ gem\xE4\xDF der DIN EN 1627 erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8 + ref_id: INF.6.A8.3 + description: "Alle Sicherheitst\xFCren und -fenster SOLLTEN regelm\xE4\xDFig\ + \ daraufhin \xFCberpr\xFCft werden, ob sie noch entsprechend funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a8 + ref_id: INF.6.A8.4 + description: "Der komplette Raum SOLLTE einen dem Schutzbedarf gen\xFCgenden\ + \ mechanischen Widerstand aufweisen, der keinesfalls unter RC3 (gem\xE4\xDF\ + \ DIN EN 1627) liegt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6 + ref_id: INF.6.A9 + name: Gefahrenmeldeanlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9 + ref_id: INF.6.A9.1 + description: "Es SOLLTE in Datentr\xE4gerarchiven eine angemessene Gefahrenmeldeanlage\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9 + ref_id: INF.6.A9.2 + description: "Diese Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ + \ gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.6.a9 + ref_id: INF.6.A9.3 + description: Es SOLLTE sichergestellt sein, dass diejenigen Personen, die Gefahrenmeldungen + empfangen in der Lage sind, auf Alarmmeldungen angemessen zu reagieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + assessable: false + depth: 1 + ref_id: INF.7 + name: "B\xFCroarbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A1 + name: "Geeignete Auswahl und Nutzung eines B\xFCroraumes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1 + ref_id: INF.7.A1.1 + description: "Es D\xDCRFEN NUR geeignete R\xE4ume als B\xFCror\xE4ume genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1 + ref_id: INF.7.A1.2 + description: "Die B\xFCror\xE4ume M\xDCSSEN f\xFCr den Schutzbedarf bzw. das\ + \ Schutzniveau der dort verarbeiteten Informationen angemessen ausgew\xE4\ + hlt und ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1 + ref_id: INF.7.A1.3 + description: "B\xFCror\xE4ume mit Publikumsverkehr D\xDCRFEN NICHT in sicherheitsrelevanten\ + \ Bereichen liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a1 + ref_id: INF.7.A1.4 + description: "F\xFCr den Arbeitsplatz und f\xFCr die Einrichtung eines B\xFC\ + roraumes MUSS die Arbeitsst\xE4ttenverordnung umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A2 + name: "Geschlossene Fenster und abgeschlossene T\xFCren" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.1 + description: "Wenn Mitarbeitende ihre B\xFCror\xE4ume verlassen, SOLLTEN alle\ + \ Fenster geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.2 + description: "Befinden sich vertrauliche Informationen in dem B\xFCroraum, M\xDC\ + SSEN beim Verlassen die T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.3 + description: Dies SOLLTE insbesondere in Bereichen mit Publikumsverkehr beachtet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.4 + description: Die entsprechenden Vorgaben SOLLTEN in einer geeigneten Anweisung + festgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.5 + description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung + nachzukommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.6 + description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob beim\ + \ Verlassen des B\xFCroraums die Fenster geschlossen und, wenn notwendig,\ + \ die T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a2 + ref_id: INF.7.A2.7 + description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ + ren tats\xE4chlich geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A3 + name: Fliegende Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a3 + ref_id: INF.7.A3.1 + description: "Die Stromanschl\xFCsse und Zug\xE4nge zum Datennetz im B\xFCroraum\ + \ SOLLTEN sich dort befinden, wo die IT-Ger\xE4te aufgestellt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a3 + ref_id: INF.7.A3.2 + description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ + \ abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A5 + name: Ergonomischer Arbeitsplatz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + ref_id: INF.7.A5.1 + description: "Die Arbeitspl\xE4tze aller Mitarbeitenden SOLLTEN ergonomisch\ + \ eingerichtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + ref_id: INF.7.A5.2 + description: "Vor allem die Bildschirme SOLLTEN so aufgestellt werden, dass\ + \ ein ergonomisches und ungest\xF6rtes Arbeiten m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + ref_id: INF.7.A5.3 + description: "Dabei SOLLTE beachtet werden, dass Bildschirme nicht durch Unbefugte\ + \ eingesehen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + ref_id: INF.7.A5.4 + description: Die Bildschirmarbeitsschutzverordnung (BildscharbV) SOLLTE umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a5 + ref_id: INF.7.A5.5 + description: "Alle Arbeitspl\xE4tze SOLLTEN f\xFCr eine m\xF6glichst fehlerfreie\ + \ Bedienung der IT individuell verstellbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A6 + name: "Aufger\xE4umter Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6 + ref_id: INF.7.A6.1 + description: "Alle Mitarbeitenden SOLLTEN dazu angehalten werden, seinen Arbeitsplatz\ + \ aufger\xE4umt zu hinterlassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6 + ref_id: INF.7.A6.2 + description: "Die Mitarbeitenden SOLLTEN daf\xFCr sorgen, dass Unbefugte keine\ + \ vertraulichen Informationen einsehen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6 + ref_id: INF.7.A6.3 + description: "Alle Mitarbeitenden SOLLTEN ihre Arbeitspl\xE4tze sorgf\xE4ltig\ + \ \xFCberpr\xFCfen und sicherstellen, dass keine vertraulichen Informationen\ + \ frei zug\xE4nglich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a6 + ref_id: INF.7.A6.4 + description: "Vorgesetzte SOLLTEN Arbeitspl\xE4tze sporadisch daraufhin \xFC\ + berpr\xFCfen, ob dort schutzbed\xFCrftige Informationen offen zugreifbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A7 + name: "Geeignete Aufbewahrung dienstlicher Unterlagen und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a7 + ref_id: INF.7.A7.1 + description: "Die Mitarbeitenden SOLLTEN angewiesen werden, vertrauliche Dokumente\ + \ und Datentr\xE4ger verschlossen aufzubewahren, wenn sie nicht verwendet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a7 + ref_id: INF.7.A7.2 + description: "Daf\xFCr SOLLTEN geeignete Beh\xE4ltnisse in den B\xFCror\xE4\ + umen oder in deren Umfeld aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7 + ref_id: INF.7.A8 + name: Einsatz von Diebstahlsicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a8 + ref_id: INF.7.A8.1 + description: "Wenn der Zutritt zu den R\xE4umen nicht geeignet beschr\xE4nkt\ + \ werden kann, SOLLTEN f\xFCr alle IT-Systeme Diebstahlsicherungen eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.7.a8 + ref_id: INF.7.A8.2 + description: In Bereichen mit Publikumsverkehr SOLLTEN Diebstahlsicherungen + benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + assessable: false + depth: 1 + ref_id: INF.8 + name: "H\xE4uslicher Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A1 + name: "Sichern von dienstlichen Unterlagen am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1 + ref_id: INF.8.A1.1 + description: "Dienstliche Unterlagen und Datentr\xE4ger M\xDCSSEN am h\xE4uslichen\ + \ Arbeitsplatz so aufbewahrt werden, dass keine unbefugten Personen darauf\ + \ zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1 + ref_id: INF.8.A1.2 + description: "Daher M\xDCSSEN ausreichend verschlie\xDFbare Beh\xE4ltnisse (z.\ + \ B. abschlie\xDFbare Rollcontainer oder Schr\xE4nke) vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a1 + ref_id: INF.8.A1.3 + description: "Alle Mitarbeitenden M\xDCSSEN ihre Arbeitspl\xE4tze aufger\xE4\ + umt hinterlassen und sicherstellen, dass keine vertraulichen Informationen\ + \ frei zug\xE4nglich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A2 + name: "Transport von Arbeitsmaterial zum h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2 + ref_id: INF.8.A2.1 + description: "Es MUSS geregelt werden, welche Datentr\xE4ger und Unterlagen\ + \ am h\xE4uslichen Arbeitsplatz bearbeitet und zwischen der Institution und\ + \ dem h\xE4uslichen Arbeitsplatz hin und her transportiert werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2 + ref_id: INF.8.A2.2 + description: "Generell M\xDCSSEN Datentr\xE4ger und andere Unterlagen sicher\ + \ transportiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a2 + ref_id: INF.8.A2.3 + description: "Diese Regelungen M\xDCSSEN den Mitarbeitenden in geeigneter Weise\ + \ bekanntgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A3 + name: "Schutz vor unbefugtem Zutritt am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3 + ref_id: INF.8.A3.1 + description: "Den Mitarbeitenden MUSS mitgeteilt werden, welche Regelungen und\ + \ Ma\xDFnahmen zum Einbruchs- und Zutrittsschutz zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3 + ref_id: INF.8.A3.2 + description: "So MUSS darauf hingewiesen werden, Fenster zu schlie\xDFen und\ + \ T\xFCren abzuschlie\xDFen, wenn der h\xE4usliche Arbeitsplatz nicht besetzt\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3 + ref_id: INF.8.A3.3 + description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ + \ Zeit den h\xE4uslichen Arbeitsplatz betreten und auf dienstliche IT und\ + \ Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a3 + ref_id: INF.8.A3.4 + description: "Diese Ma\xDFnahmen M\xDCSSEN in sinnvollen zeitlichen Abst\xE4\ + nden \xFCberpr\xFCft werden, mindestens aber, wenn sich die h\xE4uslichen\ + \ Verh\xE4ltnisse \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A4 + name: "Geeignete Einrichtung des h\xE4uslichen Arbeitsplatzes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4 + ref_id: INF.8.A4.1 + description: "Der h\xE4usliche Arbeitsplatz SOLLTE durch eine geeignete Raumaufteilung\ + \ von den privaten Bereichen der Wohnung getrennt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4 + ref_id: INF.8.A4.2 + description: "Der h\xE4usliche Arbeitsplatz SOLLTE mit B\xFCrom\xF6beln eingerichtet\ + \ sein, die ergonomischen Anforderungen entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4 + ref_id: INF.8.A4.3 + description: "Ebenso SOLLTE der h\xE4usliche Arbeitsplatz durch geeignete technische\ + \ Sicherungsma\xDFnahmen vor Einbr\xFCchen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a4 + ref_id: INF.8.A4.4 + description: "Die Schutzma\xDFnahmen SOLLTEN an die \xF6rtlichen Gegebenheiten\ + \ und den vorliegenden Schutzbedarf angepasst sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A5 + name: "Entsorgung von vertraulichen Informationen am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5 + ref_id: INF.8.A5.1 + description: Vertrauliche Informationen SOLLTEN sicher entsorgt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5 + ref_id: INF.8.A5.2 + description: "In einer speziellen Sicherheitsrichtlinie SOLLTE daher geregelt\ + \ werden, wie schutzbed\xFCrftiges Material zu beseitigen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a5 + ref_id: INF.8.A5.3 + description: "Es SOLLTEN die daf\xFCr ben\xF6tigten Entsorgungsm\xF6glichkeiten\ + \ verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8 + ref_id: INF.8.A6 + name: "Umgang mit dienstlichen Unterlagen bei erh\xF6htem Schutzbedarf am h\xE4\ + uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a6 + ref_id: INF.8.A6.1 + description: "Wenn Informationen mit erh\xF6htem Schutzbedarf bearbeitet werden,\ + \ SOLLTE \xFCberlegt werden, von einem h\xE4uslichen Arbeitsplatz ganz abzusehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.8.a6 + ref_id: INF.8.A6.2 + description: "Anderenfalls SOLLTE der h\xE4usliche Arbeitsplatz durch erweiterte,\ + \ hochwertige technische Sicherungsma\xDFnahmen gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + assessable: false + depth: 1 + ref_id: INF.9 + name: Mobiler Arbeitsplatz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A1 + name: Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.1 + description: "Die Institution MUSS ihren Mitarbeitenden vorschreiben, wie mobile\ + \ Arbeitspl\xE4tze in geeigneter Weise ausgew\xE4hlt und benutzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.2 + description: "Es M\xDCSSEN Eigenschaften definiert werden, die f\xFCr einen\ + \ mobilen Arbeitsplatz w\xFCnschenswert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.3 + description: "Es M\xDCSSEN aber auch Ausschlusskriterien definiert werden, die\ + \ gegen einen mobilen Arbeitsplatz sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.4 + description: 'Mindestens MUSS geregelt werden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.5 + description: "\u2022 unter welchen Arbeitsplatzbedingungen sch\xFCtzenswerte\ + \ Informationen bearbeitet werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.6 + description: "\u2022 wie sich Mitarbeitende am mobilen Arbeitsplatz vor ungewollter\ + \ Einsichtnahme Dritter sch\xFCtzen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.7 + description: "\u2022 ob eine permanente Netz- und Stromversorgung gegeben sein\ + \ muss sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a1 + ref_id: INF.9.A1.8 + description: "\u2022 welche Arbeitsplatzumgebungen komplett verboten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A2 + name: "Regelungen f\xFCr mobile Arbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.1 + description: "F\xFCr alle Arbeiten unterwegs MUSS geregelt werden, welche Informationen\ + \ au\xDFerhalb der Institution transportiert und bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.2 + description: Es MUSS zudem geregelt werden, welche Schutzvorkehrungen dabei + zu treffen sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.3 + description: "Dabei MUSS auch gekl\xE4rt werden, unter welchen Rahmenbedingungen\ + \ Mitarbeitende mit mobilen IT-Systemen auf interne Informationen ihrer Institution\ + \ zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.4 + description: "Die Mitnahme von IT-Komponenten und Datentr\xE4gern MUSS klar\ + \ geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.5 + description: "So MUSS festgelegt werden, welche IT-Systeme und Datentr\xE4ger\ + \ mitgenommen werden d\xFCrfen, wer diese mitnehmen darf und welche grundlegenden\ + \ Sicherheitsanforderungen dabei beachtet werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.6 + description: "Es MUSS zudem protokolliert werden, wann und von wem welche mobilen\ + \ Endger\xE4te au\xDFer Haus eingesetzt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.7 + description: "Die Benutzenden von mobilen Endger\xE4ten M\xDCSSEN f\xFCr den\ + \ Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen\ + \ sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.8 + description: "Sie M\xDCSSEN \xFCber die spezifischen Gef\xE4hrdungen und Ma\xDF\ + nahmen der von ihnen benutzten IT-Systeme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.9 + description: "Au\xDFerdem M\xDCSSEN sie dar\xFCber informiert werden, welche\ + \ Art von Informationen auf mobilen IT-Systemen verarbeitet werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.10 + description: "Alle Benutzenden M\xDCSSEN auf die geltenden Regelungen hingewiesen\ + \ werden, die von ihnen einzuhalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a2 + ref_id: INF.9.A2.11 + description: "Sie M\xDCSSEN entsprechend geschult werden" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A3 + name: Zutritts- und Zugriffsschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + ref_id: INF.9.A3.1 + description: "Den Mitarbeitenden MUSS bekannt gegeben werden, welche Regelungen\ + \ und Ma\xDFnahmen zum Einbruch- und Zutrittsschutz am mobilen Arbeitsplatz\ + \ zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + ref_id: INF.9.A3.2 + description: "Wenn der mobile Arbeitsplatz nicht besetzt ist, M\xDCSSEN Fenster\ + \ und T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + ref_id: INF.9.A3.3 + description: "Ist dies nicht m\xF6glich, z. B. im Zug, M\xDCSSEN die Mitarbeitenden\ + \ alle Unterlagen und IT-Systeme an sicherer Stelle verwahren oder mitf\xFC\ + hren, wenn sie abwesend sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + ref_id: INF.9.A3.4 + description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ + \ Zeit auf dienstliche IT und Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a3 + ref_id: INF.9.A3.5 + description: "Wird der Arbeitsplatz nur kurz verlassen, M\xDCSSEN die eingesetzten\ + \ IT-Systeme gesperrt werden, sodass sie nur nach erfolgreicher Authentisierung\ + \ wieder benutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A4 + name: Arbeiten mit fremden IT-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + ref_id: INF.9.A4.1 + description: "Die Institution MUSS regeln, wie Mitarbeitende mit institutionsfremden\ + \ IT-Systemen arbeiten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + ref_id: INF.9.A4.2 + description: "Alle mobilen Mitarbeitenden M\xDCSSEN \xFCber die Gefahren fremder\ + \ IT-Systeme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + ref_id: INF.9.A4.3 + description: "Die Regelungen M\xDCSSEN vorgeben, ob und wie sch\xFCtzenswerte\ + \ Informationen an fremden IT-Systemen bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + ref_id: INF.9.A4.4 + description: "Sie M\xDCSSEN zudem festlegen, wie verhindert wird, dass nicht\ + \ autorisierte Personen die Informationen einsehen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a4 + ref_id: INF.9.A4.5 + description: "Wenn Mitarbeitende mit fremden IT-Systemen arbeiten, MUSS grunds\xE4\ + tzlich sichergestellt sein, dass alle w\xE4hrenddessen entstandenen tempor\xE4\ + ren Daten gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A5 + name: Zeitnahe Verlustmeldung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a5 + ref_id: INF.9.A5.1 + description: "Mitarbeitende SOLLTEN ihrer Institution umgehend melden, wenn\ + \ Informationen, IT-Systeme oder Datentr\xE4ger verlorengegangen sind oder\ + \ gestohlen wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a5 + ref_id: INF.9.A5.2 + description: "Daf\xFCr SOLLTE es klare Meldewege und Ansprechpartner innerhalb\ + \ der Institution geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A6 + name: Entsorgung von vertraulichen Informationen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6 + ref_id: INF.9.A6.1 + description: Vertrauliche Informationen SOLLTEN auch unterwegs sicher entsorgt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6 + ref_id: INF.9.A6.2 + description: "Bevor ausgediente oder defekte Datentr\xE4ger und Dokumente vernichtet\ + \ werden, MUSS \xFCberpr\xFCft werden, ob sie sensible Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a6 + ref_id: INF.9.A6.3 + description: "Ist dies der Fall, M\xDCSSEN die Datentr\xE4ger und Dokumente\ + \ wieder mit zur\xFCcktransportiert werden und auf institutseigenem Wege entsorgt\ + \ oder vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A7 + name: "Rechtliche Rahmenbedingungen f\xFCr das mobile Arbeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a7 + ref_id: INF.9.A7.1 + description: "F\xFCr das mobile Arbeiten SOLLTEN arbeitsrechtliche und arbeitsschutzrechtliche\ + \ Rahmenbedingungen beachtet und geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a7 + ref_id: INF.9.A7.2 + description: "Alle relevanten Punkte SOLLTEN entweder durch Betriebsvereinbarungen\ + \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ + \ zwischen dem mobilen Mitarbeitenden und der Institution geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A8 + name: "Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8 + ref_id: INF.9.A8.1 + description: "Alle relevanten Sicherheitsanforderungen f\xFCr mobile Arbeitspl\xE4\ + tze SOLLTEN in einer f\xFCr die mobilen Mitarbeitenden verpflichtenden Sicherheitsrichtlinie\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8 + ref_id: INF.9.A8.2 + description: Sie SOLLTE zudem mit den bereits vorhandenen Sicherheitsrichtlinien + der Institution sowie mit allen relevanten Fachabteilungen abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8 + ref_id: INF.9.A8.3 + description: "Die Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze SOLLTE\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a8 + ref_id: INF.9.A8.4 + description: Die Mitarbeitenden der Institution SOLLTEN hinsichtlich der aktuellen + Sicherheitsrichtlinie sensibilisiert und geschult sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A9 + name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9 + ref_id: INF.9.A9.1 + description: "Bei tragbaren IT-Systemen und Datentr\xE4gern SOLLTE sichergestellt\ + \ werden, dass diese entsprechend den internen Richtlinien abgesichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9 + ref_id: INF.9.A9.2 + description: "Mobile IT-Systeme und Datentr\xE4ger SOLLTEN dabei verschl\xFC\ + sselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a9 + ref_id: INF.9.A9.3 + description: "Die kryptografischen Schl\xFCssel SOLLTEN getrennt vom verschl\xFC\ + sselten Ger\xE4t aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A10 + name: Einsatz von Diebstahlsicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10 + ref_id: INF.9.A10.1 + description: Bietet das verwendete IT-System eine Diebstahlsicherung, SOLLTE + sie benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10 + ref_id: INF.9.A10.2 + description: "Die Diebstahlsicherungen SOLLTEN stets dort eingesetzt werden,\ + \ wo ein erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ + \ sehr hoch ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10 + ref_id: INF.9.A10.3 + description: "Dabei SOLLTEN die Mitarbeitenden immer beachten, dass der Schutz\ + \ der auf den IT-Systemen gespeicherten Informationen meist einen h\xF6heren\ + \ Wert besitzt als die Wiederanschaffungskosten des IT-Systems betragen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a10 + ref_id: INF.9.A10.4 + description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahlsicherungen\ + \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A11 + name: Verbot der Nutzung unsicherer Umgebungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.1 + description: "Es SOLLTEN Kriterien f\xFCr die Arbeitsumgebung festgelegt werden,\ + \ die mindestens erf\xFCllt sein m\xFCssen, damit Informationen mit erh\xF6\ + htem Schutzbedarf mobil bearbeitet werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.2 + description: 'Die Kriterien SOLLTEN mindestens folgende Themenbereiche abdecken:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.3 + description: "\u2022 Einsicht und Zugriff durch Dritte," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.4 + description: "\u2022 geschlossene und, falls n\xF6tig, abschlie\xDFbare oder\ + \ bewachte R\xE4ume," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.5 + description: "\u2022 gesicherte Kommunikationsm\xF6glichkeiten sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a11 + ref_id: INF.9.A11.6 + description: "\u2022 eine ausreichende Stromversorgung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9 + ref_id: INF.9.A12 + name: Nutzung eines Bildschirmschutzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.9.a12 + ref_id: INF.9.A12.1 + description: "Wenn IT-Systeme an mobilen Arbeitspl\xE4tzen genutzt werden, SOLLTEN\ + \ die Mitarbeitenden einen Sichtschutz f\xFCr die Bildschirme der IT-Systeme\ + \ verwenden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + assessable: false + depth: 1 + ref_id: INF.10 + name: "Besprechungs-, Veranstaltungs- und Schulungsr\xE4ume" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A1 + name: "Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + umen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1 + ref_id: INF.10.A1.1 + description: "In den R\xE4umen vorhandene Ger\xE4tschaften M\xDCSSEN angemessen\ + \ gegen Diebstahl gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1 + ref_id: INF.10.A1.2 + description: "Zudem MUSS festgelegt werden, wer die in den R\xE4umen dauerhaft\ + \ vorhandenen IT- und sonstigen Systeme administriert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1 + ref_id: INF.10.A1.3 + description: "Es MUSS auch festgelegt werden, ob und unter welchen Bedingungen\ + \ von externen Personen mitgebrachte IT-Systeme verwenden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a1 + ref_id: INF.10.A1.4 + description: "Weiterhin MUSS festgelegt werden, ob und auf welche Netzzug\xE4\ + nge und TK-Schnittstellen externen Personen zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A3 + name: "Geschlossene Fenster und T\xFCren" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3 + ref_id: INF.10.A3.1 + description: "Die Fenster und T\xFCren der Besprechungs-, Veranstaltungs- und\ + \ Schulungsr\xE4ume M\xDCSSEN beim Verlassen verschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3 + ref_id: INF.10.A3.2 + description: "Bei R\xE4umlichkeiten, in denen sich IT-Systeme oder sch\xFCtzenswerte\ + \ Informationen befinden, M\xDCSSEN die T\xFCren beim Verlassen abgeschlossen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3 + ref_id: INF.10.A3.3 + description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die\ + \ Fenster und T\xFCren nach Verlassen der R\xE4ume verschlossen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a3 + ref_id: INF.10.A3.4 + description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ + ren tats\xE4chlich geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A4 + name: "Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4umen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4 + ref_id: INF.10.A4.1 + description: "Bei der Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + umen SOLLTE besonders die Lage der R\xE4ume ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4 + ref_id: INF.10.A4.2 + description: "Insbesondere R\xE4umlichkeiten, die oft zusammen mit oder ausschlie\xDF\ + lich von externen Personen genutzt werden, SOLLTEN NICHT in Geb\xE4udeteilen\ + \ liegen, in deren N\xE4he regelm\xE4\xDFig vertrauliche Informationen besprochen\ + \ und bearbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a4 + ref_id: INF.10.A4.3 + description: "Es SOLLTE f\xFCr jeden Raum festgelegt werden, wie vertraulich\ + \ die Informationen sein d\xFCrfen, die dort besprochen oder verarbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A5 + name: Fliegende Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a5 + ref_id: INF.10.A5.1 + description: "Die Stromanschl\xFCsse SOLLTEN sich dort befinden, wo Beamer,\ + \ Laptops oder andere elektronische Ger\xE4te aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a5 + ref_id: INF.10.A5.2 + description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ + \ abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A6 + name: "Einrichtung sicherer Netzzug\xE4nge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.1 + description: "Es SOLLTE sichergestellt werden, dass mitgebrachte IT-Systeme\ + \ nicht \xFCber das Datennetz mit internen IT-Systemen der Institution verbunden\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.2 + description: "Auf das LAN der Institution SOLLTEN ausschlie\xDFlich daf\xFC\ + r vorgesehene IT-Systeme zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.3 + description: "Ein Datennetz f\xFCr externe Personen SOLLTE vom LAN der Institution\ + \ getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.4 + description: "Netzzug\xE4nge SOLLTEN so eingerichtet sein, dass verhindert wird,\ + \ dass Dritte den internen Datenaustausch mitlesen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.5 + description: "Netzanschl\xFCsse in Besprechungs-, Veranstaltungs- oder Schulungsr\xE4\ + umen SOLLTEN abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.6 + description: "Es SOLLTE verhindert werden, dass IT-Systeme in Besprechungs-,\ + \ Veranstaltungs- und Schulungsr\xE4umen gleichzeitig eine Verbindung zum\ + \ Intranet und zum Internet aufbauen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a6 + ref_id: INF.10.A6.7 + description: "Au\xDFerdem SOLLTE die Stromversorgung aus einer Unterverteilung\ + \ heraus getrennt von anderen R\xE4umen aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A7 + name: "Sichere Konfiguration von Schulungs- und Pr\xE4sentationsrechnern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7 + ref_id: INF.10.A7.1 + description: "Dedizierte Schulungs- und Pr\xE4sentationsrechner SOLLTEN mit\ + \ einer Minimalkonfiguration versehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7 + ref_id: INF.10.A7.2 + description: "Es SOLLTE festgelegt sein, welche Anwendungen auf Schulungs- und\ + \ Pr\xE4sentationsrechnern in der jeweiligen Veranstaltung genutzt werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a7 + ref_id: INF.10.A7.3 + description: "Die Schulungs- und Pr\xE4sentationsrechner SOLLTEN nur an ein\ + \ separates, vom LAN der Institution getrenntes Datennetz angeschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A8 + name: "Erstellung eines Nutzungsnachweises f\xFCr R\xE4ume" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8 + ref_id: INF.10.A8.1 + description: "Je nach Nutzungsart der Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + ume SOLLTE ersichtlich sein, wer die R\xE4ume zu welchem Zeitpunkt genutzt\ + \ hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8 + ref_id: INF.10.A8.2 + description: "F\xFCr R\xE4umlichkeiten, in denen Schulungen an IT-Systemen oder\ + \ besonders vertrauliche Besprechungen durchgef\xFChrt werden, SOLLTEN ebenfalls\ + \ Nutzungsnachweise erbracht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a8 + ref_id: INF.10.A8.3 + description: "Es SOLLTE \xFCberlegt werden, f\xFCr R\xE4umlichkeiten, die f\xFC\ + r jeden Mitarbeitenden zug\xE4nglich sind, ebenfalls entsprechende Nutzungsnachweise\ + \ einzuf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10 + ref_id: INF.10.A9 + name: "Zur\xFCcksetzen von Schulungs- und Pr\xE4sentationsrechnern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a9 + ref_id: INF.10.A9.1 + description: "Es SOLLTE ein Verfahren festgelegt werden, um Schulungs- und Pr\xE4\ + sentationsrechner nach der Nutzung auf einen vorher definierten Zustand zur\xFC\ + ckzusetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.10.a9 + ref_id: INF.10.A9.2 + description: "Durch von Benutzenden durchgef\xFChrte \xC4nderungen SOLLTEN dabei\ + \ vollst\xE4ndig entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + assessable: false + depth: 1 + ref_id: INF.11 + name: Allgemeines Fahrzeug + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A1 + name: Planung und Beschaffung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.1 + description: Bevor Fahrzeuge beschafft werden, MUSS der Einsatzzweck geplant + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.2 + description: "Die funktionalen Anforderungen an die Fahrzeuge und insbesondere\ + \ die Anforderungen an die Informationssicherheit, sowie den Datenschutz der\ + \ verbauten IT-Komponenten M\xDCSSEN erhoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.3 + description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.4 + description: "\u2022 Einsatzszenarien der Fahrzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.5 + description: "\u2022 n\xE4here Einsatzumgebung der Fahrzeuge sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.6 + description: "\u2022 der gesamte Lebenszyklus der Fahrzeuge." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.7 + description: "Die Fahrzeuge M\xDCSSEN au\xDFerdem \xFCber angemessene Schlie\xDF\ + systeme verf\xFCgen, sofern die Fahrzeuge nicht durchgehend durch andere Ma\xDF\ + nahmen oder Regelungen gesichert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a1 + ref_id: INF.11.A1.8 + description: "W\xE4hrend der Planung SOLLTE ber\xFCcksichtigt werden, dass viele\ + \ Fahrzeuge Daten an die fahrzeugherstellenden Unternehmen und weitere Dritte\ + \ \xFCbermitteln k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A2 + name: Wartung, Inspektion und Updates + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.1 + description: "Die Fahrzeuge und die dazugeh\xF6renden IT-Komponenten M\xDCSSEN\ + \ nach den Vorgaben des herstellenden Unternehmens gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.2 + description: "Hierbei MUSS beachtet werden, dass die Intervalle der herk\xF6\ + mmlichen Wartung und von Updates der integrierten IT-Komponenten voneinander\ + \ abweichen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.3 + description: Es MUSS klar geregelt werden, wer in welcher Umgebung die Updates + installieren darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.4 + description: "Auch \u201EOver-the-Air\u201C (OTA) Updates M\xDCSSEN geregelt\ + \ eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.5 + description: "Wartungs- und Reparaturarbeiten M\xDCSSEN von befugtem und qualifiziertem\ + \ Personal in einer sicheren Umgebung durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.6 + description: "Dabei SOLLTE schon vor der Wartung gekl\xE4rt werden, wie mit\ + \ Fremdfirmen umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.7 + description: "Werden Fahrzeuge in fremden Institutionen gewartet, SOLLTE gepr\xFC\ + ft werden, ob alle nicht ben\xF6tigten, zum Fahrzeug dazugeh\xF6rigen portablen\ + \ IT-Systeme entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.8 + description: "Werden die Fahrzeuge wieder in den Einsatzbetrieb integriert,\ + \ MUSS mittels Checkliste gepr\xFCft werden, ob alle Beanstandungen und M\xE4\ + ngel auch behoben wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a2 + ref_id: INF.11.A2.9 + description: "Es MUSS auch gepr\xFCft werden, ob die vorhandenen IT-Komponenten\ + \ einsatzf\xE4hig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A3 + name: "Regelungen f\xFCr die Fahrzeugbenutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.1 + description: "F\xFCr alle T\xE4tigkeiten, die sich auf die Sicherheit der in\ + \ den Fahrzeugen verarbeiteten Informationen auswirken k\xF6nnen, MUSS vorher\ + \ geregelt werden, ob sie in den Fahrzeugen durchgef\xFChrt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.2 + description: "Hierbei MUSS klar geregelt werden, welche Informationen dabei\ + \ transportiert und bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.3 + description: "Erg\xE4nzend MUSS festgelegt werden, welche Schutzvorkehrungen\ + \ dabei zu treffen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.4 + description: "Dies MUSS f\xFCr jede Art von Information gelten, auch f\xFCr\ + \ Gespr\xE4che in den Fahrzeugen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.5 + description: "Es MUSS gekl\xE4rt werden, unter welchen Rahmenbedingungen Mitarbeitende\ + \ auf welche Art von Informationen ihrer Institution zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.6 + description: "Au\xDFerdem MUSS geregelt werden, in welchem Umfang Infotainmentsysteme,\ + \ Anwendungen und sonstige Services der Fahrzeuge genutzt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.7 + description: Des Weiteren MUSS festgelegt werden, wie Schnittstellen abzusichern + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a3 + ref_id: INF.11.A3.8 + description: "In bestehende Gesch\xE4fts- bzw. Dienstanweisungen MUSS beschrieben\ + \ werden, wie mitgef\xFChrte IT in den Fahrzeugen verwendet und aufbewahrt\ + \ werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A4 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4 + ref_id: INF.11.A4.1 + description: "Alle relevanten Sicherheitsanforderungen f\xFCr die IT innerhalb\ + \ der Fahrzeuge SOLLTEN in einer f\xFCr Mitarbeitende verpflichtenden Sicherheitsrichtlinie\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4 + ref_id: INF.11.A4.2 + description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ + \ bekannt sein und die Grundlage f\xFCr ihren Umgang mit Fahrzeugen darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4 + ref_id: INF.11.A4.3 + description: "In der Richtlinie SOLLTEN die Zust\xE4ndigkeiten f\xFCr einzelne\ + \ Aufgaben klar geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a4 + ref_id: INF.11.A4.4 + description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und anlassbezogen aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A5 + name: Erstellung einer Inventarliste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.1 + description: "F\xFCr jedes Fahrzeug SOLLTE eine Inventarliste \xFCber" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.2 + description: "\u2022 die im Fahrzeug fest verbauten oder zugeh\xF6rigen IT-Komponenten\ + \ (z. B. Handfunkger\xE4te bei Einsatzfahrzeugen)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.3 + description: "\u2022 die Fachverfahren, die auf den integrierten IT-Komponenten\ + \ ausgef\xFChrt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.4 + description: "\u2022 Handlungsanweisungen und Betriebsdokumentationen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.5 + description: "\u2022 die mit dem Infotainmentsystem gekoppelten Mobilger\xE4\ + te gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.6 + description: "Die Inventarliste SOLLTE regelm\xE4\xDFig und anlassbezogen aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.7 + description: "Dabei SOLLTE \xFCberpr\xFCft werden, ob noch alle inventarisierten\ + \ zum Fahrzeug geh\xF6renden IT-Komponenten vorhanden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a5 + ref_id: INF.11.A5.8 + description: "Zus\xE4tzlich SOLLTE anhand der Inventarliste \xFCberpr\xFCft\ + \ werden, ob keine mobilen Endger\xE4te unerlaubt mit dem Infotainmentsystem\ + \ gekoppelt worden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A6 + name: Festlegung von Handlungsanweisungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.1 + description: "F\xFCr alle wesentlichen Situationen, die die Informationssicherheit\ + \ von Fahrzeugen betreffen, SOLLTEN Handlungsanweisungen in Form von Checklisten\ + \ vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.2 + description: "Die Handlungsanweisungen SOLLTEN dabei in die Sicherheitsrichtlinie\ + \ integriert werden und in geeigneter Form als Checklisten verf\xFCgbar sein,\ + \ w\xE4hrend das Fahrzeug benutzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.3 + description: "Hierbei SOLLTE auch der Fall ber\xFCcksichtigt werden, dass das\ + \ Fahrzeug selbst gestohlen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.4 + description: 'Die Handlungsanweisungen SOLLTEN insbesondere nachfolgende Szenarien + behandeln:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.5 + description: "\u2022 Ausfall von IT-Komponenten der Fahrzeuge," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.6 + description: "\u2022 Notfallsituationen wie Unf\xE4lle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.7 + description: "\u2022 unerlaubtes Betreten der Fahrzeuge sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.8 + description: "\u2022 Diebstahl der Fahrzeuge oder darin abgelegter Gegenst\xE4\ + nde mit Relevanz f\xFCr die Informationssicherheit." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.9 + description: "Die Zust\xE4ndigkeiten f\xFCr die einzelnen Aufgaben SOLLTEN in\ + \ der Checkliste dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.10 + description: Die Anweisungen SOLLTEN von den Fahrzeugbenutzenden in den entsprechenden + Situationen angewendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a6 + ref_id: INF.11.A6.11 + description: Anhand der Checkliste SOLLTE dokumentiert werden, wie sie in diesen + Situationen vorgegangen sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A7 + name: "Sachgerechter Umgang mit Fahrzeugen und sch\xFCtzenswerten Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.1 + description: "Die Institution SOLLTE die Handlungsanweisungen zur Fahrzeugbenutzung\ + \ um Aspekte erg\xE4nzen, wann, wie und wo Fahrzeuge sachgerecht abgestellt\ + \ bzw. angedockt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.2 + description: "Hierbei SOLLTE prim\xE4r die Frage beantwortet werden, welche\ + \ Umgebungen die Fahrzeuge angemessenen vor unerlaubten Zutritt oder Sachbesch\xE4\ + digung sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.3 + description: "Des Weiteren SOLLTE hierbei ber\xFCcksichtigt werden, welche Informationen\ + \ und IT-Systeme in den Fahrzeugen aufbewahrt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.4 + description: "Ausreichende Ma\xDFnahmen zum Zutrittsschutz SOLLTEN ergriffen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.5 + description: Die Ladung der Fahrzeuge SOLLTE sicher verstaut werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.6 + description: "Es SOLLTE sichergestellt werden, dass sch\xFCtzenswerte Informationen\ + \ nicht von au\xDFerhalb der Fahrzeuge von Unbefugten eingesehen, mitgeh\xF6\ + rt oder entwendet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.7 + description: Die Mitarbeitenden SOLLTEN mit der grundlegenden Funktionsweise + der Fahrzeuge und den betreffenden IT-Komponenten vertraut gemacht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a7 + ref_id: INF.11.A7.8 + description: "Die Mitarbeitenden SOLLTEN auch \xFCber die bestehenden Sicherheitsrisiken\ + \ informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A8 + name: "Schutz vor witterungsbedingten Einfl\xFCssen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8 + ref_id: INF.11.A8.1 + description: "Fahrzeuge und die darin verbauten IT-Komponenten SOLLTEN vor witterungsbedingten\ + \ Einfl\xFCssen ausreichend gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8 + ref_id: INF.11.A8.2 + description: "Je nach Fahrzeugart, Einsatzort und Einsatzumgebung SOLLTEN zus\xE4\ + tzliche Schutzma\xDFnahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8 + ref_id: INF.11.A8.3 + description: "F\xFCr kurzfristig auftretende extreme Wettererscheinungen SOLLTEN\ + \ entsprechende Schutzma\xDFnahmen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a8 + ref_id: INF.11.A8.4 + description: "Diese Schutzma\xDFnahmen SOLLTEN in den Handlungsanweisungen zur\ + \ Fahrzeugbenutzung in Form von Checklisten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A9 + name: Sicherstellung der Versorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a9 + ref_id: INF.11.A9.1 + description: "Bevor Fahrzeuge eingesetzt werden, SOLLTE geplant werden, wie\ + \ diese mit Betriebsstoffen w\xE4hrend des Einsatzes versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a9 + ref_id: INF.11.A9.2 + description: "Die Fahrzeuge SOLLTEN dabei w\xE4hrend des Einsatzes immer ausreichend\ + \ mit Betriebsstoffen versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A10 + name: Aussonderung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a10 + ref_id: INF.11.A10.1 + description: "Werden Fahrzeuge ausgesondert, SOLLTEN keine sch\xFCtzenswerten\ + \ Informationen in den Fahrzeugen verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a10 + ref_id: INF.11.A10.2 + description: "Bevor Fahrzeuge endg\xFCltig ausgesondert werden, SOLLTE anhand\ + \ der Inventarliste gepr\xFCft werden, ob keine inventarisierten Gegenst\xE4\ + nde und dar\xFCber hinaus relevanten Gegenst\xE4nde zur\xFCckgelassen worden\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A11 + name: "Ersatzvorkehrungen bei Ausf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11 + ref_id: INF.11.A11.1 + description: "F\xFCr den Fall, dass Fahrzeuge oder Fahrzeugf\xFChrende ausfallen,\ + \ SOLLTEN innerhalb der Institution vorbereitende Ma\xDFnahmen getroffen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11 + ref_id: INF.11.A11.2 + description: "Abh\xE4ngig von der Bedeutung der Fahrzeuge SOLLTEN Ersatzfahrzeuge\ + \ bereitstehen oder alternativ ein Rahmenvertrag mit einer geeigneten Fremdinstitution\ + \ geschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a11 + ref_id: INF.11.A11.3 + description: "Zus\xE4tzlich dazu SOLLTEN Ersatzfahrzeugf\xFChrende verf\xFC\ + gbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A12 + name: Diebstahlsicherung bzw. Bewachung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12 + ref_id: INF.11.A12.1 + description: Eine Alarmanlage SOLLTE vorhanden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12 + ref_id: INF.11.A12.2 + description: "Bei Bodenfahrzeugen SOLLTE dar\xFCber hinaus eine Wegfahrsperre\ + \ vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12 + ref_id: INF.11.A12.3 + description: Wird das Fahrzeug verlassen, SOLLTEN die Alarmanlage und Wegfahrsperre + aktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a12 + ref_id: INF.11.A12.4 + description: Alternativ SOLLTEN die Fahrzeuge bewacht werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A13 + name: "Sch\xE4digende Fremdeinwirkung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a13 + ref_id: INF.11.A13.1 + description: "Je nach Art der Fahrzeuge SOLLTEN geeignete Ma\xDFnahmen ergriffen\ + \ werden, um die Fahrzeuge vor potentieller Fremdeinwirkung in der geplanten\ + \ Einsatzumgebung zu sch\xFCtzen, wie z. B. st\xF6renden Funkstrahlen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A14 + name: Schutz sensibler Informationen vor unbefugtem Zugriff und Kenntnisnahme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a14 + ref_id: INF.11.A14.1 + description: "Fahrzeuge und die dazugeh\xF6rigen IT-Komponenten SOLLTEN so abgesichert\ + \ werden, dass sensible Informationen durch Unbefugte nicht ausgelesen bzw.\ + \ manipuliert oder gel\xF6scht werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a14 + ref_id: INF.11.A14.2 + description: "Hierbei SOLLTEN die vorhandenen Schutzvorkehrungen der herstellenden\ + \ Unternehmen \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A15 + name: Physische Absicherung der Schnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a15 + ref_id: INF.11.A15.1 + description: "Alle physischen internen und externen Schnittstellen der Fahrzeuge\ + \ SOLLTEN physisch gegen unbefugte Benutzung und \xE4u\xDFere Einfl\xFCsse\ + \ abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A16 + name: "Brandl\xF6schanlage" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a16 + ref_id: INF.11.A16.1 + description: "Die Fahrzeuge SOLLTEN \xFCber eine Brandl\xF6schanlage verf\xFC\ + gen, die einen Brand von au\xDFen und innen l\xF6schen kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a16 + ref_id: INF.11.A16.2 + description: "Alternativ SOLLTEN geeignete Mittel zur Brandbek\xE4mpfung mitgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11 + ref_id: INF.11.A17 + name: "Netztrennung des In-Vehicle-Network mit einem Sonderfahrzeugnetz \xFC\ + ber Gateways" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + ref_id: INF.11.A17.1 + description: Generell SOLLTE die Institution sicherstellen, dass keine Informationen + unerlaubt und undefiniert zwischen + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + ref_id: INF.11.A17.2 + description: "\u2022 dem In-Vehicle-Network (IVN), das wiederum an die Netze\ + \ der fahrzeugherstellenden Unternehmen angebunden ist und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + ref_id: INF.11.A17.3 + description: "\u2022 den einsatzspezifischen IT-Komponenten ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + ref_id: INF.11.A17.4 + description: Hierzu SOLLTEN Gateways mit standardisierten Protokollen (z. B. + nach Standard CiA 447) eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.11.a17 + ref_id: INF.11.A17.5 + description: Die Gateways SOLLTEN dabei vom fahrzeugherstellenden Unternehmen + freigegeben sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + assessable: false + depth: 1 + ref_id: INF.12 + name: Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A1 + name: Auswahl geeigneter Kabeltypen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.1 + description: "Bei der Auswahl von Kabeltypen MUSS gepr\xFCft werden, welche\ + \ \xFCbertragungstechnischen Eigenschaften notwendig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.2 + description: "Die einschl\xE4gigen Normen und Vorschriften M\xDCSSEN beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.3 + description: "Auch die Umgebungsbedingungen im Betrieb und bei der Verlegung\ + \ M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.4 + description: "Hinsichtlich der Umgebungsbedingungen M\xDCSSEN die folgenden\ + \ Faktoren beachtet werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.5 + description: "\u2022 Temperaturen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.6 + description: "\u2022 Kabelwege," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.7 + description: "\u2022 Zugkr\xE4fte bei der Verlegung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.8 + description: "\u2022 die Art der Verlegung sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a1 + ref_id: INF.12.A1.9 + description: "\u2022 die Entfernung zwischen den Endpunkten und m\xF6glichen\ + \ St\xF6rquellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A2 + name: "Planung der Kabelf\xFChrung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + ref_id: INF.12.A2.1 + description: "Kabel, Kabelwege und Kabeltrassen M\xDCSSEN aus funktionaler und\ + \ aus physikalischer Sicht ausreichend dimensioniert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + ref_id: INF.12.A2.2 + description: "Dabei M\xDCSSEN k\xFCnftige Notwendigkeiten eingerechnet werden,\ + \ z. B. gen\xFCgend Platz f\xFCr m\xF6gliche technische Erweiterungen in Kabelkan\xE4\ + len und -trassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + ref_id: INF.12.A2.3 + description: "Bei der gemeinsamen F\xFChrung von IT- und Stromverkabelung in\ + \ einer Trasse MUSS das \xDCbersprechen zwischen den einzelnen Kabeln verhindert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + ref_id: INF.12.A2.4 + description: "Es MUSS darauf geachtet werden, dass die IT-Verkabelung und die\ + \ elektrotechnische Verkabelung mit dem normgerechten Trennungsabstand gef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a2 + ref_id: INF.12.A2.5 + description: "Erkennbare Gefahrenquellen M\xDCSSEN umgangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A3 + name: Fachgerechte Installation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.1 + description: "Die Installationsarbeiten der Verkabelung M\xDCSSEN fachkundig\ + \ und sorgf\xE4ltig erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.2 + description: "Bei der Installation M\xDCSSEN alle relevanten Normen beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.3 + description: "Die fachgerechte Ausf\xFChrung der Verkabelung MUSS durch eine\ + \ fachkundige Person in allen Phasen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.4 + description: "Bei Anlieferung des Materials MUSS gepr\xFCft werden, ob die richtigen\ + \ Kabel und Anschlusskomponenten geliefert wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.5 + description: "Es MUSS darauf geachtet werden, dass die Montage keine Besch\xE4\ + digungen verursacht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a3 + ref_id: INF.12.A3.6 + description: "Au\xDFerdem M\xDCSSEN die Kabelwege so gew\xE4hlt werden, dass\ + \ eine Besch\xE4digung der verlegten Kabel durch die normale Nutzung des Geb\xE4\ + udes ausgeschlossen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A4 + name: EMV-taugliche Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4 + ref_id: INF.12.A4.1 + description: "Die Stromversorgung MUSS EMV (Elektromagnetische Vertr\xE4glichkeit)\ + \ -tauglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4 + ref_id: INF.12.A4.2 + description: "Daf\xFCr MUSS das Stromverteilnetz als TN-S-System aufgebaut sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4 + ref_id: INF.12.A4.3 + description: "Bei Aufbau und Betrieb des Stromverteilnetzes M\xDCSSEN die in\ + \ den entsprechenden Normen empfohlenen Trennungsabst\xE4nde soweit wie m\xF6\ + glich eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a4 + ref_id: INF.12.A4.4 + description: "Vorkehrungen gegen Einstrahlungen von au\xDFen, Abstrahlung durch\ + \ die Stromleitung sowie zur Erkennung von Ausgleichsstr\xF6men M\xDCSSEN\ + \ getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A5 + name: "Anforderungsanalyse f\xFCr die Verkabelung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5 + ref_id: INF.12.A5.1 + description: "Grunds\xE4tzlich SOLLTEN die Anforderungen analysiert werden,\ + \ die Einfluss auf eine zukunftssichere, bedarfsgerechte und wirtschaftliche\ + \ Ausf\xFChrung der Verkabelung haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5 + ref_id: INF.12.A5.2 + description: "In dieser Anforderungsanalyse SOLLTE zun\xE4chst abgesch\xE4tzt\ + \ werden, wie die kurzfristige Nutzung der Verkabelung innerhalb der Institution\ + \ aussieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5 + ref_id: INF.12.A5.3 + description: "Darauf aufbauend SOLLTE die l\xE4ngerfristige Entwicklung der\ + \ Nutzung abgesch\xE4tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a5 + ref_id: INF.12.A5.4 + description: "Dar\xFCber hinaus M\xDCSSEN die Schutzziele der Verf\xFCgbarkeit,\ + \ Integrit\xE4t und Vertraulichkeit bei der Anforderungsanalyse f\xFCr die\ + \ Verkabelung mit betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A6 + name: Abnahme der Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.1 + description: "F\xFCr die Verkabelung SOLLTE es einen Abnahmeprozess geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.2 + description: "Verkabelungen SOLLTEN immer dann abgenommen werden, wenn alle\ + \ (gegebenenfalls im Rahmen eines Meilensteins) durchzuf\xFChrenden Aufgaben\ + \ abgeschlossen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.3 + description: "Die Ausf\xFChrenden SOLLTE hierf\xFCr die Aufgaben als abgeschlossen\ + \ und zur Abnahme bereit gemeldet haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.4 + description: "Au\xDFerdem SOLLTEN sich bei den Kontrollen durch die auftraggebende\ + \ Institution keine inakzeptablen M\xE4ngel gezeigt haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.5 + description: "Der Abnahmetermin SOLLTE so gew\xE4hlt werden, dass die Kontrollen\ + \ zur Abnahme in ausreichender Zeit vorbereitet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.6 + description: "Die auftragnehmende Institution MUSS sp\xE4testens zum Abnahmetermin\ + \ schriftlich belegen, dass s\xE4mtliche Normen und Vorschriften eingehalten\ + \ wurden, die f\xFCr das Gewerk gelten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.7 + description: "Bei der Abnahme MUSS der tats\xE4chliche Umfang der Leistungen\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.8 + description: "F\xFCr das Abnahmeprotokoll SOLLTE eine Checkliste vorbereitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.9 + description: Das Abnahmeprotokoll MUSS von den Teilnehmenden und Verantwortlichen + rechtsverbindlich unterzeichnet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a6 + ref_id: INF.12.A6.10 + description: Das Protokoll MUSS Bestandteil der internen Dokumentation der Verkabelung + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A7 + name: "\xDCberspannungsschutz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7 + ref_id: INF.12.A7.1 + description: "Jedes elektrisch leitende Netz SOLLTE gegen \xDCberspannungen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7 + ref_id: INF.12.A7.2 + description: "Hierf\xFCr MUSS ein entsprechendes \xDCberspannungsschutzkonzept\ + \ erstellt werden, das den g\xFCltigen Normen entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a7 + ref_id: INF.12.A7.3 + description: "Netzersatzanlagen (NEA) und unterbrechungsfreie Stromversorgungen\ + \ (USV) M\xDCSSEN in das \xDCberspannungsschutzkonzept aufgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A8 + name: "Entfernen und Deaktivieren nicht mehr ben\xF6tigter Kabel" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.1 + description: "Wenn Kabel nicht mehr ben\xF6tigt werden, SOLLTEN sie fachgerecht\ + \ und vollst\xE4ndig entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.2 + description: "Nachdem Kabel entfernt wurden, M\xDCSSEN die Brandschottungen\ + \ fachgerecht verschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.3 + description: "Kabel, die aktuell nicht mehr ben\xF6tigt werden, aber mit der\ + \ vorhandenen Technik sinnvoll als Reserve an Ort und Stelle verbleiben k\xF6\ + nnen, SOLLTEN in einem betriebsf\xE4higen Zustand erhalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.4 + description: "Solche Kabel M\xDCSSEN mindestens an den Endpunkten entsprechend\ + \ gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.5 + description: "Grunds\xE4tzlich SOLLTE eine \xDCbersicht \xFCber nicht mehr ben\xF6\ + tigte Kabel aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a8 + ref_id: INF.12.A8.6 + description: Aus der Dokumentation SOLLTE hervorgehen, welche Kabel entfernt + oder deaktiviert wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A9 + name: Brandschutz in Trassen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a9 + ref_id: INF.12.A9.1 + description: Trassen SOLLTEN ausreichend dimensioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a9 + ref_id: INF.12.A9.2 + description: "Trassen SOLLTEN \xFCber eine ausreichende Be- und Entl\xFCftung\ + \ verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A10 + name: Dokumentation und Kennzeichnung der Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.1 + description: "Eine Institution SOLLTE sicherstellen, dass sie f\xFCr ihre Verkabelung\ + \ sowohl \xFCber eine interne als auch eine externe Dokumentation verf\xFC\ + gt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.2 + description: Die interne Dokumentation MUSS alle Aufzeichnungen zur Installation + und zum Betrieb der Verkabelung enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.3 + description: "Die interne Dokumentation SOLLTE so umfangreich angefertigt und\ + \ gepflegt werden, dass der Betrieb und dessen Weiterentwicklung bestm\xF6\ + glich unterst\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.4 + description: "Die externe Dokumentation (Beschriftung von Anschl\xFCssen zur\ + \ Unterst\xFCtzung des Betriebs) der Verkabelung SOLLTE m\xF6glichst neutral\ + \ gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.5 + description: "Jede Ver\xE4nderung im Netz SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.6 + description: Eine Interims- oder Arbeitsversion der Dokumentation SOLLTE unmittelbar, + d. h. am Tag selbst angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.7 + description: "Die Stamm-Dokumentation MUSS sp\xE4testens 4 Wochen nach Abschluss\ + \ der jeweiligen Arbeiten aktualisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.8 + description: "Es SOLLTE gepr\xFCft werden, ob ein Dokumentenmanagement f\xFC\ + r die Dokumentation eingesetzt werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.9 + description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a10 + ref_id: INF.12.A10.10 + description: "S\xE4mtliche technischen Einrichtungen, die im Rahmen der Verkabelung\ + \ dokumentiert sind, M\xDCSSEN hinsichtlich der Dokumentationstreue sp\xE4\ + testens nach 4 Jahren gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A11 + name: Neutrale Dokumentation in den Verteilern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.1 + description: In jedem Verteiler SOLLTE es eine Dokumentation geben, die den + derzeitigen Stand von Rangierungen und Leitungsbelegungen wiedergibt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.2 + description: "Die Dokumentation im Verteiler MUSS ein sicheres Schalten erm\xF6\ + glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.3 + description: "Die Dokumentation im Verteiler SOLLTE m\xF6glichst neutral gehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.4 + description: "In der Dokumentation im Verteiler SOLLTEN nur bestehende und genutzte\ + \ Verbindungen sowie auflaufende Reservekabel aufgef\xFChrt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.5 + description: "Falls m\xF6glich, SOLLTEN keine Hinweise auf die Art gegeben werden,\ + \ wie Kabel genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.6 + description: "Es SOLLTEN nur solche Hinweise gegeben werden, die ausdr\xFCcklich\ + \ vorgeschrieben sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a11 + ref_id: INF.12.A11.7 + description: "Alle weitergehenden Informationen SOLLTEN in einer Revisionsdokumentation\ + \ aufgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A12 + name: Kontrolle elektrotechnischer Anlagen und bestehender Verbindungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + ref_id: INF.12.A12.1 + description: "Alle elektrischen Anlagen und Betriebsmittel SOLLTEN gem\xE4\xDF\ + \ DGUV Vorschrift 3, entsprechend den in \xA7 5 Pr\xFCfung genannten Durchf\xFC\ + hrungsanweisungen, regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + ref_id: INF.12.A12.2 + description: "Alle Unregelm\xE4\xDFigkeiten, die festgestellt werden, M\xDC\ + SSEN unverz\xFCglich dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + ref_id: INF.12.A12.3 + description: "Festgestellte Unregelm\xE4\xDFigkeiten M\xDCSSEN unverz\xFCglich\ + \ den zust\xE4ndigen Organisationseinheiten gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + ref_id: INF.12.A12.4 + description: "Die zust\xE4ndigen Organisationseinheiten M\xDCSSEN die festgestellten\ + \ Unregelm\xE4\xDFigkeiten so zeitnah beheben, dass eine Gef\xE4hrdung von\ + \ Personen ausgeschlossen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a12 + ref_id: INF.12.A12.5 + description: "Die Verf\xFCgbarkeit der elektrischen Anlagen und Betriebsmittel\ + \ MUSS hierbei im erforderlichen Ma\xDF sichergestellt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A13 + name: "Vermeidung elektrischer Z\xFCndquellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13 + ref_id: INF.12.A13.1 + description: "Die Nutzung privater Elektroger\xE4te innerhalb einer Institution\ + \ SOLLTE klar geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13 + ref_id: INF.12.A13.2 + description: "Alle Elektroger\xE4te M\xDCSSEN durch eine Elektrofachkraft gepr\xFC\ + ft und f\xFCr sicher befunden werden, bevor sie eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13 + ref_id: INF.12.A13.3 + description: "Die Verwendung von Steckdosenleisten SOLLTE soweit wie m\xF6glich\ + \ vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a13 + ref_id: INF.12.A13.4 + description: "Fehlende Steckdosen SOLLTEN durch eine Elektrofachkraft fachgerecht\ + \ nachger\xFCstet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A14 + name: A-B-Versorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a14 + ref_id: INF.12.A14.1 + description: "Es SOLLTE gepr\xFCft werden, ob anstelle einer einz\xFCgigen Stromversorgung\ + \ eine zweiz\xFCgige sogenannte A-B-Versorgung geschaffen werden soll, die\ + \ wichtige IT-Komponenten und andere Verbraucher versorgt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a14 + ref_id: INF.12.A14.2 + description: "Dabei SOLLTE die Funktionsf\xE4higkeit der Stromversorgung permanent\ + \ durch geeignete technische Einrichtungen \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A15 + name: Materielle Sicherung der Verkabelung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a15 + ref_id: INF.12.A15.1 + description: "F\xFCr alle R\xE4ume eines Geb\xE4udes, insbesondere in R\xE4\ + umen mit Publikumsverkehr sowie in un\xFCbersichtlichen Bereichen SOLLTE \xFC\ + berlegt werden, Kabel und Verteiler gegen unbefugte Zugriffe zu sichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a15 + ref_id: INF.12.A15.2 + description: "In jedem Fall SOLLTEN die Zahl und der Umfang derjenigen Stellen\ + \ m\xF6glichst gering gehalten werden, an denen Einrichtungen der Energieversorgung\ + \ und Zugangspunkte des Datennetzes f\xFCr Unbefugte zug\xE4nglich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A16 + name: Nutzung von Schranksystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a16 + ref_id: INF.12.A16.1 + description: "Elektrotechnische Anschl\xFCsse und -verteiler SOLLTEN in Schranksystemen\ + \ aufgestellt oder in diese eingebaut werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a16 + ref_id: INF.12.A16.2 + description: "Bei der Dimensionierung der Schranksysteme SOLLTE das erwartete\ + \ Wachstum f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12 + ref_id: INF.12.A17 + name: "Redundanzen f\xFCr die IT-Verkabelung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + ref_id: INF.12.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob eine redundante prim\xE4re IT-Verkabelung\ + \ geschaffen werden soll, die \xFCber unabh\xE4ngige Trassen gef\xFChrt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + ref_id: INF.12.A17.2 + description: "Ebenso SOLLTE gepr\xFCft werden, ob die Anschl\xFCsse an IT- oder\ + \ TK-Provider redundant ausgelegt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + ref_id: INF.12.A17.3 + description: "Bei hohen oder sehr hohen Verf\xFCgbarkeitsanforderungen SOLLTE\ + \ \xFCberlegt werden, in den relevanten Geb\xE4uden die Sekund\xE4r- und Terti\xE4\ + rverkabelung redundant auszulegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + ref_id: INF.12.A17.4 + description: "Dabei SOLLTEN redundant ausgelegte Teile der Sekund\xE4rverkabelung\ + \ in unterschiedlichen Brandabschnitten gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.12.a17 + ref_id: INF.12.A17.5 + description: "Wird eine redundante Verkabelung verwendet, SOLLTE deren Funktionsf\xE4\ + higkeit regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + assessable: false + depth: 1 + ref_id: INF.13 + name: "Technisches Geb\xE4udemanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A1 + name: "Beurteilung des Ist-Zustands bei der \xDCbernahme bestehender Geb\xE4\ + ude" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a1 + ref_id: INF.13.A1.1 + description: "Bei der \xDCbernahme von bestehenden Geb\xE4uden M\xDCSSEN die\ + \ im Geb\xE4ude installierten TGA-Anlagen, die Bausubstanz und Einrichtungen\ + \ sowie vorhandene Dokumentation erfasst und hinsichtlich ihres Zustands (Alter,\ + \ Supportstatus, Zukunftsf\xE4higkeit, Vollst\xE4ndigkeit der Dokumentation\ + \ etc.) beurteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A2 + name: "Regelung und Dokumentation von Verantwortlichkeiten und Zust\xE4ndigkeiten\ + \ im Geb\xE4ude" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.1 + description: "Da es in einem Geb\xE4ude meist unterschiedliche Verantwortlichkeiten\ + \ und Zust\xE4ndigkeiten f\xFCr verschiedene Bereiche gibt, M\xDCSSEN die\ + \ entsprechenden Rechte, Pflichten, Aufgaben, Kompetenzen und zugeh\xF6rigen\ + \ Prozesse geregelt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.2 + description: "Hierbei M\xDCSSEN auch die organisatorischen Strukturen im Geb\xE4\ + ude ber\xFCcksichtigt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.3 + description: "Insbesondere M\xDCSSEN alle Nachfrage- und betreibenden Organisationen\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.4 + description: "Wird das TGM durch eine externe Organisation betrieben, M\xDC\ + SSEN die zugeh\xF6rigen Rechte, Pflichten, Aufgaben und Kompetenzen gem\xE4\ + \xDF Baustein OPS.2.3 Nutzung von Outsourcing vertraglich festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.5 + description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege inklusive\ + \ Eskalation zwischen allen Beteiligten festgelegt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.6 + description: Auch die Koordination verschiedener betreibender Organisationen + MUSS geregelt und dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.7 + description: Der Zugriff auf die Dokumentation MUSS geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a2 + ref_id: INF.13.A2.8 + description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ + \ MUSS immer aktuell und verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A3 + name: "Dokumentation von Geb\xE4udeeinrichtungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3 + ref_id: INF.13.A3.1 + description: "Alle Geb\xE4udeeinrichtungen der TGA inklusive GA M\xDCSSEN dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3 + ref_id: INF.13.A3.2 + description: "Hierbei MUSS s\xE4mtliche, auch schon vorhandene, Dokumentation\ + \ zusammengef\xFChrt, aus dem Blickwinkel des TGM organisiert und um TGM-spezifische\ + \ Angaben erg\xE4nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3 + ref_id: INF.13.A3.3 + description: Der Zugriff auf die Dokumentation MUSS geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a3 + ref_id: INF.13.A3.4 + description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ + \ MUSS immer aktuell und verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + ref_id: INF.13.A4.1 + description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ + \ SOLLTE eine \xFCbergeordnete Sicherheitsrichtlinie f\xFCr TGM erstellt sowie\ + \ nachvollziehbar umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + ref_id: INF.13.A4.2 + description: "Aus dieser \xFCbergeordneten Sicherheitsrichtlinie SOLLTEN spezifische\ + \ Sicherheitsrichtlinien f\xFCr die verschiedenen Themenbereiche des TGM abgeleitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + ref_id: INF.13.A4.3 + description: "In der Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN nachvollziehbar\ + \ Anforderungen und Vorgaben beschrieben werden, wie das TGM umgesetzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + ref_id: INF.13.A4.4 + description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem\ + \ aktuellen Stand der Technik zu entsprechen und auch neueste Erkenntnisse\ + \ abdecken zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a4 + ref_id: INF.13.A4.5 + description: "Sie SOLLTE allen im Bereich TGM zust\xE4ndigen Mitarbeitenden\ + \ bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A5 + name: Planung des TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.1 + description: "Das TGM, die zugrundeliegende Infrastruktur und die zugeh\xF6\ + rigen Prozesse SOLLTEN geeignet geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.2 + description: Die Planung SOLLTE dabei mindestens eine detaillierte Anforderungsanalyse, + eine ausreichende Grobkonzeptionierung und eine Fein- und Umsetzungsplanung + umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.3 + description: Im Rahmen der Anforderungsanalyse SOLLTEN Anforderungen an TGM-Infrastruktur + und TGM-Prozesse spezifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.4 + description: "Dabei SOLLTEN alle wesentlichen Elemente f\xFCr das TGM ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.5 + description: "Auch SOLLTE die Sicherheitsrichtlinie f\xFCr das TGM beachtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.6 + description: Steht die Nachfrageorganisation zum Zeitpunkt der Planung noch + nicht fest, SOLLTEN im Rahmen einer universellen Planung zumindest grundlegende + Anforderungen erfasst werden, die dem Stand der Technik entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.7 + description: "F\xFCr die Anforderungsspezifikation SOLLTEN auch die Schnittstellen\ + \ der zu verwaltenden Systeme dokumentiert werden, z. B. um die Kompatibilit\xE4\ + t von TGM-L\xF6sung und zu verwaltenden Systemen zu gew\xE4hrleisten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.8 + description: "Au\xDFerdem SOLLTEN vor der Beauftragung von Dienstleistenden\ + \ oder vor der Anschaffung von Hard- oder Software der durch das TGM zu verwaltenden\ + \ Systeme die Anforderungen des TGM in einem Lastenheft des TGM spezifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.9 + description: "In diesem Lastenheft SOLLTE auch die Durchf\xFChrung von Tests\ + \ ber\xFCcksichtigt werden (siehe auch INF.13.A22 Durchf\xFChrung von Systemtests\ + \ im TGM)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.10 + description: "Wenn im TGM Funktionen der K\xFCnstlichen Intelligenz (KI) eingesetzt\ + \ werden, SOLLTE bei dem zust\xE4ndigen herstellenden Unternehmen angefragt\ + \ werden, ob und wie die Informationssicherheit hier angemessen ber\xFCcksichtigt\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.11 + description: "Die Grobkonzeptionierung SOLLTE gem\xE4\xDF INF.13.A6 Erstellung\ + \ eines TGM-Konzepts erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a5 + ref_id: INF.13.A5.12 + description: "In der Fein- und Umsetzungsplanung f\xFCr das TGM SOLLTEN alle\ + \ in der Sicherheitsrichtlinie und im TGM-Konzept adressierten Punkte ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A6 + name: Erstellung eines TGM-Konzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das TGM SOLLTE\ + \ ein TGM-Konzept erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das TGM" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.5 + description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ + \ von TGM-Komponenten zu Netzsegmenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.7 + description: "\u2022 Protokollierung von Ereignissen und administrativen Zugriffen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.8 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.9 + description: "\u2022 ben\xF6tigte Prozesse f\xFCr das TGM" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.10 + description: "\u2022 Bereitstellung von TGM-Informationen f\xFCr andere Betriebsbereiche" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.11 + description: "\u2022 Einbindung des TGM in die Notfallplanung Das TGM-Konzept\ + \ SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf gepr\xFCft und gegebenenfalls\ + \ aktualisiert werden, um dem aktuellen Stand der Technik zu entsprechen und\ + \ auch neue Erkenntnisse abdecken zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.12 + description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig ein Soll-Ist-Vergleich zwischen\ + \ den Vorgaben des Konzepts und dem aktuellen Zustand durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.13 + description: "Dabei SOLLTE insbesondere gepr\xFCft werden, ob die Systeme gem\xE4\ + \xDF den Vorgaben konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.14 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a6 + ref_id: INF.13.A6.15 + description: Abweichungen SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A7 + name: Erstellung eines Funkfrequenzkatasters + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + ref_id: INF.13.A7.1 + description: "Um Funkfrequenzen weitestgehend st\xF6rungsfrei nutzen zu k\xF6\ + nnen, SOLLTE ein Funkfrequenzkataster erstellt werden, dass die Systeme und\ + \ Nutzenden des Frequenzspektrums an den Standorten der Institution listet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + ref_id: INF.13.A7.2 + description: "Dabei SOLLTE bei einer potentiellen Nutzung von Frequenzen durch\ + \ unterschiedliche Systeme und Nutzende festgelegt werden, wer auf welchen\ + \ Frequenzen der Prim\xE4rnutzende ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + ref_id: INF.13.A7.3 + description: Dabei SOLLTE auch eine Abstimmung zwischen IT und TGM erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + ref_id: INF.13.A7.4 + description: "Wird in den Geb\xE4uden OT eingesetzt, SOLLTE auch hier eine Abstimmung\ + \ erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a7 + ref_id: INF.13.A7.5 + description: "Das Funkfrequenzkataster SOLLTE regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A8 + name: "Erstellung und Pflege eines Inventars f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8 + ref_id: INF.13.A8.1 + description: "F\xFCr die Dokumentation von Systemen, die durch das TGM verwaltet\ + \ werden, SOLLTE ein Inventar erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8 + ref_id: INF.13.A8.2 + description: "Das Inventar SOLLTE vollst\xE4ndig und aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8 + ref_id: INF.13.A8.3 + description: "Aus dem Inventar SOLLTEN f\xFCr alle Systeme Verantwortlichkeiten\ + \ und Zust\xE4ndigkeiten ersichtlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a8 + ref_id: INF.13.A8.4 + description: Auch die Elemente der TGM-Infrastruktur selbst SOLLTEN dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A9 + name: Regelung des Einsatzes von Computer-Aided Facility Management + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a9 + ref_id: INF.13.A9.1 + description: Wird ein Computer-Aided Facility Management-System (CAFM-System) + eingesetzt, SOLLTE dieser Einsatz umfassend geplant und konzeptioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a9 + ref_id: INF.13.A9.2 + description: "Werden im CAFM Prozesse abgebildet und unterst\xFCtzt, SOLLTEN\ + \ entsprechende Rollen und Berechtigungen definiert werden, insbesondere wenn\ + \ externe Dienstleistende an den Prozessen beteiligt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A10 + name: Regelung des Einsatzes von Building Information Modeling + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10 + ref_id: INF.13.A10.1 + description: "Soweit m\xF6glich SOLLTE Building Information Modeling (BIM) zur\ + \ digitalen Modellierung aller relevanten Geb\xE4udedaten eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10 + ref_id: INF.13.A10.2 + description: Bei der Verwendung von BIM SOLLTE der BIM-Projektabwicklungsplan + spezifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10 + ref_id: INF.13.A10.3 + description: Weiterhin SOLLTE die BIM-Architektur umfassend geplant und konzeptioniert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a10 + ref_id: INF.13.A10.4 + description: "Auch f\xFCr die BIM-Werkzeuge SOLLTE die Informationssicherheit\ + \ angemessen gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A11 + name: "Angemessene H\xE4rtung von Systemen im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + ref_id: INF.13.A11.1 + description: "Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben\ + \ werden, SOLLTEN angemessen geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + ref_id: INF.13.A11.2 + description: "Die H\xE4rtungsma\xDFnahmen SOLLTEN dokumentiert, regelm\xE4\xDF\ + ig und zus\xE4tzlich bei Bedarf \xFCberpr\xFCft und, falls erforderlich, angepasst\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + ref_id: INF.13.A11.3 + description: "F\xFCr alle Systeme des TGM sowie die Systeme, die durch das TGM\ + \ betrieben werden, SOLLTE bei der Beschaffung sichergestellt werden, dass\ + \ diese angemessen geh\xE4rtet werden k\xF6nnen und insbesondere sicherheitsrelevante\ + \ Updates f\xFCr die geplante Nutzungsdauer bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + ref_id: INF.13.A11.4 + description: "Systeme, f\xFCr die keine sicherheitsrelevanten Updates verf\xFC\ + gbar sind, SOLLTEN nach Bekanntwerden von Schwachstellen nicht mehr genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a11 + ref_id: INF.13.A11.5 + description: "Wenn dies nicht m\xF6glich ist, SOLLTEN die betroffenen Systeme\ + \ mit den Mitteln der Netzsegmentierung separiert und die Kommunikation kontrolliert\ + \ und reglementiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A12 + name: Sichere Konfiguration der TGM-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.1 + description: Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben + werden, SOLLTEN sicher konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.2 + description: Die Konfiguration SOLLTE mindestens vor Inbetriebnahme eines Systems + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.3 + description: "Konfigurations\xE4nderungen w\xE4hrend des Produktivbetriebs SOLLTEN\ + \ vor Aktivierung auf einer Testinstanz getestet oder nur im Vier-Augen-Prinzip\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.4 + description: "Die Konfiguration von Systemen SOLLTE gesichert werden, um ein\ + \ schnelles Wiedereinspielen einer fehlerfreien Version zu erm\xF6glichen\ + \ (Rollback)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.5 + description: "Rollback-Tests SOLLTEN auf einem Testsystem eingerichtet oder\ + \ w\xE4hrend Wartungsfenstern durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.6 + description: Die Konfigurationen SOLLTEN zentral gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.7 + description: "F\xFCr gleichartige Systeme, inklusive der Ger\xE4te der Automations-\ + \ und Feldebene (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe),\ + \ SOLLTE eine automatisierte Verteilung von Software-Updates und Konfigurationen\ + \ eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.8 + description: "Konfigurations\xE4nderungen SOLLTEN allen Beteiligten an Betriebs-\ + \ und Serviceprozessen (Entst\xF6rung, Rufbereitschaft, Wartungen etc.) bekannt\ + \ gemacht werden, insbesondere" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.9 + description: "\u2022 \xC4nderungen der Zugangsmechanismen oder der Passw\xF6\ + rter sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.10 + description: "\u2022 \xC4nderungen an Kommunikations- und Steuerparametern f\xFC\ + r die eingebundenen Systeme." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.11 + description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall beispielsweise\ + \ eine Wartungstechnikerin oder ein Wartungstechniker das System bedienen\ + \ bzw. parametrieren kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.12 + description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ + \ gepr\xFCft werden, ob die Systeme gem\xE4\xDF den Vorgaben konfiguriert\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.13 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a12 + ref_id: INF.13.A12.14 + description: Abweichungen von den Vorgaben SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A13 + name: "Sichere Anbindung von eingeschr\xE4nkt vertrauensw\xFCrdigen Systemen\ + \ im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a13 + ref_id: INF.13.A13.1 + description: "Eingeschr\xE4nkt vertrauensw\xFCrdige Systeme, die aus wichtigen\ + \ betrieblichen Gr\xFCnden im TGM eingebunden werden m\xFCssen, SOLLTEN \xFC\ + ber ein System angebunden werden, das die Kommunikation mit Hilfe von Firewall-Funktionen\ + \ kontrolliert und reglementiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a13 + ref_id: INF.13.A13.2 + description: Dieses System SOLLTE in der Verantwortlichkeit des TGM liegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A14 + name: "Ber\xFCcksichtigung spezieller Rollen und Berechtigungen im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a14 + ref_id: INF.13.A14.1 + description: "Im Rollen- und Berechtigungskonzept hinsichtlich des TGM SOLLTEN\ + \ sowohl Nachfrage- als auch betreibende Organisationen der TGM-Systeme und\ + \ der TGA-Systeme ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a14 + ref_id: INF.13.A14.2 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ + \ das TGM institutions\xFCbergreifend bereitgestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A15 + name: Schutz vor Schadsoftware im TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a15 + ref_id: INF.13.A15.1 + description: "K\xF6nnen auf einem System keine Virenschutzprogramme gem\xE4\xDF\ + \ Baustein OPS.1.1.4 Schutz vor Schadprogrammen ausgef\xFChrt werden, beispielsweise\ + \ aufgrund von knappen Ressourcen oder aufgrund von Echtzeitanforderungen,\ + \ SOLLTEN geeignete alternative Schutzverfahren eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a15 + ref_id: INF.13.A15.2 + description: "Jedes externe System und jeder externe Datentr\xE4ger SOLLTE vor\ + \ der Verbindung mit einem TGM-System und vor der Daten\xFCbertragung auf\ + \ Schadsoftware gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A16 + name: "Prozess f\xFCr \xC4nderungen im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + ref_id: INF.13.A16.1 + description: "\xC4nderungen SOLLTEN immer angek\xFCndigt und mit allen beteiligten\ + \ Gewerken (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe), Nachfrage-\ + \ und betreibenden Organisationen abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + ref_id: INF.13.A16.2 + description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Fall getroffen werden,\ + \ dass ein R\xFCckbau von \xC4nderungen mit fehlerhaftem Ergebnis nicht oder\ + \ nur mit hohem Aufwand m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + ref_id: INF.13.A16.3 + description: "Daher sollten im \xC4nderungsmanagement vor Ausf\xFChrung der\ + \ \xC4nderung Tests durchgef\xFChrt werden, die auch die F\xE4higkeit des\ + \ R\xFCckbaus beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + ref_id: INF.13.A16.4 + description: "F\xFCr die verschiedenen Typen von \xC4nderungen SOLLTE die jeweilige\ + \ Testtiefe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a16 + ref_id: INF.13.A16.5 + description: "Bei der Einf\xFChrung neuer Systeme und bei gro\xDFen \xC4nderungen\ + \ an bestehenden Systemen SOLLTE eine entsprechend hohe Testtiefe vorgesehen\ + \ werden (siehe INF.13.A22 Durchf\xFChrung von Systemtests im TGM)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A17 + name: Regelung von Wartungs- und Reparaturarbeiten im TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.1 + description: "Geb\xE4udeeinrichtungen SOLLTEN regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.2 + description: "Hierf\xFCr SOLLTE ein Wartungsplan erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.3 + description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- + und Reparaturarbeiten zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.4 + description: "Dabei SOLLTEN auch die Abh\xE4ngigkeiten der verschiedenen Gewerke\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.5 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wer f\xFCr die Wartung\ + \ oder Reparatur von Einrichtungen zust\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.6 + description: "Durchgef\xFChrte Wartungsarbeiten SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.7 + description: "Es SOLLTE zu jedem Zeitpunkt gew\xE4hrleistet werden, dass Wartungs-\ + \ und Reparaturarbeiten, die durch Dritte ausgef\xFChrt werden, kontrolliert,\ + \ ausschlie\xDFlich abgestimmt durchgef\xFChrt und abgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a17 + ref_id: INF.13.A17.8 + description: "Hierf\xFCr SOLLTEN interne Mitarbeitende der Haustechnik bestimmt\ + \ werden, die solche Wartungs- und Reparaturarbeiten autorisieren, beobachten,\ + \ gegebenenfalls unterst\xFCtzen und abnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A18 + name: Proaktive Instandhaltung im TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18 + ref_id: INF.13.A18.1 + description: "F\xFCr Systeme, die durch das TGM verwaltet werden, SOLLTE eine\ + \ angemessene proaktive Instandhaltung durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18 + ref_id: INF.13.A18.2 + description: "Hierf\xFCr SOLLTEN die regelm\xE4\xDFigen Wartungsintervalle je\ + \ System festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a18 + ref_id: INF.13.A18.3 + description: "Zus\xE4tzlich SOLLTE je System abgewogen werden, ob erg\xE4nzend\ + \ zur regelm\xE4\xDFigen Instandhaltung eine vorausschauende Instandhaltung\ + \ (engl. Predictive Maintenance) genutzt werden kann und in welchem Umfang\ + \ hierdurch die regelm\xE4\xDFigen Wartungsintervalle verl\xE4ngert werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A19 + name: "Konzeptionierung und Durchf\xFChrung des Monitorings im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.1 + description: "Es SOLLTE ein Konzept f\xFCr das Monitoring im TGM erstellt und\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.2 + description: "Darin SOLLTE spezifiziert werden, wie die durch das TGM zu verwaltenden\ + \ Systeme in ein m\xF6glichst einheitliches Monitoring eingebunden werden\ + \ k\xF6nnen und welche Werte \xFCberwacht werden sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.3 + description: "Hierf\xFCr SOLLTEN schon bei der Anforderungsanalyse erforderliche\ + \ Schnittstellen f\xFCr das Monitoring wichtiger Zust\xE4nde von Systemen\ + \ spezifiziert werden, die durch das TGM verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.4 + description: "Au\xDFerdem SOLLTEN auch die f\xFCr das TGM genutzten Systeme\ + \ in das Monitoring eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.5 + description: "Das Konzept SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ + \ gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen Stand\ + \ der Technik zu entsprechen und auch neueste Erkenntnisse abdecken zu k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a19 + ref_id: INF.13.A19.6 + description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A20 + name: Regelung des Ereignismanagements im TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20 + ref_id: INF.13.A20.1 + description: Im TGM auftretende Ereignisse SOLLTEN hinsichtlich ihrer Bedeutung + und ihres Einflusses kategorisiert, gefiltert und klassifiziert werden (englisch + Event Management). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20 + ref_id: INF.13.A20.2 + description: "F\xFCr die Ereignisse SOLLTEN Schwellwerte definiert werden, die\ + \ eine automatisierte Einstufung von Ereignissen erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a20 + ref_id: INF.13.A20.3 + description: "Je nach Klassifizierung der Ereignisse SOLLTEN entsprechende Ma\xDF\ + nahmen f\xFCr Monitoring, Alarmierung und Meldewege (Eskalation) sowie Ma\xDF\ + nahmen zur Protokollierung bestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A21 + name: Protokollierung im TGM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.1 + description: Ereignisse, die im Ereignismanagement entsprechend klassifiziert + wurden, SOLLTEN protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.2 + description: "Au\xDFerdem SOLLTEN f\xFCr die Systeme sicherheitsrelevante Ereignisse\ + \ protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.3 + description: Alle Konfigurationszugriffe sowie alle manuellen und automatisierten + Steuerungszugriffe SOLLTEN protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.4 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine vollumf\xE4ngliche Protokollierung\ + \ inklusive Metadaten und Inhalt der \xC4nderungen erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.5 + description: "Die Protokollierung SOLLTE auf einer zentralen Protokollierungsinstanz\ + \ zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.6 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a21 + ref_id: INF.13.A21.7 + description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A22 + name: "Durchf\xFChrung von Systemtests im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.1 + description: "Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ + \ SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4nderungen hinsichtlich\ + \ ihrer funktionalen und nicht-funktionalen Anforderungen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.2 + description: "Dabei SOLLTE auch das Soll- und Ist-Verhalten von Funktionen und\ + \ Einstellungen gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.3 + description: "Bei den nicht-funktionalen Anforderungen SOLLTEN auch Anforderungen\ + \ der Informationssicherheit getestet sowie zus\xE4tzlich bei Bedarf auch\ + \ Lasttests durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.4 + description: "F\xFCr die Tests SOLLTE eine Testspezifikation erstellt werden,\ + \ die eine Beschreibung der Testumgebung, der Testtiefe und der Testf\xE4\ + lle inklusive der Kriterien f\xFCr eine erfolgreiche Testdurchf\xFChrung enth\xE4\ + lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.5 + description: "Die Testdurchf\xFChrung SOLLTE in einem Testbericht dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a22 + ref_id: INF.13.A22.6 + description: "Testspezifikationen SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen\ + \ Stand der Technik zu entsprechen und auch neueste Erkenntnisse abdecken\ + \ zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A23 + name: Integration des TGM in das Schwachstellenmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.1 + description: "Systeme des TGM und die durch das TGM verwalteten Systeme SOLLTEN\ + \ fortlaufend hinsichtlich m\xF6glicher Schwachstellen \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.2 + description: "Hierf\xFCr SOLLTEN regelm\xE4\xDFig Informationen \xFCber bekanntgewordene\ + \ Schwachstellen eingeholt und entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.3 + description: "Hierbei SOLLTE auch die Konfiguration der Systeme dahingehend\ + \ \xFCberpr\xFCft werden, ob sie bekannt gewordene Schwachstellen beg\xFC\ + nstigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.4 + description: "Weiterhin SOLLTE entschieden werden, f\xFCr welche Systeme regelm\xE4\ + \xDFig oder zumindest bei Inbetriebnahme und bei gro\xDFen System\xE4nderungen\ + \ Schwachstellen-Scans durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.5 + description: "F\xFCr Schwachstellen-Scans SOLLTE die Scan-Tiefe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.6 + description: "Au\xDFerdem SOLLTE festgelegt werden, ob ein passiver oder ein\ + \ aktiver Scan durchgef\xFChrt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.7 + description: In Produktivumgebungen SOLLTEN passive Scans bevorzugt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a23 + ref_id: INF.13.A23.8 + description: "Aktive Scans SOLLTEN in Produktivumgebungen nur durchgef\xFChrt\ + \ werden, wenn sie notwendig sind und Personal hinzugezogen wird, das durch\ + \ den Scan bedingte, eventuell auftretende Fehler oder Ausf\xE4lle beheben\ + \ kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A24 + name: "Sicherstellung der Kontrolle \xFCber die Prozesse bei Cloud-Nutzung f\xFC\ + r das TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a24 + ref_id: INF.13.A24.1 + description: "Werden im TGM Cloud-basierte Dienste genutzt, SOLLTE die Kontrolle\ + \ \xFCber alle TGM-Prozesse im TGM verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a24 + ref_id: INF.13.A24.2 + description: Dies SOLLTE bei Nutzung eines Cloud-Dienstes vertraglich mit dem + anbietenden Unternehmen festgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A25 + name: "Aufbau einer Testumgebung f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a25 + ref_id: INF.13.A25.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr Systeme des TGM und\ + \ f\xFCr Systeme, die durch das TGM verwaltet werden, eine Testumgebung eingerichtet\ + \ werden, damit Hard- und Software vor der Inbetriebnahme und bei \xC4nderungen\ + \ getestet und Fehler im produktiven Betrieb reduziert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a25 + ref_id: INF.13.A25.2 + description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Umgang mit Systemen\ + \ spezifiziert werden, f\xFCr die keine Testumgebung aufgebaut werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A26 + name: Absicherung von BIM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a26 + ref_id: INF.13.A26.1 + description: "Werden in BIM auch sicherheitskritische Informationen erfasst,\ + \ SOLLTEN sowohl auf Ebene der BIM-Architektur als auch f\xFCr Implementierung\ + \ und Betrieb der BIM-L\xF6sung entsprechende Sicherheits- und H\xE4rtungsma\xDF\ + nahmen vorgesehen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a26 + ref_id: INF.13.A26.2 + description: "Die Absicherung SOLLTE ein versch\xE4rftes Rollen- und Berechtigungskonzept\ + \ sowie weitergehende Schutzma\xDFnahmen wie Verschl\xFCsselung, Segmentierung\ + \ und h\xF6herwertige Authentisierungsmechanismen, insbesondere eine 2-Faktor-Authentisierung,\ + \ beinhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A27 + name: "Einrichtung einer Private Cloud f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a27 + ref_id: INF.13.A27.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN Cloud-Dienste zum TGM in\ + \ einer Private Cloud On-Premises oder einer Private Cloud bei einem vertrauensw\xFC\ + rdigen Anbietenden positioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a27 + ref_id: INF.13.A27.2 + description: Der Einsatz einer Public Cloud SOLLTE vermieden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A28 + name: "Sichere Nutzung von K\xFCnstlicher Intelligenz im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28 + ref_id: INF.13.A28.1 + description: "Werden bei erh\xF6htem Schutzbedarf im TGM Funktionen der K\xFC\ + nstlichen Intelligenz (KI) genutzt, SOLLTE nur eine KI genutzt werden, die\ + \ nachweislich sicher ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28 + ref_id: INF.13.A28.2 + description: "Mindestens SOLLTE darauf geachtet werden, dass keine Daten in\ + \ Netze geleitet werden, die nicht zur eigenen Institution geh\xF6ren oder\ + \ nicht vertrauensw\xFCrdig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a28 + ref_id: INF.13.A28.3 + description: "F\xFCr Cloud-basierte KI-Dienste SOLLTEN \xFCber die Anforderungen\ + \ des Bausteins OPS.2.2 Cloud-Nutzung hinaus auch die Kriterien des AI Cloud\ + \ Service Compliance Criteria Catalogue (AIC4) des BSI ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A29 + name: Integration des TGM in ein SIEM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a29 + ref_id: INF.13.A29.1 + description: "Wird ein System f\xFCr das Security Information and Event Management\ + \ (SIEM) genutzt, SOLLTEN die Systeme des TGM und soweit m\xF6glich auch die\ + \ durch das TGM verwalteten Systeme entsprechend eingebunden werden, um system-\ + \ und anwendungs\xFCbergreifende sicherheitsrelevante Vorf\xE4lle erkennen\ + \ und analysieren zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13 + ref_id: INF.13.A30 + name: "Durchf\xFChrung von Penetrationstests im TGM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30 + ref_id: INF.13.A30.1 + description: "Um Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ + \ entsprechend abzusichern, SOLLTEN bedarfsorientiert Penetrationstests durchgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30 + ref_id: INF.13.A30.2 + description: "Mindestens SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4\ + nderungen in einer Testumgebung Penetrationstests durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.13.a30 + ref_id: INF.13.A30.3 + description: Werden im TGM Funktionen der KI genutzt, SOLLTEN diese in die Penetrationstests + einbezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + assessable: false + depth: 1 + ref_id: INF.14 + name: "Geb\xE4udeautomation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A1 + name: "Planung der Geb\xE4udeautomation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.1 + description: "F\xFCr die von der Geb\xE4udeautomation (GA) gesteuerten Gewerke\ + \ MUSS festgelegt werden, wie die GA sicher gestaltet werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.2 + description: "Die GA MUSS bereits bei der Planung von Neubau, Umbau, Erweiterung\ + \ und Sanierung eines Geb\xE4udes ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.3 + description: "Daher MUSS die GA in den Planungs- und Bauprozessen, auch in Verbindung\ + \ mit Building Information Modeling (BIM), f\xFCr alle GA-relevanten Komponenten\ + \ und TGA-Anlagen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.4 + description: "Im Rahmen der GA-Planung M\xDCSSEN die einzurichtenden GA-Systeme\ + \ spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.5 + description: "Es MUSS festgelegt werden, in welchem Umfang TGA-Anlagen \xFC\ + ber das GA-System automatisiert gesteuert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.6 + description: "Die GA SOLLTE so geplant werden, dass zur Kopplung und Integration\ + \ der TGA-Anlagen m\xF6glichst wenig unterschiedliche GA-Systeme sowie Kommunikationsprotokolle\ + \ und -schnittstellen genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.7 + description: Es SOLLTEN sichere und standardisierte Protokolle und Schnittstellen + eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.8 + description: "F\xFCr eine Entscheidung hinsichtlich der notwendigen Systeme,\ + \ Protokolle und Schnittstellen SOLLTE die erwartete Funktionalit\xE4t gegen\xFC\ + ber einem gegebenenfalls erh\xF6hten Aufwand f\xFCr Betriebs- und Informationssicherheit\ + \ abgewogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.9 + description: "Die Planung SOLLTE dokumentiert, regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf aktualisiert und dem Stand der Technik angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a1 + ref_id: INF.14.A1.10 + description: "Dar\xFCber hinaus SOLLTE die Planung regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf mit der aktuellen Konfiguration verglichen werden (Soll-Ist-Vergleich)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A2 + name: "Festlegung eines Inbetriebnahme- und Schnittstellenmanagements f\xFC\ + r die GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.1 + description: "Aufgrund der Vielzahl von TGA-Anlagen und Komponenten in Geb\xE4\ + uden, die in GA-Systemen angebunden werden, MUSS der Ablauf zur Inbetriebnahme\ + \ der involvierten TGA-Anlagen und GA-relevanten Komponenten aufeinander abgestimmt\ + \ und \xFCbergreifend festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.2 + description: "Dieser Ablauf MUSS koordiniert umgesetzt werden, um ein voll funktionsf\xE4\ + higes Geb\xE4ude zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.3 + description: "Ebenso M\xDCSSEN klare Schnittstellen zwischen den betreibenden\ + \ Organisationen der GA und der GA-relevanten Komponenten sowie den betreibenden\ + \ Organisationen der TGA-Anlagen definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.4 + description: "Inbetriebnahme- und Schnittstellenmanagement M\xDCSSEN dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.5 + description: "Sowohl regelm\xE4\xDFig als auch zus\xE4tzlich bei Bedarf M\xDC\ + SSEN die Festlegungen gepr\xFCft und gegebenenfalls nachjustiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a2 + ref_id: INF.14.A2.6 + description: "Insbesondere bei \xC4nderungen innerhalb der GA-Systeme M\xDC\ + SSEN die Festlegungen angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A3 + name: Sichere Anbindung von TGA-Anlagen und GA-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.1 + description: "F\xFCr alle TGA-Anlagen, GA-Systeme und GA-relevanten Komponenten\ + \ MUSS festgelegt werden, ob durch andere TGA-Anlagen, GA-Systeme oder GA-relevante\ + \ Komponenten Aktionen ausgel\xF6st werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.2 + description: "Falls eine solche Integration zul\xE4ssig ist, SOLLTE reglementiert\ + \ werden, welche automatisierten Aktionen durch welche Informationen eines\ + \ GA-Systems ausgel\xF6st werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.3 + description: Falls eine TGA-Anlage nicht in ein GA-System integriert werden + kann oder darf, diese jedoch an ein GA-System gekoppelt werden soll, MUSS + festgelegt werden, welche Informationen der TGA-Anlage an das GA-System gemeldet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.4 + description: "Sowohl die Integration von TGA-Anlagen in ein GA-System als auch\ + \ die r\xFCckwirkungsfreie Kopplung von TGA-Anlagen an GA-Systeme M\xDCSSEN\ + \ angemessen abgesichert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.5 + description: Ebenfalls MUSS die Anbindung von GA-Systemen untereinander angemessen + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.6 + description: "Hierzu M\xDCSSEN insbesondere die Ablauf- und Funktionsketten\ + \ innerhalb eines GA-Systems bzw. zwischen GA-Systemen angemessen geplant\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.7 + description: "Hierbei M\xDCSSEN alle \xDCberg\xE4nge zwischen Gewerken und Techniken\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.8 + description: "Diese Ablauf- und Funktionsketten M\xDCSSEN umfassend getestet\ + \ und bei Fehlverhalten nachjustiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.9 + description: "Die Festlegungen M\xDCSSEN vollumf\xE4nglich dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.10 + description: "Sowohl regelm\xE4\xDFig als auch erg\xE4nzend bei Bedarf SOLLTE\ + \ gepr\xFCft werden, ob die Dokumentation noch aktuell ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a3 + ref_id: INF.14.A3.11 + description: "Bei Abweichungen MUSS die Ursache f\xFCr die Abweichungen eruiert\ + \ und behoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A4 + name: "Ber\xFCcksichtigung von Gefahrenmeldeanlagen in der GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + ref_id: INF.14.A4.1 + description: "Gefahrenmeldeanlagen inklusive Sicherheitsanlagen M\xDCSSEN r\xFC\ + ckwirkungsfrei an GA-Systeme gekoppelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + ref_id: INF.14.A4.2 + description: "Sie D\xDCRFEN NICHT in ein GA-System integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + ref_id: INF.14.A4.3 + description: "F\xFCr die netztechnische Anbindung M\xDCSSEN physisch getrennte\ + \ Netzkomponenten und physisch getrennte Segmente genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + ref_id: INF.14.A4.4 + description: "Werden Funknetze zur Kopplung genutzt, M\xDCSSEN solche TGA-Anlagen\ + \ als Prim\xE4rnutzende f\xFCr die verwendeten Frequenzbereiche festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a4 + ref_id: INF.14.A4.5 + description: "F\xFCr die Kommunikation \xFCber Funknetze SOLLTEN zertifizierte\ + \ Mechanismen genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A5 + name: Dokumentation der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.1 + description: "F\xFCr die GA MUSS die Vielzahl unterschiedlicher Komponenten\ + \ und Zug\xE4nge dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.2 + description: "Die Dokumentation MUSS regelm\xE4\xDFig und bei \xC4nderungen\ + \ innerhalb der GA gepr\xFCft und angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.3 + description: "Insbesondere M\xDCSSEN auch alle deaktivierten physischen Kommunikationsschnittstellen,\ + \ Protokolle und Zug\xE4nge bzw. Zugriffsm\xF6glichkeiten zur GA dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.4 + description: "Dar\xFCber hinaus M\xDCSSEN alle Wechselwirkungen und Abh\xE4\ + ngigkeiten von GA-relevanten Komponenten sowie von TGA-Anlagen, die in GA-Systeme\ + \ integriert oder mit GA-Systemen gekoppelt sind, dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.5 + description: "Die verf\xFCgbaren und genutzten Sicherheitseigenschaften der\ + \ verwendeten Protokolle SOLLTEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a5 + ref_id: INF.14.A5.6 + description: "Die Dokumentation SOLLTE f\xFCr alle GA-Systeme \xFCbergreifend\ + \ hinsichtlich Inhalten und deren Datenstrukturen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A6 + name: Separierung von Netzen der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6 + ref_id: INF.14.A6.1 + description: "GA-Netze M\xDCSSEN von B\xFCro-Netzen und sonstigen Netzen der\ + \ Institution mindestens logisch getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6 + ref_id: INF.14.A6.2 + description: Jegliche Kommunikation zwischen GA-Systemen und sonstigen IT-Systemen + MUSS kontrolliert und reglementiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6 + ref_id: INF.14.A6.3 + description: "Hierf\xFCr M\xDCSSEN an allen \xDCberg\xE4ngen einer solchen Segmentierung\ + \ entsprechende Komponenten mit Sicherheitsfunktionen, mindestens mit Firewall-Funktion,\ + \ vorgesehen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a6 + ref_id: INF.14.A6.4 + description: "Wird die GA f\xFCr einen Geb\xE4udekomplex oder eine Liegenschaft\ + \ zentral eingerichtet, so MUSS die geb\xE4ude\xFCbergreifende GA-Kommunikation\ + \ \xFCber LAN-, WLAN-, WAN-, Funknetz- oder Internet-Verbindungen auch auf\ + \ Ebene des Netzes separiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A7 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7 + ref_id: INF.14.A7.1 + description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ + \ und der \xFCbergreifenden Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN die\ + \ Sicherheitsanforderungen an die GA, d. h. f\xFCr alle GA-Systeme, in einer\ + \ GA-Sicherheitsrichtlinie konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7 + ref_id: INF.14.A7.2 + description: "Diese Richtlinie SOLLTE allen Personen, die an Planung, Beschaffung,\ + \ Implementierung und Betrieb der GA-Systeme beteiligt sind, bekannt und Grundlage\ + \ f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7 + ref_id: INF.14.A7.3 + description: "Die Inhalte und die Umsetzung der geforderten Richtlinieninhalte\ + \ SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft, gegebenenfalls angepasst und die\ + \ Ergebnisse der Pr\xFCfung nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a7 + ref_id: INF.14.A7.4 + description: "In der Sicherheitsrichtlinie SOLLTEN auch die Vorgaben an Entwicklung\ + \ und Test f\xFCr den Einsatz von GA-Systemen spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A8 + name: "Anforderungsspezifikation f\xFCr GA-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + ref_id: INF.14.A8.1 + description: "Ausgehend von der GA-Sicherheitsrichtlinie SOLLTE f\xFCr die GA\ + \ eine \xFCbergreifende und f\xFCr jedes GA-System eine eigene Anforderungsspezifikation\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + ref_id: INF.14.A8.2 + description: "Aus den Anforderungen SOLLTEN sich alle wesentlichen Elemente\ + \ f\xFCr Architektur und Design des jeweiligen GA-Systems und der Kopplung\ + \ von GA-Systemen ableiten lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + ref_id: INF.14.A8.3 + description: "Die Anforderungsspezifikation SOLLTE dokumentiert sowie regelm\xE4\ + \xDFig und zus\xE4tzlich bei Bedarf dem Stand der Technik angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + ref_id: INF.14.A8.4 + description: "Dar\xFCber hinaus SOLLTE regelm\xE4\xDFig die Umsetzung der Anforderungen\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a8 + ref_id: INF.14.A8.5 + description: "Es SOLLTEN in der GA ausschlie\xDFlich Komponenten eingesetzt\ + \ werden, die eine Authentisierung mindestens \xFCber einen \xE4nderbaren\ + \ Anmeldenamen und ein \xE4nderbares Passwort bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A9 + name: Entwicklung eines GA-Konzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.1 + description: "Ausgehend von der GA-Sicherheitsrichtlinie und den Anforderungsspezifikationen\ + \ SOLLTE f\xFCr die GA ein \xFCbergreifendes GA-Konzept entwickelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.2 + description: "Hieraus abgeleitet SOLLTEN f\xFCr alle GA-Systeme detaillierte\ + \ Konzepte entwickelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.3 + description: "In den Konzepten SOLLTEN mindestens folgende Punkte angemessen\ + \ ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.4 + description: "\u2022 alle in das jeweilige GA-System integrierten TGA-Anlagen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.5 + description: "\u2022 alle mit dem jeweiligen GA-System gekoppelten TGA-Anlagen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.6 + description: "\u2022 alle GA-relevanten Komponenten mit den jeweiligen Kommunikationsverbindungen\ + \ Die Konzepte SOLLTEN alle technischen und organisatorischen Vorgaben beschreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a9 + ref_id: INF.14.A9.7 + description: "Die erstellten Konzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ + \ gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A10 + name: "Bildung von unabh\xE4ngigen GA-Bereichen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10 + ref_id: INF.14.A10.1 + description: "In der GA SOLLTEN GA-Bereiche derart geplant und umgesetzt werden,\ + \ dass Abh\xE4ngigkeiten zwischen den GA-Bereichen minimiert werden und GA-Bereiche\ + \ unabh\xE4ngig gesteuert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10 + ref_id: INF.14.A10.2 + description: "Eine St\xF6rung in einem GA-Bereich SOLLTE keine oder nur geringe\ + \ Auswirkungen auf andere GA-Bereiche haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10 + ref_id: INF.14.A10.3 + description: "Insbesondere SOLLTEN die Geb\xE4ude innerhalb eines Geb\xE4udekomplexes\ + \ oder einer Liegenschaft separat steuerbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a10 + ref_id: INF.14.A10.4 + description: Die eingerichteten GA-Bereiche SOLLTEN auch im GA-Managementsystem + entsprechend sichtbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A11 + name: "Absicherung von frei zug\xE4nglichen Ports und Zug\xE4ngen der GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.1 + description: "Der Anschluss von Komponenten, speziell von unautorisierten, unbekannten\ + \ Komponenten und Fremdger\xE4ten, SOLLTE insbesondere an frei zug\xE4nglichen\ + \ Ethernet-Ports, USB-Ports und anderen Schnittstellen der GA kontrolliert\ + \ und eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.2 + description: Der Anschluss einer unautorisierten oder unbekannten Komponente + SOLLTE in die Ereignisprotokollierung aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.3 + description: Eine direkte IP-basierte Kommunikation von solchen Komponenten + mit Systemen der GA SOLLTE unterbunden werden (siehe INF.14.A13 Netzsegementierung + in der GA). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.4 + description: "F\xFCr frei zug\xE4ngliche LAN- oder WLAN-Zug\xE4nge SOLLTE eine\ + \ Netzzugangskontrolle gem\xE4\xDF IEEE 802.1X oder vergleichbare Sicherheitsmechanismen\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.5 + description: Hiermit SOLLTEN unzureichend authentisierte und autorisierte Komponenten + in getrennten Netzsegmenten positioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a11 + ref_id: INF.14.A11.6 + description: "Frei zug\xE4ngliche Schnittstellen f\xFCr tempor\xE4re Wartungszwecke,\ + \ wie beispielsweise USB-Ports an GA-Komponenten, SOLLTEN nur bei Bedarf aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A12 + name: "Nutzung sicherer \xDCbertragungsprotokolle f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12 + ref_id: INF.14.A12.1 + description: "F\xFCr Konfiguration, Wartung und Steuerung von GA-relevanten\ + \ Komponenten, die auf Ethernet und IP basieren, SOLLTEN sichere Protokolle\ + \ eingesetzt werden, falls nicht \xFCber vertrauensw\xFCrdige Netzsegmente\ + \ kommuniziert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12 + ref_id: INF.14.A12.2 + description: "Au\xDFerhalb vertrauensw\xFCrdiger Netzsegmente SOLLTE die Kommunikation\ + \ \xFCber Ethernet und IP zwischen GA-Systemen verschl\xFCsselt erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a12 + ref_id: INF.14.A12.3 + description: "Die Verschl\xFCsselung SOLLTE mit den jeweils aktuellen Verschl\xFC\ + sselungsmechanismen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A13 + name: Netzsegmentierung in der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a13 + ref_id: INF.14.A13.1 + description: Innerhalb des GA-Netzes SOLLTE eine Netzsegmentierung umgesetzt + werden, die bedarfsgerecht einzelne GA-Systeme, einzelne TGA-Anlagen oder + einzelne Gruppen von TGA-Anlagen innerhalb eines GA-Systems voneinander trennt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a13 + ref_id: INF.14.A13.2 + description: "F\xFCr die \xDCberg\xE4nge zwischen den Segmenten SOLLTEN entsprechende\ + \ Regeln definiert und zur Umsetzung Komponenten mit Sicherheitsfunktionen,\ + \ mindestens zustandsbehaftete Paketfilter, genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A14 + name: Nutzung eines GA-geeigneten Zugriffsschutzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.1 + description: "F\xFCr die GA SOLLTE ein Identit\xE4ts- und Berechtigungsmanagement\ + \ gem\xE4\xDF Baustein ORP.4 Identit\xE4ts und Berechtigungsmanagement genutzt\ + \ werden, das die Anforderungen der GA angemessen umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.2 + description: "Hierf\xFCr SOLLTE bedarfsabh\xE4ngig eine GA-eigene Authentisierungsl\xF6\ + sung oder eine geeignete Replikation einer zentralen Authentisierungsl\xF6\ + sung der Institution realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.3 + description: "In die Authentisierungsl\xF6sung SOLLTEN soweit m\xF6glich alle\ + \ GA-relevanten Komponenten eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.4 + description: "Betreibende der GA-Systeme, Betreibende der TGA-Anlagen und auch\ + \ Nachfrageorganisationen SOLLTEN im Rollen- und Berechtigungskonzept hinsichtlich\ + \ der GA angemessen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.5 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant und abgestimmt\ + \ werden, wenn die GA institutions\xFCbergreifend bereitgestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.6 + description: "Alle GA-relevanten Komponenten, inklusive der Komponenten der\ + \ Feldebene und Bedienelemente, SOLLTEN geeignete Funktionen zur Absicherung\ + \ von Zugriffen umsetzen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a14 + ref_id: INF.14.A14.7 + description: "Komponenten, die keinen Zugriffsschutz bieten oder f\xFCr die\ + \ vom herstellenden Unternehmen vorgegebenen Zugangsparameter nicht \xE4nderbar\ + \ sind, SOLLTEN NICHT genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A15 + name: Absicherung von GA-spezifischen Netzen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15 + ref_id: INF.14.A15.1 + description: "Sind in GA-spezifischen Netzen wie z. B. BACnet Sicherheitsmechanismen\ + \ der Kommunikation verf\xFCgbar, SOLLTEN diese genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15 + ref_id: INF.14.A15.2 + description: "Mindestens SOLLTEN Mechanismen zur Authentisierung und Verschl\xFC\ + sselung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15 + ref_id: INF.14.A15.3 + description: "F\xFCr GA-spezifische Netze, die keine angemessenen Sicherheitsmechanismen\ + \ realisieren k\xF6nnen, SOLLTE erwogen werden, diese auf ein GA-spezifisches\ + \ Netz mit angemessenen Sicherheitsmechanismen umzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a15 + ref_id: INF.14.A15.4 + description: "Grunds\xE4tzlich SOLLTE die Kommunikation mit GA-spezifischen\ + \ Netzen durch Koppelelemente mit Sicherheitsfunktionen kontrolliert und gegebenenfalls\ + \ reglementiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A16 + name: Absicherung von drahtloser Kommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16 + ref_id: INF.14.A16.1 + description: In GA-Netzen, die auf einer drahtlosen Kommunikation wie z. B. + EnOcean basieren, SOLLTEN die Sicherheitsmechanismen der jeweiligen Funktechnik + zur Absicherung der Kommunikation genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16 + ref_id: INF.14.A16.2 + description: "Insbesondere SOLLTEN eine angemessene Authentisierung und eine\ + \ Verschl\xFCsselung auf der Luftschnittstelle umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16 + ref_id: INF.14.A16.3 + description: "Ist dies f\xFCr die entsprechenden Endger\xE4te nicht m\xF6glich,\ + \ SOLLTE f\xFCr diese Endger\xE4te die Kommunikation am \xDCbergang in kabelgebundene\ + \ Netze kontrolliert werden, z. B. durch eine Komponente mit Firewall-Funktion." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a16 + ref_id: INF.14.A16.4 + description: "Dar\xFCber hinaus SOLLTEN m\xF6gliche St\xF6rungen f\xFCr die\ + \ Ausbreitung der Funkwellen, beispielsweise durch Abschattungen, bei der\ + \ Planung der GA-Netze ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A17 + name: Absicherung von Mobilfunkkommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.1 + description: "Wird im Rahmen der GA Mobilfunk eingesetzt, SOLLTEN f\xFCr solche\ + \ GA-Netze die Sicherheitsmechanismen der jeweiligen Mobilfunknetze genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.2 + description: "Werden \xF6ffentliche Mobilfunknetze wie 5G oder Sigfox in der\ + \ GA verwendet, SOLLTE eine unkontrollierte direkte IP-basierte Kommunikation\ + \ mit GA-relevanten Komponenten unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.3 + description: "GA-Komponenten SOLLTEN nur dann mit einem dedizierten Anschluss\ + \ an ein \xF6ffentliches Mobilfunknetz ausgestattet werden, falls dieser f\xFC\ + r deren Betrieb essenziell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.4 + description: "Hierf\xFCr SOLLTE gepr\xFCft und festgelegt werden, f\xFCr welche\ + \ GA-Komponenten ein Anschluss an \xF6ffentliche Mobilfunknetze notwendig\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.5 + description: "Sofern im \xF6ffentlichen Mobilfunknetz keine Trennung der GA-Netze\ + \ m\xF6glich ist, wie z. B. bei 5G mit Slicing, SOLLTE im Kommunikationspfad\ + \ eine Entkopplung der IP-Kommunikation durch ein Application Layer Gateway\ + \ (ALG) stattfinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.6 + description: "Falls Mobilfunktechniken in der GA als Bestandteil der \xF6ffentlichen\ + \ Mobilfunkinfrastruktur eines Mobilfunkunternehmens eingesetzt werden, SOLLTEN\ + \ mit den Mitteln der entsprechenden Mobilfunktechnik ein oder mehrere virtuelle\ + \ Mobilfunknetze realisiert werden, die ausschlie\xDFlich der GA zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.7 + description: "Falls in der GA mit Hilfe von Mobilfunktechniken wie LTE und 5G\ + \ autarke private Mobilfunknetze lokal auf dem Campus eingerichtet werden,\ + \ SOLLTE der \xDCbergang zwischen diesen Mobilfunknetzen und den sonstigen\ + \ Netzen durch ein Koppelelement mit Firewall-Funktion abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a17 + ref_id: INF.14.A17.8 + description: "Auch f\xFCr private Mobilfunknetze SOLLTE eine Segmentierung in\ + \ mehrere virtuelle Mobilfunknetze umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A18 + name: Sichere Anbindung von GA-externen Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18 + ref_id: INF.14.A18.1 + description: "Die Kommunikation von GA-Systemen mit GA-externen Systemen SOLLTE\ + \ ausschlie\xDFlich \xFCber definierte Schnittstellen und mit definierten\ + \ IT-Systemen m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18 + ref_id: INF.14.A18.2 + description: "Die Kommunikation SOLLTE authentisiert und verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a18 + ref_id: INF.14.A18.3 + description: "Die m\xF6glichen Schnittstellen zu GA-externen Systemen SOLLTEN\ + \ auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A19 + name: "Nutzung dedizierter Adressbereiche f\xFCr GA-Netze" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19 + ref_id: INF.14.A19.1 + description: "F\xFCr die GA SOLLTEN dedizierte Adressbereiche genutzt werden,\ + \ die sich insbesondere von den Adressbereichen der B\xFCro-IT und der OT\ + \ unterscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19 + ref_id: INF.14.A19.2 + description: "F\xFCr diese Adressbereiche SOLLTE festgelegt werden, aus welchen\ + \ Bereichen statische Adressen vergeben werden und welche GA-relevanten Komponenten\ + \ statische Adressen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19 + ref_id: INF.14.A19.3 + description: "Falls an die GA angebundene Netzbereiche wie TGA-Anlagen identische\ + \ Adressbereiche nutzen (Replizieren von Anlagenkonfigurationen), M\xDCSSEN\ + \ diese in getrennten Segmenten positioniert werden, um Adresskonflikte zu\ + \ unterbinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a19 + ref_id: INF.14.A19.4 + description: "In diesem Fall MUSS die segment\xFCbergreifende Kommunikation\ + \ durch entsprechende Mechanismen abgesichert werden, beispielsweise durch\ + \ den Einsatz eines ALG oder von Network Address Translation (NAT)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A20 + name: Vermeidung von Broadcast-Kommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a20 + ref_id: INF.14.A20.1 + description: "In GA-Netzen SOLLTE die Broadcast-Last auf OSI Layer 2 oder OSI\ + \ Layer 3 f\xFCr unbeteiligte Systeme und Komponenten minimiert werden, um\ + \ eine \xDCberlastung zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a20 + ref_id: INF.14.A20.2 + description: "Hierzu SOLLTE die Kommunikation auf gruppenspezifische Multicasts\ + \ umgestellt oder in der Planung der Segmentierung entsprechend ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A21 + name: "Anzeigen der G\xFCltigkeit von Informationen in GA-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a21 + ref_id: INF.14.A21.1 + description: "Ein GA-System SOLLTE visualisieren, ob die angezeigten Informationen\ + \ bez\xFCglich Zeit, Ort, Wert, Zustand oder Ereignis auf planm\xE4\xDFig\ + \ erhaltenen Informationen basieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a21 + ref_id: INF.14.A21.2 + description: "Informationen, die simulierte oder \u201Eeingefrorene\u201C Werte\ + \ anzeigen, SOLLTEN abh\xE4ngig vom Schutzbedarf der TGA-Anlagen erkennbar\ + \ sein oder einen Alarm ausl\xF6sen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A22 + name: Sicherstellung von autark funktionierenden GA-Systemen und TGA-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22 + ref_id: INF.14.A22.1 + description: "Innerhalb eines GA-Systems SOLLTE sichergestellt werden, dass\ + \ TGA-Anlagen gem\xE4\xDF ihrem Schutzbedarf auch unabh\xE4ngig von der Anbindung\ + \ an das GA-System autark funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22 + ref_id: INF.14.A22.2 + description: "Insbesondere SOLLTEN GA-Systeme so konfiguriert werden, dass keine\ + \ betriebsverhindernden Abh\xE4ngigkeiten zum TGM, zu anderen GA-Systemen\ + \ oder TGA-Anlagen bestehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a22 + ref_id: INF.14.A22.3 + description: "Eine TGA-Anlage SOLLTE auch bei Ausfall der Verbindung zur GA\ + \ f\xFCr einen bestimmten Zeitraum gem\xE4\xDF dem jeweiligen Schutzbedarf\ + \ betriebsf\xE4hig bleiben und ihre Funktion wahrnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A23 + name: "Einsatz von physisch robusten Komponenten f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a23 + ref_id: INF.14.A23.1 + description: "Abh\xE4ngig von den Einsatzbedingungen der Komponenten in der\ + \ GA SOLLTEN entsprechend physisch robuste Komponenten eingesetzt werden,\ + \ die besonders auch f\xFCr harsche Umgebungsbedingungen vorgesehen bzw. ausgewiesen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a23 + ref_id: INF.14.A23.2 + description: "Sind angemessen robuste Komponenten nicht verf\xFCgbar, SOLLTEN\ + \ entsprechende Kompensationsma\xDFnahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A24 + name: "Zeitsynchronisation f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24 + ref_id: INF.14.A24.1 + description: "Alle in einem GA-System angebundenen Komponenten und TGA-Anlagen\ + \ SOLLTEN eine synchrone Uhrzeit nutzen, um ein automatisiertes Messen, Steuern\ + \ und Regeln zu gew\xE4hrleisten (siehe auch Baustein OPS.1.2.6 NTP-Zeitsynchronisation)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24 + ref_id: INF.14.A24.2 + description: Auch GA-Systeme, die miteinander verbunden sind, SOLLTEN eine synchrone + Uhrzeit nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24 + ref_id: INF.14.A24.3 + description: "Erstreckt sich die GA \xFCber Geb\xE4udekomplexe oder Liegenschaften,\ + \ SOLLTE die Zeitsynchronisation f\xFCr alle Geb\xE4ude gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a24 + ref_id: INF.14.A24.4 + description: "Falls innerhalb eines GA-Systems eine Kommunikation mit Echtzeit-Anforderungen\ + \ erforderlich ist, SOLLTE f\xFCr die Zeitsynchronisation PTP oder ein vergleichbarer\ + \ Mechanismus anstelle von NTP genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A25 + name: Dediziertes Monitoring in der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.1 + description: "F\xFCr alle Komponenten, die f\xFCr die GA betriebsrelevant sind,\ + \ SOLLTE ein geeignetes Monitoringkonzept erstellt und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.2 + description: "Hierbei SOLLTEN die Verf\xFCgbarkeit sowie bedeutsame Parameter\ + \ der GA-relevanten Komponenten laufend \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN automatisch an die betreibende Organisation gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.4 + description: "Es SOLLTEN durch die GA mindestens Alarme ausgel\xF6st werden,\ + \ wenn TGA-Anlagen ausfallen oder wichtige Funktionen zum automatisierten\ + \ Steuern und Regeln nicht verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.5 + description: "Zudem SOLLTE festgelegt werden, f\xFCr welche besonders sicherheitsrelevanten\ + \ Ereignisse und f\xFCr welche weiteren Ereignisse automatische Alarmmeldungen\ + \ generiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a25 + ref_id: INF.14.A25.6 + description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A26 + name: Protokollierung in der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26 + ref_id: INF.14.A26.1 + description: "Erg\xE4nzend zum Baustein OPS.1.1.5 Protokollierung SOLLTEN Status\xE4\ + nderungen an GA-relevanten Komponenten und sicherheitsrelevante Ereignisse\ + \ protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26 + ref_id: INF.14.A26.2 + description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ + \ auf TGA-Anlagen und gegebenenfalls GA-relevante Komponenten sowie alle manuellen\ + \ und automatisierten \xC4nderungen der Zust\xE4nde von diesen protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26 + ref_id: INF.14.A26.3 + description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten auf\ + \ einer zentralen Protokollierungsinstanz zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a26 + ref_id: INF.14.A26.4 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A27 + name: "Ber\xFCcksichtigung von Wechselwirkungen zwischen Komponenten der GA\ + \ in der Notfallplanung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.1 + description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ + \ analysiert werden, wie sich die GA und die abgeleiteten Planungen und Konzepte\ + \ auf die Notfallplanung auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.2 + description: "Insbesondere SOLLTE festgelegt werden, wie bei einem Ausfall von\ + \ TGA-Anlagen oder GA-relevanten Komponenten durch technischen Defekt oder\ + \ Angriff die Wechselwirkungen auf andere TGA-Anlagen, GA-relevante Systeme\ + \ und TGM minimiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.3 + description: "Im Rahmen der Notfallplanung SOLLTE auch festgelegt werden, welches\ + \ Wartungspersonal f\xFCr die betroffenen TGA-Anlagen und GA-relevanten Systeme\ + \ zust\xE4ndig ist und \xFCber welche Meldewege dieses erreicht werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.4 + description: "Au\xDFerdem SOLLTE festgelegt werden, welche Berechtigungen das\ + \ Wartungspersonal zur Behebung von Notf\xE4llen hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.5 + description: Es SOLLTE in der Notfallplanung auch spezifiziert werden, wie bei + Ausfall der GA-Systeme ein gegebenenfalls erforderlicher Notbetrieb von TGA-Anlagen + sichergestellt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a27 + ref_id: INF.14.A27.6 + description: "Dabei SOLLTE f\xFCr alle TGA-Anlagen und GA-Systeme inklusive\ + \ aller GA-relevanten Komponenten eine Wiederanlaufreihenfolge festgelegt\ + \ und in den entsprechenden Wiederanlaufpl\xE4nen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A28 + name: Physische Trennung der GA + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28 + ref_id: INF.14.A28.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN GA-Netze als physisch getrennte\ + \ Zonen gem\xE4\xDF Baustein NET.1.1 Netzarchitektur und -design realisiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28 + ref_id: INF.14.A28.2 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE f\xFCr die Anbindung beispielsweise\ + \ an externe Clouds ein dedizierter, restriktiv reglementierter Internet-Zugang\ + \ bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a28 + ref_id: INF.14.A28.3 + description: "Ebenfalls SOLLTEN, abh\xE4ngig vom Schutzbedarf der GA-Systeme,\ + \ Anbindungen an nicht vertrauensw\xFCrdige Netze, gegebenenfalls auch Anbindungen\ + \ an institutionseigene B\xFCro- oder OT-Netze, unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A29 + name: Trennung einzelner TGA-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a29 + ref_id: INF.14.A29.1 + description: "Um einzelne TGA-Anlagen mit erh\xF6htem Schutzbedarf innerhalb\ + \ eines GA-Systems abzusichern, SOLLTEN solche TGA-Anlagen in separaten Netzsegmenten\ + \ positioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a29 + ref_id: INF.14.A29.2 + description: Zur Kontrolle der Kommunikation SOLLTEN Firewall-Funktionen unmittelbar + vor dem Anlagennetz positioniert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14 + ref_id: INF.14.A30 + name: Bereitstellung eines GA-eigenen Zeitservers zur Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-inf-infrastruktur:inf.14.a30 + ref_id: INF.14.A30.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr die GA oder auch f\xFC\ + r einzelne GA-Systeme ein eigener GA-Zeitserver bereitgestellt werden, der\ + \ direkt mit einer Atom- oder Funkuhr (Stratum 0) gekoppelt ist und an den\ + \ gegebenenfalls weitere nachgelagerte GA-Zeitserver angebunden werden." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-isms-sicherheitsmanagement.yaml b/backend/library/libraries/bs-it-gs-2023-isms-sicherheitsmanagement.yaml new file mode 100644 index 000000000..e0d1130f0 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-isms-sicherheitsmanagement.yaml @@ -0,0 +1,914 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-isms-sicherheitsmanagement +locale: de +ref_id: bs-it-gs-2023-isms-sicherheitsmanagement +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - ISMS:\ + \ Sicherheitsmanagement" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen + ref_id: bs-it-gs-2023-isms-sicherheitsmanagement + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - ISMS: Sicherheitsmanagement" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + assessable: false + depth: 1 + ref_id: ISMS.1 + name: Sicherheitsmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A1 + name: "\xDCbernahme der Gesamtverantwortung f\xFCr Informationssicherheit durch\ + \ die Leitung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.1 + description: "Die Institutionsleitung MUSS die Gesamtverantwortung f\xFCr Informationssicherheit\ + \ in der Institution \xFCbernehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.2 + description: "Dies MUSS f\xFCr alle Beteiligten deutlich erkennbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.3 + description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, + steuern und kontrollieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.4 + description: Die Institutionsleitung MUSS Informationssicherheit vorleben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.5 + description: "Die Institutionsleitung MUSS die Zust\xE4ndigkeiten f\xFCr Informationssicherheit\ + \ festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.6 + description: "Die zust\xE4ndigen Mitarbeitenden M\xDCSSEN mit den erforderlichen\ + \ Kompetenzen und Ressourcen ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.7 + description: "Die Institutionsleitung MUSS sich regelm\xE4\xDFig \xFCber den\ + \ Status der Informationssicherheit informieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a1 + ref_id: ISMS.1.A1.8 + description: "Insbesondere MUSS sich die Institutionsleitung \xFCber m\xF6gliche\ + \ Risiken und Konsequenzen aufgrund fehlender Sicherheitsma\xDFnahmen informieren\ + \ lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A2 + name: Festlegung der Sicherheitsziele und -strategie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + ref_id: ISMS.1.A2.1 + description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren + und etablieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + ref_id: ISMS.1.A2.2 + description: "Daf\xFCr MUSS die Institutionsleitung angemessene Sicherheitsziele\ + \ sowie eine Strategie f\xFCr Informationssicherheit festlegen und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + ref_id: ISMS.1.A2.3 + description: "Es M\xDCSSEN konzeptionelle Vorgaben erarbeitet und organisatorische\ + \ Rahmenbedingungen geschaffen werden, um den ordnungsgem\xE4\xDFen und sicheren\ + \ Umgang mit Informationen innerhalb aller Gesch\xE4ftsprozesse des Unternehmens\ + \ oder Fachaufgaben der Beh\xF6rde zu erm\xF6glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + ref_id: ISMS.1.A2.4 + description: Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele + tragen und verantworten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a2 + ref_id: ISMS.1.A2.5 + description: "Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie\ + \ regelm\xE4\xDFig dahingehend \xFCberpr\xFCfen, ob sie noch aktuell und angemessen\ + \ sind und wirksam umgesetzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A3 + name: Erstellung einer Leitlinie zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.1 + description: "Die Institutionsleitung MUSS eine \xFCbergeordnete Leitlinie zur\ + \ Informationssicherheit verabschieden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.2 + description: "Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele,\ + \ die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur\ + \ f\xFCr Informationssicherheit beschreiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.3 + description: "F\xFCr die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich\ + \ festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.4 + description: "In der Leitlinie zur Informationssicherheit M\xDCSSEN die Sicherheitsziele\ + \ und der Bezug der Sicherheitsziele zu den Gesch\xE4ftszielen und Aufgaben\ + \ der Institution erl\xE4utert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.5 + description: Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit + allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a3 + ref_id: ISMS.1.A3.6 + description: "Die Leitlinie zur Informationssicherheit SOLLTE regelm\xE4\xDF\ + ig aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A4 + name: Benennung eines oder einer Informationssicherheitsbeauftragten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + ref_id: ISMS.1.A4.1 + description: Die Institutionsleitung MUSS einen oder eine ISB benennen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + ref_id: ISMS.1.A4.2 + description: "Der oder die ISB MUSS die Informationssicherheit in der Institution\ + \ f\xF6rdern und den Sicherheitsprozess mitsteuern und koordinieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + ref_id: ISMS.1.A4.3 + description: Die Institutionsleitung MUSS den oder die ISB mit angemessenen + Ressourcen ausstatten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + ref_id: ISMS.1.A4.4 + description: "Die Institutionsleitung MUSS dem oder der ISB die M\xF6glichkeit\ + \ einr\xE4umen, bei Bedarf direkt an sie selbst zu berichten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a4 + ref_id: ISMS.1.A4.5 + description: "Der oder die ISB MUSS bei allen gr\xF6\xDFeren Projekten sowie\ + \ bei der Einf\xFChrung neuer Anwendungen und IT-Systeme fr\xFChzeitig beteiligt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A5 + name: Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5 + ref_id: ISMS.1.A5.1 + description: Die Institutionsleitung MUSS einen externen oder eine externe ISB + bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden + besetzt werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5 + ref_id: ISMS.1.A5.2 + description: Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben + des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5 + ref_id: ISMS.1.A5.3 + description: Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a5 + ref_id: ISMS.1.A5.4 + description: "Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverh\xE4\ + ltnisses, einschlie\xDFlich der \xDCbergabe der Aufgaben an die Auftraggebenden,\ + \ gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A6 + name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.1 + description: "Eine geeignete \xFCbergreifende Organisationsstruktur f\xFCr Informationssicherheit\ + \ MUSS vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.2 + description: "Daf\xFCr M\xDCSSEN Rollen definiert sein, die konkrete Aufgaben\ + \ \xFCbernehmen, um die Sicherheitsziele zu erreichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.3 + description: "Au\xDFerdem M\xDCSSEN qualifizierte Personen benannt werden, denen\ + \ ausreichend Ressourcen zur Verf\xFCgung stehen, um diese Rollen zu \xFC\ + bernehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.4 + description: "Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement\ + \ M\xDCSSEN nachvollziehbar definiert und zugewiesen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.5 + description: "F\xFCr alle wichtigen Funktionen der Organisation f\xFCr Informationssicherheit\ + \ MUSS es wirksame Vertretungsregelungen geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.6 + description: "Kommunikationswege M\xDCSSEN geplant, beschrieben, eingerichtet\ + \ und bekannt gemacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.7 + description: "Es MUSS f\xFCr alle Aufgaben und Rollen festgelegt sein, wer wen\ + \ informiert und wer bei welchen Aktionen in welchem Umfang informiert werden\ + \ muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a6 + ref_id: ISMS.1.A6.8 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ + \ f\xFCr Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen\ + \ angepasst werden muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A7 + name: "Festlegung von Sicherheitsma\xDFnahmen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7 + ref_id: ISMS.1.A7.1 + description: "Im Rahmen des Sicherheitsprozesses M\xDCSSEN f\xFCr die gesamte\ + \ Informationsverarbeitung ausf\xFChrliche und angemessene Sicherheitsma\xDF\ + nahmen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7 + ref_id: ISMS.1.A7.2 + description: "Alle Sicherheitsma\xDFnahmen SOLLTEN systematisch in Sicherheitskonzepten\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a7 + ref_id: ISMS.1.A7.3 + description: "Die Sicherheitsma\xDFnahmen SOLLTEN regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A8 + name: Integration der Mitarbeitenden in den Sicherheitsprozess + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.1 + description: "Alle Mitarbeitenden M\xDCSSEN in den Sicherheitsprozess integriert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.2 + description: "Hierf\xFCr M\xDCSSEN sie \xFCber Hintergr\xFCnde und die f\xFC\ + r sie relevanten Gef\xE4hrdungen informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.3 + description: "Sie M\xDCSSEN Sicherheitsma\xDFnahmen kennen und umsetzen, die\ + \ ihren Arbeitsplatz betreffen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.4 + description: "Alle Mitarbeitenden M\xDCSSEN in die Lage versetzt werden, Sicherheit\ + \ aktiv mitzugestalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.5 + description: "Daher SOLLTEN die Mitarbeitenden fr\xFChzeitig beteiligt werden,\ + \ wenn Sicherheitsma\xDFnahmen zu planen oder organisatorische Regelungen\ + \ zu gestalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.6 + description: "Bei der Einf\xFChrung von Sicherheitsrichtlinien und Sicherheitswerkzeugen\ + \ M\xDCSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a8 + ref_id: ISMS.1.A8.7 + description: "Die Mitarbeitenden M\xDCSSEN dar\xFCber aufgekl\xE4rt werden,\ + \ welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A9 + name: "Integration der Informationssicherheit in organisationsweite Abl\xE4\ + ufe und Prozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9 + ref_id: ISMS.1.A9.1 + description: "Informationssicherheit MUSS in alle Gesch\xE4ftsprozesse sowie\ + \ Fachaufgaben integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9 + ref_id: ISMS.1.A9.2 + description: "Es MUSS dabei gew\xE4hrleistet sein, dass nicht nur bei neuen\ + \ Prozessen und Projekten, sondern auch bei laufenden Aktivit\xE4ten alle\ + \ erforderlichen Sicherheitsaspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9 + ref_id: ISMS.1.A9.3 + description: Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten + Entscheidungen ausreichend beteiligt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a9 + ref_id: ISMS.1.A9.4 + description: "Informationssicherheit SOLLTE au\xDFerdem mit anderen Bereichen\ + \ in der Institution, die sich mit Sicherheit und Risikomanagement besch\xE4\ + ftigen, abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A10 + name: Erstellung eines Sicherheitskonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.1 + description: "F\xFCr den festgelegten Geltungsbereich (Informationsverbund)\ + \ SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im\ + \ Sicherheitsprozess erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.2 + description: "Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem\ + \ oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden,\ + \ um zun\xE4chst in ausgew\xE4hlten Bereichen das erforderliche Sicherheitsniveau\ + \ herzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.3 + description: "Im Sicherheitskonzept M\xDCSSEN aus den Sicherheitszielen der\ + \ Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete\ + \ Sicherheitsma\xDFnahmen passend zum betrachteten Informationsverbund abgeleitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.4 + description: "Sicherheitsprozess und Sicherheitskonzept M\xDCSSEN die individuell\ + \ geltenden Vorschriften und Regelungen ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.5 + description: "Die im Sicherheitskonzept vorgesehenen Ma\xDFnahmen M\xDCSSEN\ + \ zeitnah in die Praxis umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a10 + ref_id: ISMS.1.A10.6 + description: Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A11 + name: Aufrechterhaltung der Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.1 + description: "Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie\ + \ zur Informationssicherheit und die Organisationsstruktur f\xFCr Informationssicherheit\ + \ SOLLTEN regelm\xE4\xDFig auf Wirksamkeit und Angemessenheit \xFCberpr\xFC\ + ft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.2 + description: "Dazu SOLLTEN regelm\xE4\xDFig Vollst\xE4ndigkeits- bzw. Aktualisierungspr\xFC\ + fungen des Sicherheitskonzeptes durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.3 + description: "Ebenso SOLLTEN regelm\xE4\xDFig Sicherheitsrevisionen durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.4 + description: "Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsma\xDF\ + nahmen wann und von wem zu \xFCberpr\xFCfen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.5 + description: "\xDCberpr\xFCfungen des Sicherheitsniveaus SOLLTEN regelm\xE4\xDF\ + ig (mindestens j\xE4hrlich) sowie anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.6 + description: "Die Pr\xFCfungen SOLLTEN von qualifizierten und unabh\xE4ngigen\ + \ Personen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.7 + description: "Die Ergebnisse der \xDCberpr\xFCfungen SOLLTEN nachvollziehbar\ + \ dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a11 + ref_id: ISMS.1.A11.8 + description: "Darauf aufbauend SOLLTEN M\xE4ngel beseitigt und Korrekturma\xDF\ + nahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A12 + name: Management-Berichte zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.1 + description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig \xFCber den\ + \ Stand der Informationssicherheit informieren, insbesondere \xFCber die aktuelle\ + \ Gef\xE4hrdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.2 + description: "Dazu SOLLTEN Management-Berichte geschrieben werden, welche die\ + \ wesentlichen relevanten Informationen \xFCber den Sicherheitsprozess enthalten,\ + \ insbesondere \xFCber Probleme, Erfolge und Verbesserungsm\xF6glichkeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.3 + description: "Die Management-Berichte SOLLTEN klar priorisierte Ma\xDFnahmenvorschl\xE4\ + ge enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.4 + description: "Die Ma\xDFnahmenvorschl\xE4ge SOLLTEN mit realistischen Absch\xE4\ + tzungen zum erwarteten Umsetzungsaufwand versehen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.5 + description: Die Management-Berichte SOLLTEN revisionssicher archiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.6 + description: "Die Management-Entscheidungen \xFCber erforderliche Aktionen,\ + \ den Umgang mit Restrisiken und mit Ver\xE4nderungen von sicherheitsrelevanten\ + \ Prozessen SOLLTEN dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a12 + ref_id: ISMS.1.A12.7 + description: Die Management-Entscheidungen SOLLTEN revisionssicher archiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A13 + name: Dokumentation des Sicherheitsprozesses + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.1 + description: Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.2 + description: "Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen\ + \ Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse\ + \ von Sicherheitsvorf\xE4llen SOLLTEN ausreichend dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.3 + description: "Es SOLLTE eine geregelte Vorgehensweise f\xFCr die Erstellung\ + \ und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.4 + description: "Regelungen SOLLTEN existieren, um die Aktualit\xE4t und Vertraulichkeit\ + \ der Dokumentationen zu wahren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.5 + description: "Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version\ + \ kurzfristig zug\xE4nglich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a13 + ref_id: ISMS.1.A13.6 + description: "Au\xDFerdem SOLLTEN alle Vorg\xE4ngerversionen zentral archiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A15 + name: "Wirtschaftlicher Einsatz von Ressourcen f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15 + ref_id: ISMS.1.A15.1 + description: "Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15 + ref_id: ISMS.1.A15.2 + description: "Werden Sicherheitsma\xDFnahmen festgelegt, SOLLTEN die daf\xFC\ + r erforderlichen Ressourcen beziffert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15 + ref_id: ISMS.1.A15.3 + description: "Die f\xFCr Informationssicherheit eingeplanten Ressourcen SOLLTEN\ + \ termingerecht bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a15 + ref_id: ISMS.1.A15.4 + description: "Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zus\xE4tzliche\ + \ interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A16 + name: Erstellung von zielgruppengerechten Sicherheitsrichtlinien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a16 + ref_id: ISMS.1.A16.1 + description: Neben den allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien + geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1 + ref_id: ISMS.1.A17 + name: "Abschlie\xDFen von Versicherungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a17 + ref_id: ISMS.1.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob f\xFCr Restrisiken Versicherungen\ + \ abgeschlossen werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:isms.1.a17 + ref_id: ISMS.1.A17.2 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die bestehenden\ + \ Versicherungen der aktuellen Lage entsprechen." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-net-netze-und-kommunikation.yaml b/backend/library/libraries/bs-it-gs-2023-net-netze-und-kommunikation.yaml new file mode 100644 index 000000000..dc479fec5 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-net-netze-und-kommunikation.yaml @@ -0,0 +1,9632 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-net-netze-und-kommunikation +locale: de +ref_id: bs-it-gs-2023-net-netze-und-kommunikation +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - NET:\ + \ Netze und Kommunikation" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-net-netze-und-kommunikation + ref_id: bs-it-gs-2023-net-netze-und-kommunikation + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - NET: Netze und Kommunikation" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + assessable: false + depth: 1 + ref_id: NET.1.1 + name: Netzarchitektur und -design + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A1 + name: "Sicherheitsrichtlinie f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr das Netz erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.2 + description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ + \ werden, wie Netze sicher konzipiert und aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.3 + description: In der Richtlinie MUSS unter anderem festgelegt werden, + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.4 + description: "\u2022 in welchen F\xE4llen die Zonen zu segmentieren sind und\ + \ in welchen F\xE4llen Benutzendengruppen bzw. Mandanten und Mandantinnen\ + \ logisch oder sogar physisch zu trennen sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.5 + description: "\u2022 welche Kommunikationsbeziehungen und welche Netz- und Anwendungsprotokolle\ + \ jeweils zugelassen werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.6 + description: "\u2022 wie der Datenverkehr f\xFCr Administration und \xDCberwachung\ + \ netztechnisch zu trennen ist," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.7 + description: "\u2022 welche institutionsinterne, standort\xFCbergreifende Kommunikation\ + \ (WAN, Funknetze) erlaubt und welche Verschl\xFCsselung im WAN, LAN oder\ + \ auf Funkstrecken erforderlich ist sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.8 + description: "\u2022 welche institutions\xFCbergreifende Kommunikation zugelassen\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.9 + description: "Die Richtlinie MUSS allen im Bereich Netzdesign zust\xE4ndigen\ + \ Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.10 + description: "Sie MUSS zudem grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.11 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies dokumentiert und mit dem oder der verantwortlichen\ + \ ISB abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.12 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a1 + ref_id: NET.1.1.A1.13 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A2 + name: Dokumentation des Netzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + ref_id: NET.1.1.A2.1 + description: "Es MUSS eine vollst\xE4ndige Dokumentation des Netzes erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + ref_id: NET.1.1.A2.2 + description: Sie MUSS einen Netzplan beinhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + ref_id: NET.1.1.A2.3 + description: Die Dokumentation MUSS nachhaltig gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + ref_id: NET.1.1.A2.4 + description: "Die initiale Ist-Aufnahme, einschlie\xDFlich der Netzperformance,\ + \ sowie alle durchgef\xFChrten \xC4nderungen im Netz M\xDCSSEN in der Dokumentation\ + \ enthalten sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a2 + ref_id: NET.1.1.A2.5 + description: Die logische Struktur des Netzes MUSS dokumentiert werden, insbesondere, + wie die Subnetze zugeordnet und wie das Netz zoniert und segmentiert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A3 + name: "Anforderungsspezifikation f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3 + ref_id: NET.1.1.A3.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netz MUSS eine\ + \ Anforderungsspezifikation erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3 + ref_id: NET.1.1.A3.2 + description: Diese MUSS nachhaltig gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a3 + ref_id: NET.1.1.A3.3 + description: "Aus den Anforderungen M\xDCSSEN sich alle wesentlichen Elemente\ + \ f\xFCr Netzarchitektur und -design ableiten lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A4 + name: Netztrennung in Zonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.1 + description: "Das Gesamtnetz MUSS mindestens in folgende drei Zonen physisch\ + \ separiert sein: internes Netz, demilitarisierte Zone (DMZ) und Au\xDFenanbindungen\ + \ (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauensw\xFC\ + rdige Netze)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.2 + description: "Die Zonen\xFCberg\xE4nge M\xDCSSEN durch eine Firewall abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.3 + description: "Diese Kontrolle MUSS dem Prinzip der lokalen Kommunikation folgen,\ + \ sodass von Firewalls ausschlie\xDFlich erlaubte Kommunikation weitergeleitet\ + \ wird (Allowlist)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.4 + description: "Nicht vertrauensw\xFCrdige Netze (z. B. Internet) und vertrauensw\xFC\ + rdige Netze (z. B. Intranet) M\xDCSSEN mindestens durch eine zweistufige Firewall-Struktur,\ + \ bestehend aus zustandsbehafteten Paketfiltern (Firewall), getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.5 + description: Um Internet und externe DMZ netztechnisch zu trennen, MUSS mindestens + ein zustandsbehafteter Paketfilter eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.6 + description: "In der zweistufigen Firewall-Architektur MUSS jeder ein- und ausgehende\ + \ Datenverkehr durch den \xE4u\xDFeren Paketfilter bzw. den internen Paketfilter\ + \ kontrolliert und gefiltert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a4 + ref_id: NET.1.1.A4.7 + description: Eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway + bzw. Sicherheits-Proxies und Paketfilter besteht, MUSS immer realisiert werden, + wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A5 + name: Client-Server-Segmentierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5 + ref_id: NET.1.1.A5.1 + description: "Clients und Server M\xDCSSEN in unterschiedlichen Netzsegmenten\ + \ platziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5 + ref_id: NET.1.1.A5.2 + description: Die Kommunikation zwischen diesen Netzsegmenten MUSS mindestens + durch einen zustandsbehafteten Paketfilter kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5 + ref_id: NET.1.1.A5.3 + description: "Es SOLLTE beachtet werden, dass m\xF6gliche Ausnahmen, die es\ + \ erlauben, Clients und Server in einem gemeinsamen Netzsegment zu positionieren,\ + \ in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a5 + ref_id: NET.1.1.A5.4 + description: "F\xFCr Gastzug\xE4nge und f\xFCr Netzbereiche, in denen keine\ + \ ausreichende interne Kontrolle \xFCber die Endger\xE4te gegeben ist, M\xDC\ + SSEN dedizierte Netzsegmente eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A6 + name: "Endger\xE4te-Segmentierung im internen Netz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a6 + ref_id: NET.1.1.A6.1 + description: "Es D\xDCRFEN NUR Endger\xE4te in einem Netzsegment positioniert\ + \ werden, die einem \xE4hnlichen Sicherheitsniveau entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A7 + name: "Absicherung von sch\xFCtzenswerten Informationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a7 + ref_id: NET.1.1.A7.1 + description: "Sch\xFCtzenswerte Informationen M\xDCSSEN \xFCber nach dem derzeitigen\ + \ Stand der Technik sichere Protokolle \xFCbertragen werden, falls nicht \xFC\ + ber vertrauensw\xFCrdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes)\ + \ kommuniziert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a7 + ref_id: NET.1.1.A7.2 + description: "K\xF6nnen solche Protokolle nicht genutzt werden, MUSS nach Stand\ + \ der Technik angemessen verschl\xFCsselt und authentisiert werden (siehe\ + \ NET.3.3 VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A8 + name: Grundlegende Absicherung des Internetzugangs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a8 + ref_id: NET.1.1.A8.1 + description: "Der Internetverkehr MUSS \xFCber die Firewall-Struktur gef\xFC\ + hrt werden (siehe NET.1.1.A4 Netztrennung in Zonen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a8 + ref_id: NET.1.1.A8.2 + description: "Die Datenfl\xFCsse M\xDCSSEN durch die Firewall-Struktur auf die\ + \ ben\xF6tigten Protokolle und Kommunikationsbeziehungen eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A9 + name: "Grundlegende Absicherung der Kommunikation mit nicht vertrauensw\xFC\ + rdigen Netzen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a9 + ref_id: NET.1.1.A9.1 + description: "F\xFCr jedes Netz MUSS festgelegt werden, inwieweit es als vertrauensw\xFC\ + rdig einzustufen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a9 + ref_id: NET.1.1.A9.2 + description: "Netze, die nicht vertrauensw\xFCrdig sind, M\xDCSSEN wie das Internet\ + \ behandelt und entsprechend abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A10 + name: "DMZ-Segmentierung f\xFCr Zugriffe aus dem Internet" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10 + ref_id: NET.1.1.A10.1 + description: "Die Firewall-Strukur MUSS f\xFCr alle Dienste bzw. Anwendungen,\ + \ die aus dem Internet erreichbar sind, um eine sogenannte externe DMZ erg\xE4\ + nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10 + ref_id: NET.1.1.A10.2 + description: Es SOLLTE ein Konzept zur DMZ-Segmentierung erstellt werden, das + die Sicherheitsrichtlinie und die Anforderungsspezifikation nachvollziehbar + umsetzt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10 + ref_id: NET.1.1.A10.3 + description: "Abh\xE4ngig vom Sicherheitsniveau der IT-Systeme M\xDCSSEN die\ + \ DMZ-Segmente weitergehend unterteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a10 + ref_id: NET.1.1.A10.4 + description: "Eine externe DMZ MUSS am \xE4u\xDFeren Paketfilter angeschlossen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A11 + name: Absicherung eingehender Kommunikation vom Internet in das interne Netz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.1 + description: "Ein IP-basierter Zugriff auf das interne Netz MUSS \xFCber einen\ + \ sicheren Kommunikationskanal erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.2 + description: "Der Zugriff MUSS auf vertrauensw\xFCrdige IT-Systeme und Benutzende\ + \ beschr\xE4nkt werden (siehe NET.3.3 VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.3 + description: Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.4 + description: "Es SOLLTE beachtet werden, dass hinreichend geh\xE4rtete VPN-Gateways\ + \ direkt aus dem Internet erreichbar sein k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.5 + description: "Die \xFCber das VPN-Gateway authentisierten Zugriffe ins interne\ + \ Netz M\xDCSSEN mindestens die interne Firewall durchlaufen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.6 + description: "IT-Systeme D\xDCRFEN NICHT via Internet oder externer DMZ auf\ + \ das interne Netz zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a11 + ref_id: NET.1.1.A11.7 + description: Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung + in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A12 + name: Absicherung ausgehender interner Kommunikation zum Internet + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12 + ref_id: NET.1.1.A12.1 + description: Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS + an einem Sicherheits-Proxy entkoppelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12 + ref_id: NET.1.1.A12.2 + description: "Die Entkoppelung MUSS au\xDFerhalb des internen Netzes erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a12 + ref_id: NET.1.1.A12.3 + description: Wird eine P-A-P-Struktur eingesetzt, SOLLTE die ausgehende Kommunikation + immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A13 + name: Netzplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.1 + description: "Jede Netzimplementierung MUSS geeignet, vollst\xE4ndig und nachvollziehbar\ + \ geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.2 + description: "Dabei M\xDCSSEN die Sicherheitsrichtlinie sowie die Anforderungsspezifikation\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.3 + description: "Dar\xFCber hinaus M\xDCSSEN in der Planung mindestens die folgenden\ + \ Punkte bedarfsgerecht ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.4 + description: "\u2022 Anbindung von Internet und, sofern vorhanden, Standortnetz\ + \ und Extranet," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.5 + description: "\u2022 Topologie des Gesamtnetzes und der Netzbereiche, d. h.\ + \ Zonen und Netzsegmente," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.6 + description: "\u2022 Dimensionierung und Redundanz der Netz- und Sicherheitskomponenten,\ + \ \xDCbertragungsstrecken und Au\xDFenanbindungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.7 + description: "\u2022 zu nutzende Protokolle und deren grunds\xE4tzliche Konfiguration\ + \ und Adressierung, insbesondere IPv4/IPv6-Subnetze von Endger\xE4tegruppen\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.8 + description: "\u2022 Administration und \xDCberwachung (siehe NET.1.2 Netzmanagement)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a13 + ref_id: NET.1.1.A13.9 + description: "Die Netzplanung MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A14 + name: Umsetzung der Netzplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a14 + ref_id: NET.1.1.A14.1 + description: Das geplante Netz MUSS fachgerecht umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a14 + ref_id: NET.1.1.A14.2 + description: "Dies MUSS w\xE4hrend der Abnahme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A15 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15 + ref_id: NET.1.1.A15.1 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob das bestehende\ + \ Netz dem Soll-Zustand entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15 + ref_id: NET.1.1.A15.2 + description: "Dabei MUSS mindestens gepr\xFCft werden, inwieweit es die Sicherheitsrichtlinie\ + \ und Anforderungsspezifikation erf\xFCllt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15 + ref_id: NET.1.1.A15.3 + description: "Es MUSS auch gepr\xFCft werden, inwiefern die umgesetzte Netzstruktur\ + \ dem aktuellen Stand der Netzplanung entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a15 + ref_id: NET.1.1.A15.4 + description: "Daf\xFCr M\xDCSSEN zust\xE4ndige Personen sowie Pr\xFCfkriterien\ + \ bzw. Vorgaben festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A16 + name: Spezifikation der Netzarchitektur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.1 + description: "Auf Basis der Sicherheitsrichtlinie und der Anforderungsspezifikation\ + \ SOLLTE eine Architektur f\xFCr die Zonen inklusive internem Netz, DMZ-Bereich\ + \ und Au\xDFenanbindungen entwickelt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.2 + description: 'Dabei SOLLTEN je nach spezifischer Situation der Institution alle + relevanten Architekturelemente betrachtet werden, mindestens jedoch:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.3 + description: "\u2022 Netzarchitektur des internen Netzes mit Festlegungen dazu,\ + \ wie Netzvirtualisierungstechniken, Layer-2- und Layer-3-Kommunikation sowie\ + \ Redundanzverfahren einzusetzen sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.4 + description: "\u2022 Netzarchitektur f\xFCr Au\xDFenanbindungen, inklusive Firewall-Architekturen,\ + \ sowie DMZ- und Extranet-Design und Vorgaben an die Standortkopplung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.5 + description: "\u2022 Festlegung, an welchen Stellen des Netzes welche Sicherheitskomponenten\ + \ wie Firewalls oder IDS/IPS zu platzieren sind und welche Sicherheitsfunktionen\ + \ diese realisieren m\xFCssen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.6 + description: "\u2022 Vorgaben f\xFCr die Netzanbindung der verschiedenen IT-Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.7 + description: "\u2022 Netzarchitektur in Virtualisierungs-Hosts, wobei insbesondere\ + \ Network Virtualization Overlay (NVO) und die Architektur in Vertikal integrierten\ + \ Systemen (ViS) zu ber\xFCcksichtigen sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.8 + description: "\u2022 Festlegungen der grunds\xE4tzlichen Architektur-Elemente\ + \ f\xFCr eine Private Cloud sowie Absicherung der Anbindungen zu Virtual Private\ + \ Clouds, Hybrid Clouds und Public Clouds sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a16 + ref_id: NET.1.1.A16.9 + description: "\u2022 Architektur zur sicheren Administration und \xDCberwachung\ + \ der IT-Infrastruktur." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A17 + name: Spezifikation des Netzdesigns + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.1 + description: "Basierend auf der Netzarchitektur SOLLTE das Netzdesign f\xFC\ + r die Zonen inklusive internem Netz, DMZ-Bereich und Au\xDFenanbindungen entwickelt\ + \ und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.2 + description: "Daf\xFCr SOLLTEN die relevanten Architekturelemente detailliert\ + \ betrachtet werden, mindestens jedoch:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.3 + description: "\u2022 zul\xE4ssige Formen von Netzkomponenten inklusive virtualisierter\ + \ Netzkomponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.4 + description: "\u2022 Festlegungen dar\xFCber, wie WAN- und Funkverbindungen\ + \ abzusichern sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.5 + description: "\u2022 Anbindung von Endger\xE4ten an Switching-Komponenten, Verbindungen\ + \ zwischen Netzelementen sowie Verwendung von Kommunikationsprotokollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.6 + description: "\u2022 Redundanzmechanismen f\xFCr alle Netzelemente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.7 + description: "\u2022 Adresskonzept f\xFCr IPv4 und IPv6 sowie zugeh\xF6rige\ + \ Routing- und Switching-Konzepte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.8 + description: "\u2022 virtualisierte Netze in Virtualisierungs-Hosts inklusive\ + \ NVO," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.9 + description: "\u2022 Aufbau, Anbindung und Absicherung von Private Clouds sowie\ + \ sichere Anbindung von Virtual Private Clouds, Hybrid Clouds und Public Clouds\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a17 + ref_id: NET.1.1.A17.10 + description: "\u2022 Festlegungen zum Netzdesign f\xFCr die sichere Administration\ + \ und \xDCberwachung der IT-Infrastruktur." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A18 + name: "P-A-P-Struktur f\xFCr die Internet-Anbindung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.1 + description: "Das Netz der Institution SOLLTE \xFCber eine Firewall mit P-A-P-Struktur\ + \ an das Internet angeschlossen werden (siehe NET.1.1.A4 Netztrennung in Zonen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.2 + description: Zwischen den beiden Firewall-Stufen MUSS ein proxy-basiertes Application-Layer-Gateway + (ALG) realisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.3 + description: "Das ALG MUSS \xFCber ein eigenes Transfernetz (dual-homed) sowohl\ + \ zum \xE4u\xDFeren Paketfilter als auch zum internen Paketfilter angebunden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.4 + description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ + \ f\xFCr das ALG belegt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.5 + description: "Falls kein ALG eingesetzt wird, dann M\xDCSSEN entsprechende Sicherheits-Proxies\ + \ realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.6 + description: "Die Sicherheits-Proxies M\xDCSSEN \xFCber ein eigenes Transfernetz\ + \ (dual-homed) angebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.7 + description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ + \ f\xFCr die Sicherheits-Proxies belegt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.8 + description: "Es MUSS gepr\xFCft werden, ob \xFCber die Sicherheits-Proxies\ + \ gegenseitige Angriffe m\xF6glich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.9 + description: Ist dies der Fall, MUSS das Transfernetz geeignet segmentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.10 + description: "Jeglicher Datenverkehr MUSS \xFCber das ALG oder entsprechende\ + \ Sicherheits-Proxies entkoppelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.11 + description: Ein Transfernetz, das beide Firewall-Stufen direkt miteinander + verbindet, DARF NICHT konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.12 + description: "Die interne Firewall MUSS zudem die Angriffsfl\xE4che des ALGs\ + \ oder der Sicherheits-Proxies gegen\xFCber Innent\xE4tern und Innent\xE4\ + terinnen oder IT-Systemen im internen Netz reduzieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a18 + ref_id: NET.1.1.A18.13 + description: "Authentisierte und vertrauensw\xFCrdige Netzzugriffe vom VPN-Gateway\ + \ ins interne Netz SOLLTEN NICHT das ALG oder die Sicherheits-Proxies der\ + \ P-A-P-Struktur durchlaufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A19 + name: Separierung der Infrastrukturdienste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a19 + ref_id: NET.1.1.A19.1 + description: "Server, die grundlegende Dienste f\xFCr die IT-Infrastruktur bereitstellen,\ + \ SOLLTEN in einem dedizierten Netzsegment positioniert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a19 + ref_id: NET.1.1.A19.2 + description: Die Kommunikation mit ihnen SOLLTE durch einen zustandsbehafteten + Paketfilter (Firewall) kontrolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A20 + name: "Zuweisung dedizierter Subnetze f\xFCr IPv4/IPv6-Endger\xE4tegruppen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a20 + ref_id: NET.1.1.A20.1 + description: "Unterschiedliche IPv4-/IPv6- Endger\xE4te SOLLTEN je nach verwendetem\ + \ Protokoll (IPv4-/IPv6- oder IPv4/IPv6-DualStack) dedizierten Subnetzen zugeordnet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A21 + name: Separierung des Management-Bereichs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.1 + description: "Um die Infrastruktur zu managen, SOLLTE durchg\xE4ngig ein Out-of-Band-Management\ + \ genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.2 + description: "Dabei SOLLTEN alle Endger\xE4te, die f\xFCr das Management der\ + \ IT-Infrastruktur ben\xF6tigt werden, in dedizierten Netzsegmenten positioniert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.3 + description: "Die Kommunikation mit diesen Endger\xE4ten SOLLTE durch einen\ + \ zustandsbehafteten Paketfilter kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.4 + description: "Die Kommunikation von und zu diesen Management-Netzsegmenten SOLLTE\ + \ auf die notwendigen Management-Protokolle mit definierten Kommunikations-Endpunkten\ + \ beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.5 + description: Der Management-Bereich SOLLTE mindestens die folgenden Netzsegmente + umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.6 + description: "Diese SOLLTEN abh\xE4ngig von der Sicherheitsrichtlinie und der\ + \ Anforderungsspezifikation weiter unterteilt werden in" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.7 + description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr die Authentisierung\ + \ und Autorisierung der administrativen Kommunikation zust\xE4ndig sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.8 + description: "\u2022 Netzsegment(e) f\xFCr die Administration der IT-Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.9 + description: "\u2022 Netzsegment(e) f\xFCr die \xDCberwachung und das Monitoring," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.10 + description: "\u2022 Netzsegment(e), die die zentrale Protokollierung inklusive\ + \ Syslog-Server und SIEM-Server enthalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.11 + description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr grundlegende\ + \ Dienste des Management-Bereichs ben\xF6tigt werden sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.12 + description: "\u2022 Netzsegment(e) f\xFCr die Management-Interfaces der zu\ + \ administrierenden IT-Systeme." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.13 + description: "Die verschiedenen Management-Interfaces der IT-Systeme M\xDCSSEN\ + \ nach ihrem Einsatzzweck und ihrer Netzplatzierung \xFCber einen zustandsbehafteten\ + \ Paketfilter getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.14 + description: "Dabei SOLLTEN die IT-Systeme (Management-Interfaces) zus\xE4tzlich\ + \ bei folgender Zugeh\xF6rigkeit \xFCber dedizierte Firewalls getrennt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.15 + description: "\u2022 IT-Systeme, die aus dem Internet erreichbar sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.16 + description: "\u2022 IT-Systeme im internen Netz sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.17 + description: "\u2022 Sicherheitskomponenten, die sich zwischen den aus dem Internet\ + \ erreichbaren IT-Systemen und dem internen Netz befinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.18 + description: Es MUSS sichergestellt werden, dass die Segmentierung nicht durch + die Management-Kommunikation unterlaufen werden kann. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21.19 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a21 + ref_id: NET.1.1.A21.19 + description: "Eine \xDCberbr\xFCckung von Netzsegmenten MUSS ausgeschlossen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A22 + name: Spezifikation des Segmentierungskonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.1 + description: "Auf Basis der Spezifikationen von Netzarchitektur und Netzdesign\ + \ SOLLTE ein umfassendes Segmentierungskonzept f\xFCr das interne Netz erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.2 + description: Dieses Segmentierungskonzept SOLLTE eventuell vorhandene virtualisierte + Netze in Virtualisierungs-Hosts beinhalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.3 + description: Das Segmentierunskonzept SOLLTE geplant, umgesetzt, betrieben und + nachhaltig gepflegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.4 + description: 'Das Konzept SOLLTE mindestens die folgenden Punkte umfassen, soweit + diese in der Zielumgebung vorgesehen sind:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.5 + description: "\u2022 Initial anzulegende Netzsegmente und Vorgaben dazu, wie\ + \ neue Netzsegmente zu schaffen sind und wie Endger\xE4te in den Netzsegmenten\ + \ zu positionieren sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.6 + description: "\u2022 Festlegung f\xFCr die Segmentierung von Entwicklungs- und\ + \ Testsystemen (Staging)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.7 + description: "\u2022 Netzzugangskontrolle f\xFCr Netzsegmente mit Clients," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.8 + description: "\u2022 Anbindung von Netzbereichen, die \xFCber Funktechniken\ + \ oder Standleitung an die Netzsegmente angebunden sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.9 + description: "\u2022 Anbindung der Virtualisierungs-Hosts und von virtuellen\ + \ Maschinen auf den Hosts an die Netzsegmente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.10 + description: "\u2022 Rechenzentrumsautomatisierung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.11 + description: "\u2022 Festlegungen dazu, wie Endger\xE4te einzubinden sind, die\ + \ mehrere Netzsegmente versorgen, z. B. Load Balancer, und Speicher- sowie\ + \ Datensicherungsl\xF6sungen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.12 + description: "Abh\xE4ngig von der Sicherheitsrichtlinie und der Anforderungsspezifikation\ + \ SOLLTE f\xFCr jedes Netzsegment konzipiert werden, wie es netztechnisch\ + \ realisiert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a22 + ref_id: NET.1.1.A22.13 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, welche Sicherheitsfunktionen\ + \ die Koppelelemente zwischen den Netzsegmenten bereitstellen m\xFCssen (z.\ + \ B. Firewall als zustandsbehafteter Paketfilter oder IDS/IPS)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A23 + name: Trennung von Netzsegmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.1 + description: IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen + Netzsegmenten platziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.2 + description: "Ist dies nicht m\xF6glich, SOLLTE sich der Schutzbedarf nach dem\ + \ h\xF6chsten vorkommenden Schutzbedarf im Netzsegment richten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.3 + description: "Dar\xFCber hinaus SOLLTEN die Netzsegmente abh\xE4ngig von ihrer\ + \ Gr\xF6\xDFe und den Anforderungen des Segmentierungskonzepts weiter unterteilt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.4 + description: "Es MUSS sichergestellt werden, dass keine \xDCberbr\xFCckung von\ + \ Netzsegmenten oder gar Zonen m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.5 + description: "Geh\xF6ren die virtuellen LANs (VLANs) an einem Switch unterschiedlichen\ + \ Institutionen an, SOLLTE die Trennung physisch erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a23 + ref_id: NET.1.1.A23.6 + description: "Alternativ SOLLTEN Daten verschl\xFCsselt werden, um die \xFC\ + bertragenen Informationen vor unbefugtem Zugriff zu sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A24 + name: Sichere logische Trennung mittels VLAN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a24 + ref_id: NET.1.1.A24.1 + description: Falls VLANs eingesetzt werden, dann DARF dadurch KEINE Verbindung + geschaffen werden zwischen dem internen Netz und einer Zone vor dem ALG oder + den Sicherheits-Proxies. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a24 + ref_id: NET.1.1.A24.2 + description: "Generell MUSS sichergestellt werden, dass VLANs nicht \xFCberwunden\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A25 + name: Fein- und Umsetzungsplanung von Netzarchitektur und -design + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a25 + ref_id: NET.1.1.A25.1 + description: "Eine Fein- und Umsetzungsplanung f\xFCr die Netzarchitektur und\ + \ das Netzdesign SOLLTE durchgef\xFChrt, dokumentiert, gepr\xFCft und nachhaltig\ + \ gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A26 + name: "Spezifikation von Betriebsprozessen f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a26 + ref_id: NET.1.1.A26.1 + description: Betriebsprozesse SOLLTEN bedarfsgerecht erzeugt oder angepasst + und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a26 + ref_id: NET.1.1.A26.2 + description: "Dabei SOLLTE insbesondere ber\xFCcksichtigt werden, wie sich die\ + \ Zonierung sowie das Segmentierungskonzept auf den IT-Betrieb auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A27 + name: Einbindung der Netzarchitektur in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a27 + ref_id: NET.1.1.A27.1 + description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ + \ analysiert werden, wie sich die Netzarchitektur und die abgeleiteten Konzepte\ + \ auf die Notfallplanung auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A28 + name: "Hochverf\xFCgbare Netz- und Sicherheitskomponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a28 + ref_id: NET.1.1.A28.1 + description: "Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten\ + \ SOLLTEN hochverf\xFCgbar ausgelegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a28 + ref_id: NET.1.1.A28.2 + description: "Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern\ + \ hochverf\xFCgbar realisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A29 + name: "Hochverf\xFCgbare Realisierung von Netzanbindungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29 + ref_id: NET.1.1.A29.1 + description: "Die Netzanbindungen, wie z. B. Internet-Anbindung und WAN-Verbindungen,\ + \ SOLLTEN vollst\xE4ndig redundant gestaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29 + ref_id: NET.1.1.A29.2 + description: "Je nach Verf\xFCgbarkeitsanforderung SOLLTEN redundante Anbindungen\ + \ an Dienstleistende bedarfsabh\xE4ngig mit unterschiedlicher Technik und\ + \ Performance bedarfsgerecht umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29 + ref_id: NET.1.1.A29.3 + description: "Auch SOLLTE Wegeredundanz innerhalb und au\xDFerhalb der eigenen\ + \ Zust\xE4ndigkeit bedarfsgerecht umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a29 + ref_id: NET.1.1.A29.4 + description: "Dabei SOLLTEN m\xF6gliche Single Points of Failures (SPoF) und\ + \ st\xF6rende Umgebungsbedingungen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A30 + name: Schutz vor Distributed-Denial-of-Service + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30 + ref_id: NET.1.1.A30.1 + description: "Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement\ + \ die verf\xFCgbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern\ + \ und -partnerinnen sowie Protokollen aufgeteilt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30 + ref_id: NET.1.1.A30.2 + description: "Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu k\xF6nnen,\ + \ SOLLTEN Mitigation-Dienste \xFCber gr\xF6\xDFere Internet Service Provider\ + \ (ISPs) eingekauft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a30 + ref_id: NET.1.1.A30.3 + description: "Deren Nutzung SOLLTE in Vertr\xE4gen geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A31 + name: Physische Trennung von Netzsegmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a31 + ref_id: NET.1.1.A31.1 + description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A32 + name: Physische Trennung von Management-Netzsegmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a32 + ref_id: NET.1.1.A32.1 + description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A33 + name: Mikrosegmentierung des Netzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a33 + ref_id: NET.1.1.A33.1 + description: "Das Netz SOLLTE in kleine Netzsegmente mit sehr \xE4hnlichem Anforderungsprofil\ + \ und selbem Schutzbedarf unterteilt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a33.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a33 + ref_id: NET.1.1.A33.2 + description: "Insbesondere SOLLTE dies f\xFCr die DMZ-Segmente ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A34 + name: Einsatz kryptografischer Verfahren auf Netzebene + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34 + ref_id: NET.1.1.A34.1 + description: Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich + mittels kryptografischer Techniken bereits auf Netzebene realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34 + ref_id: NET.1.1.A34.2 + description: "Daf\xFCr SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a34 + ref_id: NET.1.1.A34.3 + description: "Wenn innerhalb von internem Netz, Extranet oder DMZ \xFCber Verbindungsstrecken\ + \ kommuniziert wird, die f\xFCr einen erh\xF6hten Schutzbedarf nicht ausreichend\ + \ sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A35 + name: Einsatz von netzbasiertem DLP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a35 + ref_id: NET.1.1.A35.1 + description: Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1 + ref_id: NET.1.1.A36 + name: Trennung mittels VLAN bei sehr hohem Schutzbedarf + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.1.a36 + ref_id: NET.1.1.A36.1 + description: Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + assessable: false + depth: 1 + ref_id: NET.1.2 + name: Netzmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A1 + name: Planung des Netzmanagements + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.1 + description: Die Netzmanagement-Infrastruktur MUSS geeignet geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement genannten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.3 + description: "Es M\xDCSSEN mindestens folgende Themen ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.4 + description: "\u2022 zu trennende Bereiche f\xFCr das Netzmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.5 + description: "\u2022 Zugriffsm\xF6glichkeiten auf die Management-Server," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.6 + description: "\u2022 Kommunikation f\xFCr den Managementzugriff," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.7 + description: "\u2022 eingesetzte Protokolle, z. B. IPv4 und IPv6," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.8 + description: "\u2022 Anforderungen an Management-Werkzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.9 + description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ + \ weiterzuleiten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.10 + description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ + \ zu einer zentralen Protokollierungsl\xF6sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.11 + description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ + sungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a1 + ref_id: NET.1.2.A1.12 + description: "\u2022 korrespondierende Anforderungen an die einzubindenden Netzkomponenten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A2 + name: "Anforderungsspezifikation f\xFCr das Netzmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2 + ref_id: NET.1.2.A2.1 + description: "Ausgehend von NET.1.2.A1 Planung des Netzmanagements M\xDCSSEN\ + \ Anforderungen an die Netzmanagement-Infrastruktur und -Prozesse spezifiziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2 + ref_id: NET.1.2.A2.2 + description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Netzmanagement\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a2 + ref_id: NET.1.2.A2.3 + description: "Auch SOLLTE die Richtlinie f\xFCr das Netzmanagement beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A6 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a6 + ref_id: NET.1.2.A6.1 + description: "Bei der Datensicherung des Netzmanagements M\xDCSSEN mindestens\ + \ die Systemdaten f\xFCr die Einbindung der zu verwaltenden Komponenten bzw.\ + \ Objekte, Ereignismeldungen, Statistikdaten sowie vorgehaltene Daten f\xFC\ + r das Konfigurationsmanagement gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A7 + name: Grundlegende Protokollierung von Ereignissen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + ref_id: NET.1.2.A7.1 + description: "Mindestens folgende Ereignisse M\xDCSSEN protokolliert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + ref_id: NET.1.2.A7.2 + description: "\u2022 unerlaubte Zugriffe bzw. Zugriffsversuche," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + ref_id: NET.1.2.A7.3 + description: "\u2022 Leistungs- oder Verf\xFCgbarkeitsschwankungen des Netzes," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + ref_id: NET.1.2.A7.4 + description: "\u2022 Fehler in automatischen Prozessen (z. B. bei der Konfigurationsverteilung)\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a7 + ref_id: NET.1.2.A7.5 + description: "\u2022 eingeschr\xE4nkte Erreichbarkeit von Netzkomponenten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A8 + name: Zeit-Synchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8 + ref_id: NET.1.2.A8.1 + description: "Alle Komponenten des Netzmanagements, inklusive der eingebundenen\ + \ Netzkomponenten, M\xDCSSEN eine synchrone Uhrzeit nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8 + ref_id: NET.1.2.A8.2 + description: Die Uhrzeit SOLLTE an jedem Standort innerhalb des lokalen Netzes + mittels NTP-Service synchronisiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a8 + ref_id: NET.1.2.A8.3 + description: Ist ein separates Managementnetz eingerichtet, SOLLTE eine NTP-Instanz + in diesem Managementnetz positioniert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A9 + name: Absicherung der Netzmanagement-Kommunikation und des Zugriffs auf Netz-Management-Werkzeuge + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9 + ref_id: NET.1.2.A9.1 + description: "Erfolgt die Netzmanagement-Kommunikation \xFCber die produktive\ + \ Infrastruktur, M\xDCSSEN daf\xFCr sichere Protokolle verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9 + ref_id: NET.1.2.A9.2 + description: "Ist dies nicht m\xF6glich, MUSS ein eigens daf\xFCr vorgesehenes\ + \ Administrationsnetz (Out-of-Band-Management) verwendet werden (siehe NET.1.1\ + \ Netzarchitektur und -design)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a9 + ref_id: NET.1.2.A9.3 + description: "Falls von einem Netz au\xDFerhalb der Managementnetze auf Netzmanagement-Werkzeuge\ + \ zugegriffen wird, M\xDCSSEN als sicher geltende Authentisierungs- und Verschl\xFC\ + sselungsmethoden realisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A10 + name: "Beschr\xE4nkung der SNMP-Kommunikation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10 + ref_id: NET.1.2.A10.1 + description: "Grunds\xE4tzlich D\xDCRFEN im Netzmanagement KEINE unsicheren\ + \ Versionen des Simple Network Management Protocol (SNMP) eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10 + ref_id: NET.1.2.A10.2 + description: "Werden dennoch unsichere Protokolle verwendet und nicht \xFCber\ + \ andere sichere Netzprotokolle (z. B. VPN oder TLS) abgesichert, MUSS ein\ + \ separates Managementnetz genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10 + ref_id: NET.1.2.A10.3 + description: "Grunds\xE4tzlich SOLLTE \xFCber SNMP nur mit den minimal erforderlichen\ + \ Zugriffsrechten zugegriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a10 + ref_id: NET.1.2.A10.4 + description: "Die Zugangsberechtigung SOLLTE auf dedizierte Management-Server\ + \ eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A11 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Netzmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.1 + description: "F\xFCr das Netzmanagement SOLLTE eine Sicherheitsrichtlinie erstellt\ + \ und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.2 + description: Die Sicherheitsrichtlinie SOLLTE allen Personen, die am Netzmanagement + beteiligt sind, bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.3 + description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr ihre\ + \ Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.4 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ + \ werden, dass die in der Sicherheitsrichtlinie geforderten Inhalte umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.5 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.6 + description: "Die Sicherheitsrichtlinie SOLLTE festlegen, welche Bereiche des\ + \ Netzmanagements \xFCber zentrale Management-Werkzeuge und -Dienste realisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.7 + description: Auch SOLLTE sie definieren, inwieweit Aufgaben im Netzmanagement + der Institution automatisiert realisiert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.8 + description: "Dar\xFCber hinaus SOLLTEN Rahmenbedingungen und Vorgaben f\xFC\ + r die Netztrennung, die Zugriffskontrolle, die Protokollierung sowie f\xFC\ + r den Schutz der Kommunikation spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a11 + ref_id: NET.1.2.A11.9 + description: "Auch f\xFCr das eingesetzte Netzmanagement-Werkzeug und f\xFC\ + r die operativen Grundregeln des Netzmanagements SOLLTEN Rahmenbedingungen\ + \ und Vorgaben spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A12 + name: Ist-Aufnahme und Dokumentation des Netzmanagements + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.1 + description: Es SOLLTE eine Dokumentation erstellt werden, die beschreibt, wie + die Management-Infrastruktur des Netzes aufgebaut ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.2 + description: "Darin SOLLTEN die initiale Ist-Aufnahme sowie alle durchgef\xFC\ + hrten \xC4nderungen im Netzmanagement enthalten sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.3 + description: Insbesondere SOLLTE dokumentiert werden, welche Netzkomponenten + mit welchen Management-Werkzeugen verwaltet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.4 + description: "Au\xDFerdem SOLLTEN alle f\xFCr das Netzmanagement benutzten IT-Arbeitspl\xE4\ + tze und -Endger\xE4te sowie alle Informationsbest\xE4nde, Management-Daten\ + \ und Informationen \xFCber den Betrieb des Netzmanagements erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.5 + description: "Letztlich SOLLTEN s\xE4mtliche Schnittstellen zu Anwendungen und\ + \ Diensten au\xDFerhalb des Netzmanagements dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.6 + description: Der so dokumentierte Ist-Zustand der Management-Infrastruktur SOLLTE + mit der Dokumentation der Netz-Infrastruktur abgeglichen werden (siehe Baustein + NET.1.1 Netz-Architektur- und Design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a12 + ref_id: NET.1.2.A12.7 + description: "Die Dokumentation SOLLTE vollst\xE4ndig und immer aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A13 + name: Erstellung eines Netzmanagement-Konzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ + \ SOLLTE ein Netzmanagement-Konzept erstellt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Netzmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.5 + description: "\u2022 Netztrennung, insbesondere Zuordnung von Netzmanagement-Komponenten\ + \ zu Zonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung je Netzkomponente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.7 + description: "\u2022 Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.8 + description: "\u2022 Automatisierung, insbesondere zentrale Verteilung von Konfigurationsdateien\ + \ auf Switches," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.9 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.10 + description: "\u2022 Bereitstellung von Netzmanagement-Informationen f\xFCr\ + \ andere Betriebsbereiche sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a13 + ref_id: NET.1.2.A13.11 + description: "\u2022 Einbindung des Netzmanagements in die Notfallplanung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A14 + name: Fein- und Umsetzungsplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a14 + ref_id: NET.1.2.A14.1 + description: "Es SOLLTE eine Fein- und Umsetzungsplanung f\xFCr die Netzmanagement-Infrastruktur\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a14 + ref_id: NET.1.2.A14.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Netzmanagement-Konzept\ + \ adressierten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A15 + name: "Konzept f\xFCr den sicheren Betrieb der Netzmanagement-Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15 + ref_id: NET.1.2.A15.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ + \ und dem Netzmanagement-Konzept SOLLTE ein Konzept f\xFCr den sicheren Betrieb\ + \ der Netzmanagement-Infrastruktur erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15 + ref_id: NET.1.2.A15.2 + description: "Darin SOLLTE der Anwendungs- und Systembetrieb f\xFCr die Netzmanagement-Werkzeuge\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a15 + ref_id: NET.1.2.A15.3 + description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ + \ operativer Einheiten einbinden und steuern lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A16 + name: "Einrichtung und Konfiguration von Netzmanagement-L\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a16 + ref_id: NET.1.2.A16.1 + description: "L\xF6sungen f\xFCr das Netzmanagement SOLLTEN anhand der Sicherheitsrichtlinie,\ + \ der spezifizierten Anforderungen (siehe NET.1.2.A2 Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement) und der Fein- und Umsetzungsplanung aufgebaut,\ + \ sicher konfiguriert und in Betrieb genommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a16 + ref_id: NET.1.2.A16.2 + description: "Danach SOLLTEN die spezifischen Prozesse f\xFCr das Netzmanagement\ + \ eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A17 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Netzmanagements" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17 + ref_id: NET.1.2.A17.1 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar gepr\xFCft werden,\ + \ inwieweit die Netzmanagement-L\xF6sung dem Sollzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17 + ref_id: NET.1.2.A17.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob die bestehende L\xF6sung noch\ + \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17 + ref_id: NET.1.2.A17.3 + description: "Auch SOLLTE gepr\xFCft werden, inwieweit die umgesetzte Management-Struktur\ + \ und die genutzten Prozesse dem aktuellen Stand entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a17 + ref_id: NET.1.2.A17.4 + description: Weiter SOLLTE verglichen werden, ob die Management-Infrastruktur + aktuell ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A18 + name: "Schulungen f\xFCr Management-L\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18 + ref_id: NET.1.2.A18.1 + description: "F\xFCr die eingesetzten Netzmanagement-L\xF6sungen SOLLTEN Schulungs-\ + \ und Trainingsma\xDFnahmen konzipiert und durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18 + ref_id: NET.1.2.A18.2 + description: "Die Ma\xDFnahmen SOLLTEN die individuellen Gegebenheiten im Configuration-,\ + \ Availability- und Capacity-Management sowie typische Situationen im Fehlermanagement\ + \ abdecken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a18 + ref_id: NET.1.2.A18.3 + description: "Die Schulungen und Trainings SOLLTEN regelm\xE4\xDFig wiederholt\ + \ werden, mindestens jedoch, wenn sich gr\xF6\xDFere technische oder organisatorische\ + \ \xC4nderungen innerhalb der Netzmanagement-L\xF6sung ergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A21 + name: Entkopplung der Netzmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21 + ref_id: NET.1.2.A21.1 + description: "Direkte Management-Zugriffe von Administrierenden von einem IT-System\ + \ au\xDFerhalb der Managementnetze auf eine Netzkomponente SOLLTEN vermieden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21 + ref_id: NET.1.2.A21.2 + description: Ist ein solcher Zugriff ohne zentrales Management-Werkzeug notwendig, + SOLLTE die Kommunikation entkoppelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a21 + ref_id: NET.1.2.A21.3 + description: Solche Sprungserver SOLLTEN im Management-Netz integriert und in + einem getrennten Zugangssegment positioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A22 + name: "Beschr\xE4nkung der Management-Funktionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a22 + ref_id: NET.1.2.A22.1 + description: "Es SOLLTEN NUR die ben\xF6tigten Management-Funktionen aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A24 + name: "Zentrale Konfigurationsverwaltung f\xFCr Netzkomponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24 + ref_id: NET.1.2.A24.1 + description: "Software bzw. Firmware und Konfigurationsdaten f\xFCr Netzkomponenten\ + \ SOLLTEN automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung\ + \ installiert und aktiviert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24 + ref_id: NET.1.2.A24.2 + description: "Die daf\xFCr ben\xF6tigten Informationen SOLLTEN an zentraler\ + \ Stelle sicher verf\xFCgbar sein sowie in die Versionsverwaltung und die\ + \ Datensicherung eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a24 + ref_id: NET.1.2.A24.3 + description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ + \ und regelm\xE4\xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A25 + name: "Status\xFCberwachung der Netzkomponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a25 + ref_id: NET.1.2.A25.1 + description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ + \ der zentralen Netzkomponenten SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a25 + ref_id: NET.1.2.A25.2 + description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ + \ (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A26 + name: Alarming und Logging + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.1 + description: "Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen\ + \ SOLLTEN automatisch an ein zentrales Management-System \xFCbermittelt und\ + \ dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.2 + description: "Das zust\xE4ndige Personal SOLLTE zus\xE4tzlich automatisch benachrichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.3 + description: 'Das Alarming und Logging SOLLTE mindestens folgende Punkte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.4 + description: "\u2022 Ausfall bzw. Nichterreichbarkeit von Netz- oder Management-Komponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.5 + description: "\u2022 Hardware-Fehlfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.6 + description: "\u2022 fehlerhafte Anmeldeversuche sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.7 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von IT-Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.8 + description: "Ereignismeldungen bzw. Logging-Daten SOLLTEN einem zentralen Management-System\ + \ entweder kontinuierlich oder geb\xFCndelt \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a26 + ref_id: NET.1.2.A26.9 + description: "Alarmmeldungen SOLLTEN sofort wenn sie auftreten \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A27 + name: Einbindung des Netzmanagements in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a27 + ref_id: NET.1.2.A27.1 + description: "Die Netzmanagement-L\xF6sungen SOLLTEN in die Notfallplanung der\ + \ Institution eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a27 + ref_id: NET.1.2.A27.2 + description: "Dazu SOLLTEN die Netzmanagement-Werkzeuge und die Konfigurationen\ + \ der Netzkomponenten gesichert und in die Wiederanlaufpl\xE4ne integriert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A28 + name: "Platzierung der Management-Clients f\xFCr das In-Band-Management" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a28 + ref_id: NET.1.2.A28.1 + description: "F\xFCr die Administration sowohl der internen als auch der externen\ + \ IT-Systeme SOLLTEN dedizierte Management-Clients eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a28 + ref_id: NET.1.2.A28.2 + description: "Daf\xFCr SOLLTE mindestens ein Management-Client am \xE4u\xDF\ + eren Netzbereich (f\xFCr die Administration am Internet anliegender IT-Systeme)\ + \ und ein weiterer im internen Bereich (f\xFCr die Administration interner\ + \ IT-Systeme) platziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A29 + name: Einsatz von VLANs im Management-Netz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a29 + ref_id: NET.1.2.A29.1 + description: "Werden Managementnetze durch VLANs getrennt, SOLLTE darauf geachtet\ + \ werden, dass der \xE4u\xDFere Paketfilter sowie die daran angeschlossenen\ + \ Ger\xE4te in einem eigenen Teilnetz stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a29 + ref_id: NET.1.2.A29.2 + description: Zudem SOLLTE sichergestellt werden, dass das ALG dabei nicht umgangen + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A30 + name: "Hochverf\xFCgbare Realisierung der Management-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30 + ref_id: NET.1.2.A30.1 + description: "Zentrale Management-L\xF6sungen SOLLTEN hochverf\xFCgbar betrieben\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30 + ref_id: NET.1.2.A30.2 + description: Dazu SOLLTEN die Server bzw. Werkzeuge inklusive der Netzanbindungen + redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a30 + ref_id: NET.1.2.A30.3 + description: "Auch die einzelnen Komponenten SOLLTEN hochverf\xFCgbar bereitgestellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A31 + name: "Grunds\xE4tzliche Nutzung von sicheren Protokollen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a31 + ref_id: NET.1.2.A31.1 + description: "F\xFCr das Netzmanagement SOLLTEN ausschlie\xDFlich sichere Protokolle\ + \ benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a31 + ref_id: NET.1.2.A31.2 + description: Es SOLLTEN alle Sicherheitsfunktionen dieser Protokolle verwendet + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A32 + name: Physische Trennung des Managementnetzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a32 + ref_id: NET.1.2.A32.1 + description: Das Managementnetz SOLLTE physisch von den produktiven Netzen getrennt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A33 + name: Physische Trennung von Management-Segmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a33 + ref_id: NET.1.2.A33.1 + description: "Es SOLLTEN physisch getrennte Zonen mindestens f\xFCr das Management\ + \ von LAN-Komponenten, Sicherheitskomponenten und Komponenten zur Au\xDFenanbindung\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A35 + name: Festlegungen zur Beweissicherung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a35 + ref_id: NET.1.2.A35.1 + description: "Die erhobenen Protokollierungsdaten SOLLTEN f\xFCr forensische\ + \ Analysen gesetzeskonform und revisionssicher archiviert werden (siehe auch\ + \ DER.2.2 Vorsorge f\xFCr die IT-Forensik)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A36 + name: "Einbindung der Protokollierung des Netzmanagements in eine SIEM-L\xF6\ + sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a36 + ref_id: NET.1.2.A36.1 + description: "Die Protokollierung des Netzmanagements SOLLTE in eine Security-Information-and-Event-Management\ + \ (SIEM)-L\xF6sung eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a36.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a36 + ref_id: NET.1.2.A36.2 + description: "Dazu SOLLTEN die Anforderungskataloge zur Auswahl von Netzmanagement-L\xF6\ + sungen hinsichtlich der erforderlichen Unterst\xFCtzung von Schnittstellen\ + \ und \xDCbergabeformaten angepasst werden (siehe NET.1.2.A2 Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A37 + name: "Standort\xFCbergreifende Zeitsynchronisation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a37.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a37 + ref_id: NET.1.2.A37.1 + description: "Die Zeitsynchronisation SOLLTE \xFCber alle Standorte der Institution\ + \ sichergestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a37.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a37 + ref_id: NET.1.2.A37.2 + description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2 + ref_id: NET.1.2.A38 + name: "Festlegung von Notbetriebsformen f\xFCr die Netzmanagement-Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a38.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.1.2.a38 + ref_id: NET.1.2.A38.1 + description: "F\xFCr eine schnelle Wiederherstellung der Sollzust\xE4nde von\ + \ Software bzw. Firmware sowie der Konfiguration der Komponenten in der Netzmanagement-Infrastruktur\ + \ SOLLTEN hinreichend gute Ersatzl\xF6sungen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + assessable: false + depth: 1 + ref_id: NET.2.1 + name: WLAN-Betrieb + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A1 + name: "Festlegung einer Strategie f\xFCr den Einsatz von WLANs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1 + ref_id: NET.2.1.A1.1 + description: "Bevor in einer Institution WLANs eingesetzt werden, MUSS festgelegt\ + \ sein, welche generelle Strategie die Institution im Hinblick auf die Kommunikation\ + \ \xFCber WLANs plant." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1 + ref_id: NET.2.1.A1.2 + description: "Insbesondere MUSS gekl\xE4rt und festgelegt werden, in welchen\ + \ Organisationseinheiten, f\xFCr welche Anwendungen und zu welchem Zweck WLANs\ + \ eingesetzt und welche Informationen dar\xFCber \xFCbertragen werden d\xFC\ + rfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1 + ref_id: NET.2.1.A1.3 + description: Ebenso MUSS der Abdeckungsbereich des WLAN festgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a1 + ref_id: NET.2.1.A1.4 + description: "Au\xDFerdem MUSS schon in der Planungsphase festgelegt sein, wer\ + \ f\xFCr die Administration der unterschiedlichen WLAN-Komponenten zust\xE4\ + ndig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Verantwortlichen\ + \ gibt und wann welche Informationen zwischen den Zust\xE4ndigen ausgetauscht\ + \ werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A2 + name: Auswahl eines geeigneten WLAN-Standards + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + ref_id: NET.2.1.A2.1 + description: "Im Rahmen der WLAN-Planung MUSS zuerst ermittelt werden, welche\ + \ der von der Institution betriebenen Ger\xE4te (z. B. Mikrowellenger\xE4\ + te, Bluetooth-Ger\xE4te) in das ISM-Band bei 2,4 GHz sowie in das 5 GHz-Band\ + \ abstrahlen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + ref_id: NET.2.1.A2.2 + description: "Au\xDFerdem M\xDCSSEN die vorhandenen Sicherheitsmechanismen der\ + \ einzelnen WLAN-Standards gegeneinander abgewogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + ref_id: NET.2.1.A2.3 + description: "Generell MUSS sichergestellt sein, dass nur als allgemein sicher\ + \ anerkannte Verfahren zur Authentisierung und Verschl\xFCsselung eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + ref_id: NET.2.1.A2.4 + description: "Die Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a2 + ref_id: NET.2.1.A2.5 + description: "Ger\xE4te, die von anerkannt sicheren Verfahren auf unsichere\ + \ zur\xFCckgreifen m\xFCssen, D\xDCRFEN NICHT mehr eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A3 + name: "Auswahl geeigneter Kryptoverfahren f\xFCr WLAN" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3 + ref_id: NET.2.1.A3.1 + description: "Die Kommunikation \xFCber die Luftschnittstelle MUSS komplett\ + \ kryptografisch abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3 + ref_id: NET.2.1.A3.2 + description: "Kryptografische Verfahren, die unsicherer als WPA2 sind, D\xDC\ + RFEN NICHT mehr eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a3 + ref_id: NET.2.1.A3.3 + description: "Wird WPA2 mit Pre-Shared Keys (WPA2-PSK) verwendet, dann MUSS\ + \ ein komplexer Schl\xFCssel mit einer Mindestl\xE4nge von 20 Zeichen verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A4 + name: Geeignete Aufstellung von Access Points + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4 + ref_id: NET.2.1.A4.1 + description: "Access Points M\xDCSSEN zugriffs- und diebstahlsicher montiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4 + ref_id: NET.2.1.A4.2 + description: "Wenn sie aufgestellt werden, M\xDCSSEN die erforderlichen Bereiche\ + \ ausreichend abgedeckt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4 + ref_id: NET.2.1.A4.3 + description: "Dar\xFCber hinaus MUSS darauf geachtet werden, dass sich die Funkwellen\ + \ in Bereichen, die nicht durch das WLAN versorgt werden sollen, m\xF6glichst\ + \ nicht ausbreiten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a4 + ref_id: NET.2.1.A4.4 + description: "Au\xDFeninstallationen M\xDCSSEN vor Witterungseinfl\xFCssen und\ + \ elektrischen Entladungen geeignet gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A5 + name: Sichere Basis-Konfiguration der Access Points + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5 + ref_id: NET.2.1.A5.1 + description: "Access Points D\xDCRFEN NICHT in der Konfiguration des Auslieferungszustandes\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5 + ref_id: NET.2.1.A5.2 + description: "Voreingestellte SSIDs (Service Set Identifiers), Zugangskennw\xF6\ + rter oder kryptografische Schl\xFCssel M\xDCSSEN vor dem produktiven Einsatz\ + \ ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5 + ref_id: NET.2.1.A5.3 + description: "Au\xDFerdem M\xDCSSEN unsichere Administrationszug\xE4nge abgeschaltet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a5 + ref_id: NET.2.1.A5.4 + description: "Access Points D\xDCRFEN NUR \xFCber eine geeignet verschl\xFC\ + sselte Verbindung administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A6 + name: Sichere Konfiguration der WLAN-Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a6 + ref_id: NET.2.1.A6.1 + description: "Es MUSS sichergestellt sein, dass mittels der WLAN-Kommunikation\ + \ keine Sicherheitszonen gekoppelt werden und hierdurch etablierte Schutzma\xDF\ + nahmen umgangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A7 + name: Aufbau eines Distribution Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a7 + ref_id: NET.2.1.A7.1 + description: Bevor ein kabelgebundenes Distribution System aufgebaut wird, MUSS + prinzipiell entschieden werden, ob physisch oder logisch durch VLANs auf den + Access Switches des kabelbasierten LANs getrennt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A8 + name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + ref_id: NET.2.1.A8.1 + description: "Bei einem Sicherheitsvorfall MUSS der IT-Betrieb passende Gegenma\xDF\ + nahmen einleiten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + ref_id: NET.2.1.A8.2 + description: "\u2022 Am \xDCbergabepunkt der WLAN-Kommunikation ins interne\ + \ LAN SOLLTE bei einem Angriff auf das WLAN die Kommunikation selektiv pro\ + \ SSID, Access Point oder sogar f\xFCr die komplette WLAN-Infrastruktur gesperrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + ref_id: NET.2.1.A8.3 + description: "\u2022 Wurden Access Points gestohlen, M\xDCSSEN festgelegte Sicherheitsma\xDF\ + nahmen umgesetzt werden, damit der Access Point oder hierauf abgespeicherte\ + \ Informationen nicht missbraucht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + ref_id: NET.2.1.A8.4 + description: "\u2022 Wurden WLAN-Clients entwendet und wird eine zertifikatsbasierte\ + \ Authentisierung verwendet, M\xDCSSEN die Client-Zertifikate gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a8 + ref_id: NET.2.1.A8.5 + description: "Es MUSS ausgeschlossen werden, dass entwendete Ger\xE4te unberechtigt\ + \ verwendet werden, um auf das Netz der Institution zuzugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A9 + name: Sichere Anbindung von WLANs an ein LAN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a9 + ref_id: NET.2.1.A9.1 + description: "Werden WLANs an ein LAN angebunden, SOLLTE der \xDCbergang zwischen\ + \ WLANs und LAN abgesichert werden, beispielsweise durch einen Paketfilter." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a9 + ref_id: NET.2.1.A9.2 + description: "Der Access Point SOLLTE unter Ber\xFCcksichtigung der Anforderung\ + \ NET.2.1.A7 Aufbau eines Distribution Systems eingebunden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A10 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Betrieb von WLANs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ SOLLTEN die wesentlichen Kernaspekte f\xFCr einen sicheren Einsatz von WLANs\ + \ konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.2 + description: Die Richtlinie SOLLTE allen Verantwortlichen bekannt sein, die + an Aufbau und Betrieb von WLANs beteiligt sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.3 + description: "Sie SOLLTE zudem Grundlage f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.4 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.5 + description: Werden die Inhalte der Richtlinie nicht umgesetzt, MUSS geeignet + reagiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a10 + ref_id: NET.2.1.A10.6 + description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A11 + name: Geeignete Auswahl von WLAN-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a11 + ref_id: NET.2.1.A11.1 + description: "Anhand der Ergebnisse der Planungsphase SOLLTE eine Anforderungsliste\ + \ erstellt werden, mithilfe derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a11 + ref_id: NET.2.1.A11.2 + description: "Werden WLAN-Komponenten beschafft, SOLLTE neben Sicherheit auch\ + \ auf Datenschutz und Kompatibilit\xE4t der WLAN-Komponenten untereinander\ + \ geachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A12 + name: "Einsatz einer geeigneten WLAN-Management-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a12 + ref_id: NET.2.1.A12.1 + description: "Eine zentrale Managementl\xF6sung SOLLTE eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a12 + ref_id: NET.2.1.A12.2 + description: "Der Leistungsumfang der eingesetzten L\xF6sung SOLLTE im Einklang\ + \ mit den Anforderungen der WLAN-Strategie sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A13 + name: "Regelm\xE4\xDFige Sicherheitschecks in WLANs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + ref_id: NET.2.1.A13.1 + description: "WLANs SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ + \ ob eventuell Sicherheitsl\xFCcken existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + ref_id: NET.2.1.A13.2 + description: "Zus\xE4tzlich SOLLTE regelm\xE4\xDFig nach unbefugt installierten\ + \ Access Points innerhalb der bereitgestellten WLANs gesucht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + ref_id: NET.2.1.A13.3 + description: Weiterhin SOLLTEN die Performance und Abdeckung gemessen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + ref_id: NET.2.1.A13.4 + description: Die Ergebnisse von Sicherheitschecks SOLLTEN nachvollziehbar dokumentiert + und mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a13 + ref_id: NET.2.1.A13.5 + description: Abweichungen SOLLTEN untersucht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A14 + name: "Regelm\xE4\xDFige Audits der WLAN-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + ref_id: NET.2.1.A14.1 + description: "Bei allen Komponenten der WLAN-Infrastruktur SOLLTE regelm\xE4\ + \xDFig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen\ + \ umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + ref_id: NET.2.1.A14.2 + description: "Au\xDFerdem SOLLTE \xFCberpr\xFCft werden ob alle Komponenten\ + \ korrekt konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + ref_id: NET.2.1.A14.3 + description: "\xD6ffentlich aufgestellte Access Points SOLLTEN regelm\xE4\xDF\ + ig stichprobenartig daraufhin gepr\xFCft werden, ob es gewaltsame \xD6ffnungs-\ + \ oder Manipulationsversuche gab." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + ref_id: NET.2.1.A14.4 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit + dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a14 + ref_id: NET.2.1.A14.5 + description: Abweichungen SOLLTEN untersucht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A15 + name: Verwendung eines VPN zur Absicherung von WLANs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a15 + ref_id: NET.2.1.A15.1 + description: "Es SOLLTE ein VPN eingesetzt werden, um die Kommunikation \xFC\ + ber die WLAN-Infrastruktur zus\xE4tzlich abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A16 + name: "Zus\xE4tzliche Absicherung bei der Anbindung von WLANs an ein LAN" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a16 + ref_id: NET.2.1.A16.1 + description: "Wird eine WLAN-Infrastruktur an ein LAN angebunden, SOLLTE der\ + \ \xDCbergang zwischen WLANs und LAN entsprechend des h\xF6heren Schutzbedarfs\ + \ zus\xE4tzlich abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A17 + name: Absicherung der Kommunikation zwischen Access Points + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a17 + ref_id: NET.2.1.A17.1 + description: "Die Kommunikation zwischen den Access Points \xFCber die Funkschnittstelle\ + \ und das LAN SOLLTE verschl\xFCsselt erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1 + ref_id: NET.2.1.A18 + name: Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention + Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.1.a18 + ref_id: NET.2.1.A18.1 + description: Es SOLLTEN Wireless Intrusion Detection Systeme bzw. Wireless Intrusion + Prevention Systeme eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2 + assessable: false + depth: 1 + ref_id: NET.2.2 + name: WLAN-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2 + ref_id: NET.2.2.A1 + name: "Erstellung einer Nutzungsrichtlinie f\xFCr WLAN" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ M\xDCSSEN die wesentlichen Kernaspekte f\xFCr eine sichere WLAN-Nutzung\ + \ in einer WLAN-Nutzungsrichtlinie konkretisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.2 + description: "In einer solchen Nutzungsrichtlinie M\xDCSSEN die Besonderheiten\ + \ bei der WLAN-Nutzung beschrieben sein, z. B. ob, wie und mit welchen Ger\xE4\ + ten Hotspots genutzt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.3 + description: "Die Richtlinie MUSS Angaben dazu enthalten, welche Daten im WLAN\ + \ genutzt und \xFCbertragen werden d\xFCrfen und welche nicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.4 + description: "Es MUSS beschrieben sein, wie mit clientseitigen Sicherheitsl\xF6\ + sungen umzugehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.5 + description: "Die Nutzungsrichtlinie MUSS ein klares Verbot enthalten, ungenehmigte\ + \ Access Points an das Netz der Institution anzuschlie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.6 + description: "Au\xDFerdem MUSS in der Richtlinie darauf hingewiesen werden,\ + \ dass die WLAN-Schnittstelle deaktiviert werden muss, wenn sie \xFCber einen\ + \ l\xE4ngeren Zeitraum nicht genutzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.7 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die in der\ + \ Richtlinie geforderten Inhalte richtig umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.8 + description: Ist dies nicht der Fall, MUSS geeignet reagiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a1 + ref_id: NET.2.2.A1.9 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2 + ref_id: NET.2.2.A2 + name: Sensibilisierung und Schulung der WLAN-Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.1 + description: "Die Benutzenden von WLAN-Komponenten, vornehmlich von WLAN-Clients,\ + \ M\xDCSSEN sensibilisiert und zu den in der Nutzungsrichtlinie aufgef\xFC\ + hrten Ma\xDFnahmen geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.2 + description: "Hierf\xFCr M\xDCSSEN geeignete Schulungsinhalte identifiziert\ + \ und festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.3 + description: "Den Benutzenden MUSS genau erl\xE4utert werden, was die WLAN-spezifischen\ + \ Sicherheitseinstellungen bedeuten und warum sie wichtig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.4 + description: "Au\xDFerdem M\xDCSSEN die Benutzenden auf die Gefahren hingewiesen\ + \ werden, die drohen, wenn diese Sicherheitseinstellungen umgangen oder deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.5 + description: "Die Schulungsinhalte M\xDCSSEN immer entsprechend den jeweiligen\ + \ Einsatzszenarien angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.6 + description: "Neben der reinen Schulung zu WLAN-Sicherheitsmechanismen M\xDC\ + SSEN den Benutzenden jedoch auch die WLAN-Sicherheitsrichtlinie ihrer Institution\ + \ und die darin enthaltenen Ma\xDFnahmen vorgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a2 + ref_id: NET.2.2.A2.7 + description: "Ebenso M\xDCSSEN die Benutzenden f\xFCr die m\xF6glichen Gefahren\ + \ sensibilisiert werden, die von fremden WLANs ausgehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2 + ref_id: NET.2.2.A3 + name: Absicherung der WLAN-Nutzung an Hotspots + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.1 + description: "D\xFCrfen Hotspots genutzt werden, MUSS Folgendes umgesetzt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.2 + description: "\u2022 Jede(r) Benutzende eines Hotspots MUSS seine oder ihre\ + \ Sicherheitsanforderungen kennen und danach entscheiden, ob und unter welchen\ + \ Bedingungen ihm oder ihr die Nutzung des Hotspots erlaubt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.3 + description: "\u2022 Werden Hotspots genutzt, dann SOLLTE sichergestellt werden,\ + \ dass die Verbindung zwischen Hotspot-Access Point und IT-Systemen der Benutzenden\ + \ nach dem Stand der Technik kryptografisch abgesichert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.4 + description: "\u2022 WLANs, die nur sporadisch genutzt werden, SOLLTEN von den\ + \ Benutzenden aus der Historie gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.5 + description: "\u2022 Die automatische Anmeldung an WLANs SOLLTE deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.6 + description: "\u2022 Wenn m\xF6glich, SOLLTEN separate Konten mit einer sicheren\ + \ Grundkonfiguration und restriktiven Berechtigungen verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.7 + description: "\u2022 Es SOLLTE sichergestellt sein, dass sich keine Benutzenden\ + \ mit administrativen Berechtigungen von ihren Clients aus an externen WLANs\ + \ anmelden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.8 + description: "\u2022 Sensible Daten D\xDCRFEN NUR \xFCbertragen werden, wenn\ + \ allen notwendigen Sicherheitsma\xDFnahmen auf den Clients, vor allem eine\ + \ geeignete Verschl\xFCsselung, aktiviert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.9 + description: "\u2022 Wird die WLAN-Schnittstelle \xFCber einen l\xE4ngeren Zeitraum\ + \ nicht genutzt, MUSS diese deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a3 + ref_id: NET.2.2.A3.10 + description: "\u2022 \xDCber \xF6ffentlich zug\xE4ngliche WLANs D\xDCRFEN die\ + \ Benutzenden NUR \xFCber ein Virtual Private Network (VPN) auf interne Ressourcen\ + \ der Institution zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2 + ref_id: NET.2.2.A4 + name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.1 + description: "Bei WLAN-Sicherheitsvorf\xE4llen SOLLTEN die Benutzenden Folgendes\ + \ umsetzen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.2 + description: "\u2022 Sie SOLLTEN ihre Arbeitsergebnisse sichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.3 + description: "\u2022 Sie SOLLTEN den WLAN-Zugriff beenden und die WLAN-Schnittstelle\ + \ ihres Clients deaktivieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.4 + description: "\u2022 Fehlermeldungen und Abweichungen SOLLTEN durch sie genau\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.5 + description: "Ebenso SOLLTEN sie dokumentieren, was sie gemacht haben, bevor\ + \ bzw. w\xE4hrend der Sicherheitsvorfall eingetreten ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.2.2.a4 + ref_id: NET.2.2.A4.6 + description: "\u2022 Sie SOLLTEN \xFCber eine geeignete Eskalationsstufe (z.\ + \ B. User Help Desk) den IT-Betrieb benachrichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + assessable: false + depth: 1 + ref_id: NET.3.1 + name: Router und Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A1 + name: Sichere Grundkonfiguration eines Routers oder Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.1 + description: Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.2 + description: "Alle Konfigurations\xE4nderungen SOLLTEN nachvollziehbar dokumentiert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.3 + description: "Die Integrit\xE4t der Konfigurationsdateien MUSS in geeigneter\ + \ Weise gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.4 + description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ + \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.5 + description: "Router und Switches M\xDCSSEN so konfiguriert sein, dass nur zwingend\ + \ erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.6 + description: "Nicht ben\xF6tigte Dienste, Protokolle und funktionale Erweiterungen\ + \ M\xDCSSEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.7 + description: "Ebenfalls M\xDCSSEN nicht benutzte Schnittstellen auf Routern\ + \ und Switches deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.8 + description: "Unbenutzte Netzports M\xDCSSEN nach M\xF6glichkeit deaktiviert\ + \ oder zumindest einem daf\xFCr eingerichteten Unassigned-VLAN zugeordnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.9 + description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ + \ der Institution weiterhin erf\xFCllt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.10 + description: "Auch SOLLTE begr\xFCndet und dokumentiert werden, warum solche\ + \ Erweiterungen eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.11 + description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ + \ M\xDCSSEN nach au\xDFen verborgen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a1 + ref_id: NET.3.1.A1.12 + description: "Unn\xF6tige Auskunftsdienste M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A4 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.1 + description: "Alle Administrations- und Managementzug\xE4nge der Router und\ + \ Switches M\xDCSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.2 + description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ + \ Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.3 + description: "Um Router und Switches zu administrieren bzw. zu \xFCberwachen,\ + \ SOLLTEN geeignet verschl\xFCsselte Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.4 + description: "Sollte dennoch auf unverschl\xFCsselte Protokolle zur\xFCckgegriffen\ + \ werden, MUSS f\xFCr die Administration ein eigenes Administrationsnetz (Out-of-Band-Management)\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.5 + description: "Die Managementschnittstellen und die Administrationsverbindungen\ + \ M\xDCSSEN durch eine separate Firewall gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.6 + description: "F\xFCr die Schnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4nkungen\ + \ f\xFCr z. B. Timeouts vorgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.7 + description: "Alle f\xFCr das Management-Interface nicht ben\xF6tigten Dienste\ + \ M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a4 + ref_id: NET.3.1.A4.8 + description: "Verf\xFCgt eine Netzkomponente \xFCber eine dedizierte Hardwareschnittstelle,\ + \ MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A5 + name: Schutz vor Fragmentierungsangriffen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a5 + ref_id: NET.3.1.A5.1 + description: "Am Router und Layer-3-Switch M\xDCSSEN Schutzmechanismen aktiviert\ + \ sein, um IPv4- sowie IPv6-Fragmentierungsangriffe abzuwehren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A6 + name: Notfallzugriff auf Router und Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a6 + ref_id: NET.3.1.A6.1 + description: "Es MUSS f\xFCr die Administrierenden immer m\xF6glich sein, direkt\ + \ auf Router und Switches zuzugreifen, sodass diese weiterhin lokal administriert\ + \ werden k\xF6nnen, auch wenn das gesamte Netz ausf\xE4llt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A7 + name: Protokollierung bei Routern und Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.1 + description: 'Ein Router oder Switch MUSS so konfiguriert werden, dass er unter + anderem folgende Ereignisse protokolliert:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.2 + description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.3 + description: "\u2022 Reboot," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.4 + description: "\u2022 Systemfehler," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.5 + description: "\u2022 Status\xE4nderungen pro Interface, System und Netzsegment\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a7 + ref_id: NET.3.1.A7.6 + description: "\u2022 Login-Fehler" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A8 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a8 + ref_id: NET.3.1.A8.1 + description: "Die Konfigurationsdateien von Routern und Switches M\xDCSSEN regelm\xE4\ + \xDFig gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a8 + ref_id: NET.3.1.A8.2 + description: "Die Sicherungskopien M\xDCSSEN so abgelegt werden, dass im Notfall\ + \ darauf zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A9 + name: Betriebsdokumentationen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9 + ref_id: NET.3.1.A9.1 + description: "Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches\ + \ M\xDCSSEN geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9 + ref_id: NET.3.1.A9.2 + description: "Es SOLLTEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ + \ Aufgaben dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a9 + ref_id: NET.3.1.A9.3 + description: "Die Dokumentation SOLLTEN vor unbefugten Zugriffen gesch\xFCtzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A10 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.2 + description: "In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen\ + \ und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.3 + description: "Die Richtlinie SOLLTE allen Administrierenden bekannt und grundlegend\ + \ f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den festgelegten\ + \ Anforderungen abgewichen, SOLLTE das mit dem oder der ISB abgestimmt und\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a10 + ref_id: NET.3.1.A10.6 + description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A11 + name: Beschaffung eines Routers oder Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11 + ref_id: NET.3.1.A11.1 + description: "Bevor Router oder Switches beschafft werden, SOLLTE basierend\ + \ auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand\ + \ derer die am Markt erh\xE4ltlichen Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11 + ref_id: NET.3.1.A11.2 + description: "Es SOLLTE darauf geachtet werden, dass das von der Institution\ + \ angestrebte Sicherheitsniveau mit den zu beschaffenden Ger\xE4ten erreicht\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a11 + ref_id: NET.3.1.A11.3 + description: "Grundlage f\xFCr die Beschaffung SOLLTEN daher die Anforderungen\ + \ aus der Sicherheitsrichtlinie sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A12 + name: "Erstellung einer Konfigurations-Checkliste f\xFCr Router und Switches" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a12 + ref_id: NET.3.1.A12.1 + description: "Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand\ + \ derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und\ + \ Switches gepr\xFCft werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a12 + ref_id: NET.3.1.A12.2 + description: "Da die sichere Konfiguration stark vom Einsatzzweck abh\xE4ngt,\ + \ SOLLTEN die unterschiedlichen Anforderungen der Ger\xE4te in der Konfigurations-Checkliste\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A13 + name: "Administration \xFCber ein gesondertes Managementnetz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13 + ref_id: NET.3.1.A13.1 + description: "Router und Switches SOLLTEN ausschlie\xDFlich \xFCber ein separates\ + \ Managementnetz (Out-of-Band-Management) administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13 + ref_id: NET.3.1.A13.2 + description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ + \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13 + ref_id: NET.3.1.A13.3 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a13 + ref_id: NET.3.1.A13.4 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A14 + name: Schutz vor Missbrauch von ICMP-Nachrichten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a14 + ref_id: NET.3.1.A14.1 + description: Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A15 + name: Bogon- und Spoofing-Filterung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a15 + ref_id: NET.3.1.A15.1 + description: "Es SOLLTE verhindert werden, dass Angreifende mithilfe gef\xE4\ + lschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router\ + \ und Switches eindringen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A16 + name: "Schutz vor \u201EIPv6 Routing Header Type-0\u201C-Angriffen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a16 + ref_id: NET.3.1.A16.1 + description: Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die + Angriffe auf den Routing-Header des Type-0 erkennen und verhindern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A17 + name: Schutz vor DoS- und DDoS-Angriffen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a17 + ref_id: NET.3.1.A17.1 + description: Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe + sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A18 + name: Einrichtung von Access Control Lists + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18 + ref_id: NET.3.1.A18.1 + description: Der Zugriff auf Router und Switches SOLLTE mithilfe von Access + Control Lists (ACLs) definiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18 + ref_id: NET.3.1.A18.2 + description: "In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution\ + \ festgelegt werden, \xFCber welche IT-Systeme oder Netze mit welcher Methode\ + \ auf einen Router oder Switch zugegriffen werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a18 + ref_id: NET.3.1.A18.3 + description: "F\xFCr den Fall, dass keine spezifischen Regeln existieren, SOLLTE\ + \ generell der restriktivere Allowlist-Ansatz bevorzugt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A19 + name: Sicherung von Switch-Ports + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a19 + ref_id: NET.3.1.A19.1 + description: "Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A20 + name: Sicherheitsaspekte von Routing-Protokollen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + ref_id: NET.3.1.A20.1 + description: "Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen\ + \ austauschen oder Updates f\xFCr Routing-Tabellen verschicken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + ref_id: NET.3.1.A20.2 + description: "Es SOLLTEN ausschlie\xDFlich Routing-Protokolle eingesetzt werden,\ + \ die dies unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + ref_id: NET.3.1.A20.3 + description: "Dynamische Routing-Protokolle SOLLTEN ausschlie\xDFlich in sicheren\ + \ Netzen verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + ref_id: NET.3.1.A20.4 + description: "Sie D\xDCRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a20 + ref_id: NET.3.1.A20.5 + description: In DMZs SOLLTEN stattdessen statische Routen eingetragen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A21 + name: "Identit\xE4ts- und Berechtigungsmanagement in der Netzinfrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a21 + ref_id: NET.3.1.A21.1 + description: "Router und Switches SOLLTEN an ein zentrales Identit\xE4ts- und\ + \ Berechtigungsmanagement angebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A22 + name: Notfallvorsorge bei Routern und Switches + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.1 + description: "Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern\ + \ oder Switches in einem Notfall diagnostiziert werden k\xF6nnten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.2 + description: "Au\xDFerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten\ + \ Fehler behoben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.3 + description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ + \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.4 + description: "Die Notfallplanungen f\xFCr Router und Switches SOLLTEN mit der\ + \ \xFCbergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.5 + description: Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept + orientieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.6 + description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge + und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a22 + ref_id: NET.3.1.A22.7 + description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ + \ regelm\xE4\xDFig geprobt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A23 + name: Revision und Penetrationstests + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + ref_id: NET.3.1.A23.1 + description: "Router und Switches SOLLTEN regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + ref_id: NET.3.1.A23.2 + description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + ref_id: NET.3.1.A23.3 + description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob der Ist-Zustand\ + \ der festgelegten sicheren Grundkonfiguration entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + ref_id: NET.3.1.A23.4 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem + Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a23 + ref_id: NET.3.1.A23.5 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A24 + name: Einsatz von Netzzugangskontrollen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a24 + ref_id: NET.3.1.A24.1 + description: Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis + von EAP-TLS implementiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a24 + ref_id: NET.3.1.A24.2 + description: Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 + und IEEE 802.1x-2004 erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A25 + name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a25 + ref_id: NET.3.1.A25.1 + description: "St\xFCrzt ein Router oder Switch ab, SOLLTE sichergestellt werden,\ + \ dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften\ + \ Konfigurationen (unter anderem ACLs) benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A26 + name: "Hochverf\xFCgbarkeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26 + ref_id: NET.3.1.A26.1 + description: "Die Realisierung einer Hochverf\xFCgbarkeitsl\xF6sung SOLLTE den\ + \ Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern\ + \ oder das Sicherheitsniveau senken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26 + ref_id: NET.3.1.A26.2 + description: Router und Switches SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a26 + ref_id: NET.3.1.A26.3 + description: Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie + der Institution eingehalten wird. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A27 + name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a27 + ref_id: NET.3.1.A27.1 + description: Router und Switches SOLLTEN Funktionen enthalten und einsetzen, + mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1 + ref_id: NET.3.1.A28 + name: Einsatz von zertifizierten Produkten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.1.a28 + ref_id: NET.3.1.A28.1 + description: Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung + nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL4. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + assessable: false + depth: 1 + ref_id: NET.3.2 + name: Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A1 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + MUSS eine spezifische Sicherheitsrichtlinie erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.2 + description: "In dieser M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben\ + \ beschrieben sein, wie Firewalls sicher betrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.3 + description: "Die Richtlinie MUSS allen im Bereich Firewalls zust\xE4ndigen\ + \ Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a1 + ref_id: NET.3.2.A1.6 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A2 + name: Festlegen der Firewall-Regeln + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.1 + description: "Die gesamte Kommunikation zwischen den beteiligten Netzen MUSS\ + \ \xFCber die Firewall geleitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.2 + description: "Es MUSS sichergestellt sein, dass von au\xDFen keine unerlaubten\ + \ Verbindungen in das gesch\xFCtzte Netz aufgebaut werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.3 + description: "Ebenso D\xDCRFEN KEINE unerlaubten Verbindungen aus dem gesch\xFC\ + tzten Netz heraus aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.4 + description: "F\xFCr die Firewall M\xDCSSEN eindeutige Regeln definiert werden,\ + \ die festlegen, welche Kommunikationsverbindungen und Datenstr\xF6me zugelassen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.5 + description: "Alle anderen Verbindungen M\xDCSSEN durch die Firewall unterbunden\ + \ werden (Allowlist-Ansatz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.6 + description: "Die Kommunikationsbeziehungen mit angeschlossenen Dienst-Servern,\ + \ die \xFCber die Firewall gef\xFChrt werden, M\xDCSSEN in den Regeln ber\xFC\ + cksichtigt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.7 + description: "Es M\xDCSSEN Zust\xE4ndige benannt werden, die Filterregeln entwerfen,\ + \ umsetzen und testen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.8 + description: "Zudem MUSS gekl\xE4rt werden, wer Filterregeln ver\xE4ndern darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a2 + ref_id: NET.3.2.A2.9 + description: "Die getroffenen Entscheidungen sowie die relevanten Informationen\ + \ und Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A3 + name: Einrichten geeigneter Filterregeln am Paketfilter + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + ref_id: NET.3.2.A3.1 + description: "Basierend auf den Firewall-Regeln aus NET.3.2.A2 Festlegen der\ + \ Firewall-Regeln M\xDCSSEN geeignete Filterregeln f\xFCr den Paketfilter\ + \ definiert und eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + ref_id: NET.3.2.A3.2 + description: "Ein Paketfilter MUSS so eingestellt sein, dass er alle ung\xFC\ + ltigen TCP-Flag-Kombinationen verwirft." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + ref_id: NET.3.2.A3.3 + description: "Grunds\xE4tzlich MUSS immer zustandsbehaftet gefiltert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + ref_id: NET.3.2.A3.4 + description: "Auch f\xFCr die verbindungslosen Protokolle UDP und ICMP M\xDC\ + SSEN zustandsbehaftete Filterregeln konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a3 + ref_id: NET.3.2.A3.5 + description: Die Firewall MUSS die Protokolle ICMP und ICMPv6 restriktiv filtern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A4 + name: Sichere Konfiguration der Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.1 + description: Bevor eine Firewall eingesetzt wird, MUSS sie sicher konfiguriert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.2 + description: "Alle Konfigurations\xE4nderungen M\xDCSSEN nachvollziehbar dokumentiert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.3 + description: "Die Integrit\xE4t der Konfigurationsdateien MUSS geeignet gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.4 + description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ + \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ + \ werden (siehe CON.1 Kryptokonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.5 + description: "Eine Firewall MUSS so konfiguriert sein, dass ausschlie\xDFlich\ + \ zwingend erforderliche Dienste verf\xFCgbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.6 + description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ + \ der Institution weiterhin erf\xFCllt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.7 + description: "Auch MUSS begr\xFCndet und dokumentiert werden, warum solche Erweiterungen\ + \ eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.8 + description: "Nicht ben\xF6tigte (Auskunfts-)Dienste sowie nicht ben\xF6tigte\ + \ funktionale Erweiterungen M\xDCSSEN deaktiviert oder ganz deinstalliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a4 + ref_id: NET.3.2.A4.9 + description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ + \ M\xDCSSEN nach au\xDFen bestm\xF6glich verborgen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A6 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + ref_id: NET.3.2.A6.1 + description: "Alle Administrations- und Managementzug\xE4nge der Firewall M\xDC\ + SSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + ref_id: NET.3.2.A6.2 + description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + ref_id: NET.3.2.A6.3 + description: "Um die Firewall zu administrieren bzw. zu \xFCberwachen, D\xDC\ + RFEN NUR sichere Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + ref_id: NET.3.2.A6.4 + description: "Alternativ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz\ + \ (Out-of-Band-Management) verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a6 + ref_id: NET.3.2.A6.5 + description: "F\xFCr die Bedienschnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4\ + nkungen vorgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A7 + name: Notfallzugriff auf die Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a7 + ref_id: NET.3.2.A7.1 + description: "Es MUSS immer m\xF6glich sein, direkt auf die Firewall zugreifen\ + \ zu k\xF6nnen, sodass sie im Notfall auch dann lokal administriert werden\ + \ kann, wenn das gesamte Netz ausf\xE4llt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A8 + name: Unterbindung von dynamischem Routing + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a8 + ref_id: NET.3.2.A8.1 + description: In den Einstellungen der Firewall MUSS das dynamische Routing deaktiviert + sein, es sei denn, der Paketfilter wird entsprechend dem Baustein NET.3.1 + Router und Switches als Perimeter-Router eingesetzt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A9 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.1 + description: 'Die Firewall MUSS so konfiguriert werden, dass sie mindestens + folgende sicherheitsrelevante Ereignisse protokolliert:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.2 + description: "\u2022 abgewiesene Netzverbindungen (Quell- und Ziel-IP-Adressen,\ + \ Quell- und Zielport oder ICMP/ICMPv6-Typ, Datum, Uhrzeit)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.3 + description: "\u2022 fehlgeschlagene Zugriffe auf System-Ressourcen aufgrund\ + \ fehlerhafter Authentisierungen, mangelnder Berechtigung oder nicht vorhandener\ + \ Ressourcen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.4 + description: "\u2022 Fehlermeldungen der Firewall-Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.5 + description: "\u2022 allgemeine Systemfehlermeldungen und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.6 + description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.7 + description: "Werden Sicherheitsproxies eingesetzt, M\xDCSSEN Sicherheitsverletzungen\ + \ und Verst\xF6\xDFe gegen Access-Control-Listen (ACLs oder auch kurz Access-Listen)\ + \ in geeigneter Weise protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.8 + description: "Hierbei M\xDCSSEN mindestens die Art der Protokollverletzung bzw.\ + \ des ACL-Versto\xDFes, Quell- und Ziel-IP-Adresse, Quell- und Zielport, Dienst,\ + \ Datum und Zeit sowie, falls erforderlich, die Verbindungsdauer protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a9 + ref_id: NET.3.2.A9.9 + description: "Wenn sich Benutzende am Sicherheitsproxy authentisieren, M\xDC\ + SSEN auch Authentisierungsdaten oder ausschlie\xDFlich die Information \xFC\ + ber eine fehlgeschlagene Authentisierung protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A10 + name: Abwehr von Fragmentierungsangriffen am Paketfilter + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a10 + ref_id: NET.3.2.A10.1 + description: "Am Paketfilter M\xDCSSEN Schutzmechanismen aktiviert sein, um\ + \ IPv4- sowie IPv6 Fragmentierungsangriffe abzuwehren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A14 + name: Betriebsdokumentationen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14 + ref_id: NET.3.2.A14.1 + description: "Die betrieblichen Aufgaben einer Firewall M\xDCSSEN nachvollziehbar\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14 + ref_id: NET.3.2.A14.2 + description: "Es M\xDCSSEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ + \ Aufgaben dokumentiert werden, insbesondere \xC4nderungen an den Systemdiensten\ + \ und dem Regelwerk der Firewall." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a14 + ref_id: NET.3.2.A14.3 + description: "Die Dokumentation MUSS vor unbefugten Zugriffen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A15 + name: Beschaffung einer Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + ref_id: NET.3.2.A15.1 + description: "Bevor eine Firewall beschafft wird, MUSS eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + ref_id: NET.3.2.A15.2 + description: Es MUSS darauf geachtet werden, dass das von der Institution angestrebte + Sicherheitsniveau mit der Firewall erreichbar ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + ref_id: NET.3.2.A15.3 + description: "Grundlage f\xFCr die Beschaffung M\xDCSSEN daher die Anforderungen\ + \ aus der Sicherheitsrichtlinie sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + ref_id: NET.3.2.A15.4 + description: "Wird IPv6 eingesetzt, MUSS der Paketfilter die IPv6-Erweiterungsheader\ + \ (Extension Header) \xFCberpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a15 + ref_id: NET.3.2.A15.5 + description: "Zudem MUSS sich IPv6 ad\xE4quat zu IPv4 konfigurieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A16 + name: "Aufbau einer \u201EP-A-P\u201C-Struktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + ref_id: NET.3.2.A16.1 + description: "Eine \u201EPaketfilter - Application-Level-Gateway - Paketfilter\u201C\ + -(P-A-P)-Struktur SOLLTE eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + ref_id: NET.3.2.A16.2 + description: "Sie MUSS aus mehreren Komponenten mit jeweils daf\xFCr geeigneter\ + \ Hard- und Software bestehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + ref_id: NET.3.2.A16.3 + description: "F\xFCr die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies\ + \ auf Anwendungsschicht vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + ref_id: NET.3.2.A16.4 + description: "F\xFCr andere Dienste SOLLTEN zumindest generische Sicherheitsproxies\ + \ f\xFCr TCP und UDP genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a16 + ref_id: NET.3.2.A16.5 + description: Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten + Laufzeitumgebung des Betriebssystems ablaufen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A17 + name: Deaktivierung von IPv4 oder IPv6 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a17 + ref_id: NET.3.2.A17.1 + description: "Wenn das IPv4- oder IPv6-Protokoll in einem Netzsegment nicht\ + \ ben\xF6tigt wird, SOLLTE es am jeweiligen Firewall-Netzzugangspunkt (z.\ + \ B. am entsprechenden Firewall-Interface) deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a17 + ref_id: NET.3.2.A17.2 + description: "Falls das IPv4- oder IPv6-Protokoll nicht ben\xF6tigt bzw. eingesetzt\ + \ wird, SOLLTE es auf der Firewall komplett deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A18 + name: "Administration \xFCber ein gesondertes Managementnetz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + ref_id: NET.3.2.A18.1 + description: "Firewalls SOLLTEN ausschlie\xDFlich \xFCber ein separates Managementnetz\ + \ (Out-of-Band-Management) administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + ref_id: NET.3.2.A18.2 + description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ + \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + ref_id: NET.3.2.A18.3 + description: "Die Kommunikation im Managementnetz SOLLTE \xFCber Management-Firewalls\ + \ (siehe NET.1.1 Netz-Architektur und -design) auf wenige Managementprotokolle\ + \ mit genau festgelegten Urspr\xFCngen und Zielen beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + ref_id: NET.3.2.A18.4 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a18 + ref_id: NET.3.2.A18.5 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden + (siehe NET.1.2 Netzmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A19 + name: Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing + am Paketfilter + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19 + ref_id: NET.3.2.A19.1 + description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus nicht vertrauensw\xFC\ + rdigen Netzen erreichbar sind, SOLLTE ein geeignetes Limit f\xFCr halboffene\ + \ und offene Verbindungen gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19 + ref_id: NET.3.2.A19.2 + description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus weniger\ + \ oder nicht vertrauensw\xFCrdigen Netzen erreichbar sind, SOLLTEN die sogenannten\ + \ Rate Limits f\xFCr UDP-Datenstr\xF6me gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a19 + ref_id: NET.3.2.A19.3 + description: "Am \xE4u\xDFeren Paketfilter SOLLTE bei ausgehenden Verbindungen\ + \ f\xFCr TCP eine zuf\xE4llige Generierung von Initial Sequence Numbers (ISN)\ + \ aktiviert werden, sofern dieses nicht bereits durch Sicherheitsproxies realisiert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A20 + name: Absicherung von grundlegenden Internetprotokollen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a20 + ref_id: NET.3.2.A20.1 + description: "Die Protokolle HTTP, SMTP und DNS inklusive ihrer verschl\xFC\ + sselten Versionen SOLLTEN \xFCber protokollspezifische Sicherheitsproxies\ + \ geleitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A21 + name: "Tempor\xE4re Entschl\xFCsselung des Datenverkehrs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.1 + description: "Verschl\xFCsselte Verbindungen in nicht vertrauensw\xFCrdige Netze\ + \ SOLLTEN tempor\xE4r entschl\xFCsselt werden, um das Protokoll zu verifizieren\ + \ und die Daten auf Schadsoftware zu pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.2 + description: Hierbei SOLLTEN die rechtlichen Rahmenbedingungen beachtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.3 + description: "Die Komponente, die den Datenverkehr tempor\xE4r entschl\xFCsselt,\ + \ SOLLTE unterbinden, dass veraltete Verschl\xFCsselungsoptionen und kryptografische\ + \ Algorithmen benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.4 + description: "Der eingesetzte TLS-Proxy SOLLTE pr\xFCfen k\xF6nnen, ob Zertifikate\ + \ vertrauensw\xFCrdig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.5 + description: "Ist ein Zertifikat nicht vertrauensw\xFCrdig, SOLLTE es m\xF6\ + glich sein, die Verbindung abzuweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.6 + description: "Eigene Zertifikate SOLLTEN nachr\xFCstbar sein, um auch \u201E\ + interne\u201C Root-Zertifikate konfigurieren und pr\xFCfen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a21 + ref_id: NET.3.2.A21.7 + description: "Vorkonfigurierte Zertifikate SOLLTEN \xFCberpr\xFCft und entfernt\ + \ werden, wenn sie nicht ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A22 + name: Sichere Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a22 + ref_id: NET.3.2.A22.1 + description: Die Uhrzeit der Firewall SOLLTE mit einem Network-Time-Protocol + (NTP)-Server synchronisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a22 + ref_id: NET.3.2.A22.2 + description: Die Firewall SOLLTE keine externe Zeitsynchronisation zulassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A23 + name: "System\xFCberwachung und -Auswertung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + ref_id: NET.3.2.A23.1 + description: "Firewalls SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ + \ Monitoringkonzept eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + ref_id: NET.3.2.A23.2 + description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob die Firewall selbst\ + \ sowie die darauf betriebenen Dienste korrekt funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + ref_id: NET.3.2.A23.3 + description: "Bei Fehlern oder wenn Grenzwerte \xFCberschritten werden, SOLLTE\ + \ das Betriebspersonal alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + ref_id: NET.3.2.A23.4 + description: "Zudem SOLLTEN automatische Alarmmeldungen generiert werden, die\ + \ bei festgelegten Ereignissen ausgel\xF6st werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a23 + ref_id: NET.3.2.A23.5 + description: "Protokolldaten oder Statusmeldungen SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A24 + name: Revision und Penetrationstests + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a24 + ref_id: NET.3.2.A24.1 + description: "Die Firewall-Struktur SOLLTE regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a24 + ref_id: NET.3.2.A24.2 + description: "Es SOLLTEN regelm\xE4\xDFige Penetrationstests und Revisionen\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A25 + name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a25 + ref_id: NET.3.2.A25.1 + description: "Um eine abgest\xFCrzte Firewall wiederherzustellen, SOLLTE sichergestellt\ + \ werden, dass keine alten oder fehlerhaften Konfigurationen (unter anderem\ + \ Access-Listen) benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a25 + ref_id: NET.3.2.A25.2 + description: Dies SOLLTE auch gelten, wenn es bei einem Angriff gelingt, die + Firewall neu zu starten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A26 + name: Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a26 + ref_id: NET.3.2.A26.1 + description: Funktionale Erweiterungen der Firewall SOLLTEN auf dedizierte Hard- + und Software ausgelagert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A27 + name: Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer + mehrstufigen Firewall-Architektur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a27 + ref_id: NET.3.2.A27.1 + description: "In einer mehrstufigen Firewall-Architektur SOLLTEN unterschiedliche\ + \ Betriebssysteme und -Produkte f\xFCr die \xE4u\xDFeren und inneren Firewalls\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A28 + name: Zentrale Filterung von aktiven Inhalten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28 + ref_id: NET.3.2.A28.1 + description: "Aktive Inhalte SOLLTEN gem\xE4\xDF den Sicherheitszielen der Institution\ + \ zentral gefiltert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28 + ref_id: NET.3.2.A28.2 + description: "Daf\xFCr SOLLTE auch der verschl\xFCsselte Datenverkehr entschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a28 + ref_id: NET.3.2.A28.3 + description: "Die erforderlichen Sicherheitsproxies SOLLTEN es unterst\xFCtzen,\ + \ aktive Inhalte zu filtern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A29 + name: "Einsatz von Hochverf\xFCgbarkeitsl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.1 + description: "Paketfilter und Application-Level-Gateway SOLLTEN hochverf\xFC\ + gbar ausgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.2 + description: "Zudem SOLLTEN zwei voneinander unabh\xE4ngige Zugangsm\xF6glichkeiten\ + \ zum externen Netz bestehen, z. B. zwei Internetzug\xE4nge von unterschiedlichen\ + \ Providern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.3 + description: "Interne und externe Router sowie alle weiteren beteiligten aktiven\ + \ Komponenten (z. B. Switches) SOLLTEN ebenfalls hochverf\xFCgbar ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.4 + description: "Auch nach einem automatischen Failover SOLLTE die Firewall-Struktur\ + \ die Anforderungen der Sicherheitsrichtlinie erf\xFCllen (Fail safe bzw.\ + \ Fail secure)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.5 + description: "Die Funktion SOLLTE anhand von zahlreichen Parametern \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.6 + description: "Die Funktions\xFCberwachung SOLLTE sich nicht auf ein einzelnes\ + \ Kriterium st\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a29 + ref_id: NET.3.2.A29.7 + description: "Protokolldateien und Warnmeldungen der Hochverf\xFCgbarkeitsl\xF6\ + sung SOLLTEN regelm\xE4\xDFig kontrolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A30 + name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a30 + ref_id: NET.3.2.A30.1 + description: "Um Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste\ + \ zu gew\xE4hrleisten, SOLLTEN Paketfilter mit entsprechender Bandbreitenmanagementfunktion\ + \ an Netz\xFCberg\xE4ngen und am \xDCbergang zwischen verschiedenen Sicherheitszonen\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A31 + name: Einsatz von zertifizierten Produkten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a31 + ref_id: NET.3.2.A31.1 + description: Firewalls mit einer Sicherheitsevaluierung nach Common Criteria + SOLLTEN eingesetzt werden, mindestens mit der Stufe EAL4. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2 + ref_id: NET.3.2.A32 + name: "Notfallvorsorge f\xFCr die Firewall" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.1 + description: Diagnose und Fehlerbehebungen SOLLTEN bereits im Vorfeld geplant + und vorbereitet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.2 + description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ + \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.3 + description: "Die Notfallplanungen f\xFCr die Firewall SOLLTEN mit der \xFC\ + bergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.4 + description: Sie SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren + (siehe DER.4 Notfallmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.5 + description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge + und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.2.a32 + ref_id: NET.3.2.A32.6 + description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ + \ regelm\xE4\xDFig geprobt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + assessable: false + depth: 1 + ref_id: NET.3.3 + name: VPN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A1 + name: Planung des VPN-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1 + ref_id: NET.3.3.A1.1 + description: "Die Einf\xFChrung eines VPN MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1 + ref_id: NET.3.3.A1.2 + description: "Dabei M\xDCSSEN die Verantwortlichkeiten f\xFCr den VPN-Betrieb\ + \ festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1 + ref_id: NET.3.3.A1.3 + description: "Es M\xDCSSEN f\xFCr das VPN zudem Benutzendengruppen und deren\ + \ Berechtigungen geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a1 + ref_id: NET.3.3.A1.4 + description: "Ebenso MUSS definiert werden, wie erteilte, ge\xE4nderte oder\ + \ entzogene Zugriffsberechtigungen zu dokumentieren sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A2 + name: Auswahl von VPN-Dienstleistenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a2 + ref_id: NET.3.3.A2.1 + description: "Falls VPN-Dienstleistende eingesetzt werden, M\xDCSSEN mit diesen\ + \ Service Level Agreements (SLAs) ausgehandelt und schriftlich dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a2 + ref_id: NET.3.3.A2.2 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die VPN-Dienstleistenden\ + \ die vereinbarten SLAs einhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A3 + name: "Sichere Installation von VPN-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3 + ref_id: NET.3.3.A3.1 + description: "Wird eine Appliance eingesetzt, die eine Wartung ben\xF6tigt,\ + \ MUSS es daf\xFCr einen g\xFCltigen Wartungsvertrag geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3 + ref_id: NET.3.3.A3.2 + description: Es MUSS sichergestellt werden, dass nur qualifiziertes Personal + VPN-Komponenten installiert. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3 + ref_id: NET.3.3.A3.3 + description: Die Installation der VPN-Komponenten sowie eventuelle Abweichungen + von den Planungsvorgaben SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a3 + ref_id: NET.3.3.A3.4 + description: "Die Funktionalit\xE4t und die gew\xE4hlten Sicherheitsmechanismen\ + \ des VPN M\xDCSSEN vor Inbetriebnahme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A4 + name: Sichere Konfiguration eines VPN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4 + ref_id: NET.3.3.A4.1 + description: "F\xFCr alle VPN-Komponenten MUSS eine sichere Konfiguration festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4 + ref_id: NET.3.3.A4.2 + description: Diese SOLLTE geeignet dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a4 + ref_id: NET.3.3.A4.3 + description: "Auch MUSS die f\xFCr die Administration zust\xE4ndige Person regelm\xE4\ + \xDFig kontrollieren, ob die Konfiguration noch sicher ist und sie eventuell\ + \ f\xFCr alle IT-Systeme anpassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A5 + name: "Sperrung nicht mehr ben\xF6tigter VPN-Zug\xE4nge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5 + ref_id: NET.3.3.A5.1 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob ausschlie\xDFlich\ + \ berechtigte IT-Systeme und Benutzende auf das VPN zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5 + ref_id: NET.3.3.A5.2 + description: "Nicht mehr ben\xF6tigte VPN-Zug\xE4nge M\xDCSSEN zeitnah deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a5 + ref_id: NET.3.3.A5.3 + description: "Der VPN-Zugriff MUSS auf die ben\xF6tigten Benutzungszeiten beschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A6 + name: "Durchf\xFChrung einer VPN-Anforderungsanalyse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.1 + description: "Eine Anforderungsanalyse SOLLTE durchgef\xFChrt werden, um f\xFC\ + r das jeweilige VPN die Einsatzszenarien zu bestimmen und daraus Anforderungen\ + \ an die ben\xF6tigten Hard- und Software-Komponenten ableiten zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.2 + description: 'In der Anforderungsanalyse SOLLTEN folgende Punkte betrachtet + werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.3 + description: "\u2022 Gesch\xE4ftsprozesse beziehungsweise Fachaufgaben," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.4 + description: "\u2022 Zugriffswege," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.5 + description: "\u2022 Identifikations- und Authentisierungsverfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.6 + description: "\u2022 Benutzende und ihre Berechtigungen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.7 + description: "\u2022 Zust\xE4ndigkeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a6 + ref_id: NET.3.3.A6.8 + description: "\u2022 Meldewege." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A7 + name: Planung der technischen VPN-Realisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7 + ref_id: NET.3.3.A7.1 + description: "Neben der allgemeinen Planung (siehe NET.3.3.A1 Planung des VPN-Einsatzes)\ + \ SOLLTEN die technischen Aspekte eines VPN sorgf\xE4ltig geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7 + ref_id: NET.3.3.A7.2 + description: "So SOLLTEN f\xFCr das VPN die Verschl\xFCsselungsverfahren, VPN-Endpunkte,\ + \ erlaubten Zugangsprotokolle, Dienste und Ressourcen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7 + ref_id: NET.3.3.A7.3 + description: "Zudem SOLLTEN die Teilnetze definiert werden, die \xFCber das\ + \ VPN erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a7 + ref_id: NET.3.3.A7.4 + description: (siehe NET.1.1 Netzarchitektur und -design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A8 + name: Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + ref_id: NET.3.3.A8.1 + description: Eine Sicherheitsrichtlinie zur VPN-Nutzung SOLLTE erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + ref_id: NET.3.3.A8.2 + description: Diese SOLLTE allen Mitarbeitenden bekannt gegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + ref_id: NET.3.3.A8.3 + description: "Die in der Sicherheitsrichtlinie beschriebenen Sicherheitsma\xDF\ + nahmen SOLLTEN im Rahmen von Schulungen erl\xE4utert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + ref_id: NET.3.3.A8.4 + description: "Wird f\xFCr Mitarbeitende ein VPN-Zugang eingerichtet, SOLLTE\ + \ diesen ein Merkblatt mit den wichtigsten VPN-Sicherheitsmechanismen ausgeh\xE4\ + ndigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a8 + ref_id: NET.3.3.A8.5 + description: Alle VPN-Benutzende SOLLTEN verpflichtet werden, die Sicherheitsrichtlinien + einzuhalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A9 + name: Geeignete Auswahl von VPN-Produkten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a9 + ref_id: NET.3.3.A9.1 + description: "Bei der Auswahl von VPN-Produkten SOLLTEN die Anforderungen der\ + \ Institutionen an die Vernetzung unterschiedlicher Standorte und die Anbindung\ + \ von mobilen Mitarbeitenden oder Telearbeitspl\xE4tzen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A10 + name: Sicherer Betrieb eines VPN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a10 + ref_id: NET.3.3.A10.1 + description: "F\xFCr VPNs SOLLTE ein Betriebskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a10 + ref_id: NET.3.3.A10.2 + description: "Darin SOLLTEN die Aspekte Qualit\xE4tsmanagement, \xDCberwachung,\ + \ Wartung, Schulung und Autorisierung beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A11 + name: Sichere Anbindung eines externen Netzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a11 + ref_id: NET.3.3.A11.1 + description: "Es SOLLTE sichergestellt werden, dass VPN-Verbindungen NUR zwischen\ + \ den daf\xFCr vorgesehenen IT-Systemen und Diensten aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a11 + ref_id: NET.3.3.A11.2 + description: "Die dabei eingesetzten Tunnel-Protokolle SOLLTEN f\xFCr den Einsatz\ + \ geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A12 + name: Konten- und Zugriffsverwaltung bei Fernzugriff-VPNs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a12 + ref_id: NET.3.3.A12.1 + description: "F\xFCr Fernzugriff-VPNs SOLLTE eine zentrale und konsistente Konten-\ + \ und Zugriffsverwaltung gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3 + ref_id: NET.3.3.A13 + name: Integration von VPN-Komponenten in eine Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a13 + ref_id: NET.3.3.A13.1 + description: Die VPN-Komponenten SOLLTEN in die Firewall integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.3.a13 + ref_id: NET.3.3.A13.2 + description: Dies SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + assessable: false + depth: 1 + ref_id: NET.3.4 + name: 'Network Access Control ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A1 + name: "Begr\xFCndete Entscheidung f\xFCr den Einsatz von NAC" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.1 + description: "Die Institution MUSS grunds\xE4tzlich entscheiden, ob und in welchem\ + \ Umfang NAC eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.2 + description: "Die getroffene Entscheidung MUSS zusammen mit einer Begr\xFCndung\ + \ an geeigneter Stelle dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.3 + description: "Wird NAC eingesetzt, M\xDCSSEN folgende Punkte geeignet thematisiert\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.4 + description: "\u2022 Netzbereiche und Netzkomponenten, f\xFCr die NAC realisiert\ + \ werden soll" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.5 + description: "\u2022 Umgang mit internen Endger\xE4ten und Fremdendger\xE4ten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a1 + ref_id: NET.3.4.A1.6 + description: "\u2022 Ber\xFCcksichtigung von NAC bei der Beschaffung von neuen\ + \ IT-Systemen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A2 + name: Planung des Einsatzes von NAC + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.1 + description: Der Einsatz von NAC SOLLTE umfassend und detailliert geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.2 + description: 'Die Planung SOLLTE dabei mindestens folgende Aspekte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.3 + description: "\u2022 Erstellung von Anforderungskatalogen f\xFCr Endger\xE4\ + te, Access-Switches und RADIUS-Server" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.4 + description: "\u2022 Pr\xFCfung und gegebenenfalls Erg\xE4nzung des IT-Asset-Managements" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.5 + description: "\u2022 Erstellung eines spezifischen NAC-Konzepts" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.6 + description: "\u2022 Festlegung von Beschaffungs-, Betriebs-, und Incident-Prozessen\ + \ f\xFCr NAC-Komponenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.7 + description: "\u2022 Migrationsplanung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.8 + description: "\u2022 Monitoring und Logging der NAC-L\xF6sung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.9 + description: "\u2022 Anbindung an sicherheitsrelevante Komponenten (z. B. Firewalls,\ + \ Virenschutz, Schwachstellen-Scanner, System zur zentralen Detektion und\ + \ automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a2 + ref_id: NET.3.4.A2.10 + description: "\u2022 Zusatzfunktionen wie Profiling, Endger\xE4tekonformit\xE4\ + tspr\xFCfung und Integrit\xE4tspr\xFCfung sowie Verschl\xFCsselung auf Layer\ + \ 2 mit MACsec" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A3 + name: "Erstellung eines Anforderungskatalogs f\xFCr NAC" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.1 + description: "Die Anforderungen an die NAC-L\xF6sung SOLLTEN in einem Anforderungskatalog\ + \ erhoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.2 + description: "Der Anforderungskatalog SOLLTE dabei die grundlegenden funktionalen\ + \ Anforderungen umfassen und alle NAC-Komponenten (z. B. Endger\xE4te, Access-Switches\ + \ und RADIUS-Server) adressieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.3 + description: "Der Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen,\ + \ den zust\xE4ndigen Gremien und den Richtlinien der Institution abgestimmt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.4 + description: "Der Anforderungskatalog SOLLTE regelm\xE4\xDFig und bei Bedarf\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.5 + description: "Wenn NAC-Komponenten beschafft werden, SOLLTEN zugeh\xF6rige Anforderungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a3 + ref_id: NET.3.4.A3.6 + description: "Die NAC-L\xF6sung SOLLTE auf Basis des Anforderungskatalogs getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A4 + name: Erstellung eines NAC-Konzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.1 + description: "Ausgehend von der Entscheidung aus NET.3.4.A1 Begr\xFCndete Entscheidung\ + \ f\xFCr den Einsatz von NAC und den Anforderungen an die NAC-L\xF6sung SOLLTE\ + \ ein NAC-Konzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.2 + description: "Das NAC-Konzept SOLLTE mit dem Segmentierungskonzept gem\xE4\xDF\ + \ NET.1.1 Netzarchitektur und -design abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.3 + description: "Dar\xFCber hinaus SOLLTEN im NAC-Konzept mindestens folgende Aspekte\ + \ festgelegt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.4 + description: "\u2022 Netzbereiche, in denen NAC eingef\xFChrt wird" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.5 + description: "\u2022 Authentisierung und Autorisierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.6 + description: "\u2022 Nutzung von Zusatzfunktionen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.7 + description: "\u2022 Konfigurationsvorgaben f\xFCr betroffene Endger\xE4tetypen,\ + \ Access-Switches und WLAN Access Points sowie WLAN Controller" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.8 + description: "\u2022 Aufbau der RADIUS-Infrastruktur und das grundlegende Regelwerk\ + \ f\xFCr NAC" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.9 + description: "\u2022 Anbindung an externe Sicherheitskomponenten wie Firewalls\ + \ oder Virenschutz" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.10 + description: "\u2022 Anbindung an Verzeichnisdienste Das NAC-Konzept SOLLTE\ + \ alle technischen und organisatorischen Vorgaben beschreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.11 + description: Insbesondere SOLLTEN alle relevanten Prozesse und die Migration + thematisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a4 + ref_id: NET.3.4.A4.12 + description: "Das NAC-Konzept SOLLTE regelm\xE4\xDFig gepr\xFCft und bei Bedarf\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A5 + name: "Anpassung von Prozessen f\xFCr Endger\xE4te bez\xFCglich NAC" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5 + ref_id: NET.3.4.A5.1 + description: "F\xFCr die Endger\xE4te, die in die NAC-L\xF6sung eingebunden\ + \ werden, SOLLTE NAC in allen relevanten Prozessen angemessen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5 + ref_id: NET.3.4.A5.2 + description: "Insbesondere SOLLTEN die Prozesse zu Inbetriebnahme, Austausch,\ + \ \xC4nderungen und St\xF6rungen angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a5 + ref_id: NET.3.4.A5.3 + description: "F\xFCr Supplicant-Software, Konfiguration und Identit\xE4tsmerkmale\ + \ (z. B. Zertifikate), die f\xFCr NAC auf den Endger\xE4ten erforderlich sind,\ + \ SOLLTE ein Prozess festgelegt werden, um die Endger\xE4te zentral zu verwalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A6 + name: "Festlegung von Notfallprozessen f\xFCr NAC" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.1 + description: "Wird die Wirkkette bei NAC gest\xF6rt, SOLLTE erwogen werden,\ + \ die Sicherheitsmechanismen von NAC tempor\xE4r in angemessenem Umfang zu\ + \ deaktivieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.2 + description: "Bei den Notfallma\xDFnahmen, die im Notfallprozess festgelegt\ + \ werden, SOLLTEN Produktivit\xE4t und Informationssicherheit gegeneinander\ + \ abgewogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.3 + description: "Dabei SOLLTEN die folgenden Optionen von Notfallma\xDFnahmen (RADIUS-down-Policies)\ + \ betrachtet werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.4 + description: "\u2022 Die bestehenden Verbindungen werden durch Mechanismen wie\ + \ tempor\xE4re Aussetzung der Reauthentisierung beibehalten, jedoch werden\ + \ alle neuen Anmeldeversuche abgelehnt, so dass das vorgesehene Sicherheitsniveau\ + \ erhalten bleibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.5 + description: "\u2022 Die dynamische Zuordnung wird f\xFCr neue Anmeldeversuche\ + \ ausgesetzt und stattdessen eine feste, vordefinierte Zuweisung von Netzsegmenten\ + \ durch Access-Switches vorgenommen, so dass zumindest grundlegend kommuniziert\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.6 + description: "\u2022 NAC wird auf den Access-Switches oder auf einzelnen Ports\ + \ eines Access-Switches deaktiviert, so dass weiterhin uneingeschr\xE4nkt\ + \ kommuniziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a6 + ref_id: NET.3.4.A6.7 + description: RADIUS-down-Policies SOLLTEN mit den relevanten Sicherheitsrichtlinien + der Institution abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A7 + name: Nutzung sicherer Authentisierungsverfahren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7 + ref_id: NET.3.4.A7.1 + description: "Endger\xE4te SOLLTEN sichere Authentisierungsverfahren nach dem\ + \ Stand der Technik verwenden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7 + ref_id: NET.3.4.A7.2 + description: "Endger\xE4te SOLLTEN automatisiert auf Basis von Zertifikaten\ + \ oder Zugangskonten authentisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a7 + ref_id: NET.3.4.A7.3 + description: "Unsichere Authentisierungsverfahren SOLLTEN nur in begr\xFCndeten\ + \ Ausnahmef\xE4llen genutzt und die Entscheidung dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A8 + name: "Festlegung der NAC-spezifischen Rollen und Berechtigungen f\xFCr den\ + \ RADIUS-Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.1 + description: "Im Rollen- und Berechtigungskonzept f\xFCr den RADIUS-Server SOLLTEN\ + \ die verschiedenen Gruppen ber\xFCcksichtigt werden, die wegen NAC auf einen\ + \ RADIUS-Server zugreifen m\xFCssen, um diesen zu administrieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.2 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ + \ ein zentraler RADIUS-Server f\xFCr die gesamte Institution bereitgestellt\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.3 + description: "Mindestens SOLLTEN die folgenden Gruppen mit NAC-spezifischem\ + \ Zugriff auf den RADIUS-Server zus\xE4tzlich zum allgemeinen IT-Betrieb ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.4 + description: "\u2022 die jeweiligen Organisationseinheiten, die Access-Switches\ + \ (RADIUS-Clients) f\xFCr ihren Netzbereich administrieren" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.5 + description: "\u2022 die jeweiligen Zust\xE4ndigen f\xFCr Endger\xE4tegruppen,\ + \ die Identit\xE4ten (z. B. MAC-Adressen) ihrer entsprechenden Gruppen verwalten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a8 + ref_id: NET.3.4.A8.6 + description: "\u2022 der First-Level-Support, der fehlerhafte RADIUS-Freigaben\ + \ analysiert und gegebenenfalls die entsprechenden Freischaltungen anpasst" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A9 + name: Festlegung eines angepassten NAC-Regelwerkes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9 + ref_id: NET.3.4.A9.1 + description: "F\xFCr die NAC-L\xF6sung SOLLTE ein NAC-Regelwerk definiert werden,\ + \ das das NAC-Konzept umsetzt und festlegt, wie die Endger\xE4te auf das Netz\ + \ zugreifen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9 + ref_id: NET.3.4.A9.2 + description: "Hierin SOLLTE f\xFCr jedes Endger\xE4t bzw. f\xFCr jede Endger\xE4\ + tegruppe festgelegt werden, ob uneingeschr\xE4nkt auf das Netz zugegriffen\ + \ werden darf, ob der Zugriff verweigert wird oder ob nur Segmente mit eingeschr\xE4\ + nkten Kommunikationsm\xF6glichkeiten erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9 + ref_id: NET.3.4.A9.3 + description: Im NAC-Regelwerk SOLLTE auch festgelegt werden, auf welcher Basis + die Zugangskontrolle erfolgt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a9 + ref_id: NET.3.4.A9.4 + description: "Hierf\xFCr SOLLTEN f\xFCr alle Endger\xE4te die genutzten Authentisierungsmethoden\ + \ und die Bedingungen f\xFCr eine erfolgreiche Authentisierung festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A10 + name: "Sichere Nutzung von Identit\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10 + ref_id: NET.3.4.A10.1 + description: "F\xFCr die NAC-Authentisierung SOLLTEN individuelle Identit\xE4\ + ten genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10 + ref_id: NET.3.4.A10.2 + description: "Identit\xE4ten, die von mehr als einem Endger\xE4t verwendet werden,\ + \ SOLLTEN nur in begr\xFCndeten Ausnahmef\xE4llen genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a10 + ref_id: NET.3.4.A10.3 + description: "Alle Informationen, die f\xFCr eine erfolgreiche Authentisierung\ + \ ben\xF6tigt werden, SOLLTEN nach aktuellem Stand der Technik vor unberechtigtem\ + \ Zugriff abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A11 + name: "Sichere Konfiguration der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.1 + description: "Alle Komponenten der NAC-L\xF6sung SOLLTEN sicher nach dem Stand\ + \ der Technik konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.2 + description: "Hierf\xFCr SOLLTEN entsprechende Standard-Konfigurationen und\ + \ Betriebshandb\xFCcher entwickelt und bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.3 + description: "Die vorgegebenen und umgesetzten Konfigurationen f\xFCr die Komponenten\ + \ der NAC-L\xF6sung SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und gegebenenfalls\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.4 + description: "Auf Endger\xE4ten SOLLTEN die Berechtigungen f\xFCr die Benutzenden\ + \ derart eingeschr\xE4nkt werden, dass diese die Konfigurationsparameter f\xFC\ + r den Supplicant nicht manipulieren, den Supplicant nicht deaktivieren und\ + \ die Schl\xFCssel oder Passw\xF6rter f\xFCr NAC nicht auslesen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.5 + description: "F\xFCr Access-Switches oder f\xFCr einzelne Ports von Access-Switches\ + \ SOLLTE die NAC-Authentisierung nur in begr\xFCndeten und zuvor festgelegten\ + \ Ausnahmef\xE4llen deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a11 + ref_id: NET.3.4.A11.6 + description: "Hierf\xFCr SOLLTEN technische Ma\xDFnahmen genutzt werden, die\ + \ gegebenenfalls durch organisatorische Ma\xDFnahmen erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A12 + name: "Monitoring der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.1 + description: "Die zentralen RADIUS-Server und alle Access-Switches mit Authenticator\ + \ sowie alle weiteren zentralen Dienste, die f\xFCr die NAC-L\xF6sung essentiell\ + \ sind, SOLLTEN in ein m\xF6glichst umfassendes und einheitliches Monitoring\ + \ eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.2 + description: "Erg\xE4nzend zum allgemeinen Monitoring gem\xE4\xDF OPS.1.1.1\ + \ Allgemeiner IT-Betrieb SOLLTEN alle NAC-spezifischen Parameter \xFCberwacht\ + \ werden, die die Funktionalit\xE4t der NAC-L\xF6sung oder der entsprechenden\ + \ Dienste sicherstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.3 + description: "Insbesondere SOLLTE die Verf\xFCgbarkeit des RADIUS-Protokolls\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.4 + description: "Hierf\xFCr SOLLTEN RADIUS-Anfragen an aktive Konten erzeugt werden,\ + \ um die gesamte NAC-Wirkkette inklusive der externen Verzeichnisdienste zu\ + \ pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.5 + description: "F\xFCr die Access-Switches SOLLTE der Status von NAC in das Monitoring\ + \ einbezogen werden, um ein Deaktivieren von NAC zu erkennen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a12 + ref_id: NET.3.4.A12.6 + description: "Abweichungen von definierten Zust\xE4nden und Grenzwerten SOLLTEN\ + \ dem IT-Betrieb gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A13 + name: "Erstellung von Validierungsvorgaben f\xFCr die NAC-Konfiguration" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13 + ref_id: NET.3.4.A13.1 + description: "F\xFCr die NAC-L\xF6sung SOLLTEN Validierungsvorgaben erstellt\ + \ werden, um sicherzustellen, dass die NAC-Komponenten das NAC-Konzept angemessen\ + \ umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13 + ref_id: NET.3.4.A13.2 + description: "Die Validierungsvorgaben SOLLTEN insbesondere die unterschiedlichen\ + \ Funktionsdetails f\xFCr die verschiedenen NAC-Komponenten ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a13 + ref_id: NET.3.4.A13.3 + description: "Die Validierung SOLLTE als Soll-Ist-Vergleich regelm\xE4\xDFig\ + \ sowie bei Bedarf f\xFCr die zentralen NAC-Komponenten und die Access-Switches\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A14 + name: "Umsetzung weiterer Ma\xDFnahmen bei Verwendung von MAC-Adress-Authentisierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14 + ref_id: NET.3.4.A14.1 + description: "Endger\xE4te, die nicht \xFCber eine sichere EAP-Methode authentisiert\ + \ werden k\xF6nnen und anhand ihrer MAC-Adresse identifiziert werden, SOLLTEN\ + \ NICHT als vertrauensw\xFCrdige Endger\xE4te eingestuft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14 + ref_id: NET.3.4.A14.2 + description: "Der Netzzugang SOLLTE auf das notwendige Minimum beschr\xE4nkt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a14 + ref_id: NET.3.4.A14.3 + description: "Hierf\xFCr SOLLTEN weitere Ma\xDFnahmen wie Nutzung von Kommunikationsbeschr\xE4\ + nkungen oder nachgelagertes Endger\xE4te-Profiling der Endger\xE4te-Aktivit\xE4\ + ten umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A15 + name: "Anbindung Virenschutz an NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15 + ref_id: NET.3.4.A15.1 + description: "Jedes Endger\xE4t SOLLTE auf Schadsoftware gepr\xFCft werden,\ + \ bevor es an das Netz der Institution angebunden wird und bevor es auf IT-Systeme\ + \ der Institution zugreift." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15 + ref_id: NET.3.4.A15.2 + description: "Hierf\xFCr SOLLTE f\xFCr die NAC-Endger\xE4te ein geeigneter Virenschutz\ + \ mit der NAC-Authentisierung und Autorisierung gekoppelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a15 + ref_id: NET.3.4.A15.3 + description: "Falls das Virenschutzprogramm Schadsoftware meldet, SOLLTE die\ + \ NAC-L\xF6sung mit geeigneten Ma\xDFnahmen reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A16 + name: Protokollierung der Ereignisse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + ref_id: NET.3.4.A16.1 + description: "Erg\xE4nzend zu OPS.1.1.5 Protokollierung SOLLTEN Status\xE4nderungen\ + \ an NAC-Komponenten sowie alle relevanten NAC-spezifischen, gegebenenfalls\ + \ sicherheitskritischen Ereignisse protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + ref_id: NET.3.4.A16.2 + description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ + \ auf die zentralen NAC-Komponenten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + ref_id: NET.3.4.A16.3 + description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten mit\ + \ welchen Details erfasst und welche Daten auf einer zentralen Protokollierungsinstanz\ + \ zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + ref_id: NET.3.4.A16.4 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a16 + ref_id: NET.3.4.A16.5 + description: "Sicherheitskritische Ereignisse wie RADIUS-down oder eine ungew\xF6\ + hnliche Anzahl von RADIUS-Anfragen SOLLTEN zu einem automatischen Alarm f\xFC\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A17 + name: Positionierung des RADIUS-Servers im Management-Bereich + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + ref_id: NET.3.4.A17.1 + description: "Der RADIUS-Server SOLLTE in einem gesch\xFCtzten Netzsegment innerhalb\ + \ des Management-Bereichs (siehe NET.1.1 Netzarchitektur und -design) positioniert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + ref_id: NET.3.4.A17.2 + description: "Kommunikationsanfragen an den RADIUS-Server SOLLTEN nur von vertrauensw\xFC\ + rdigen Quellen zugelassen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + ref_id: NET.3.4.A17.3 + description: "Diese SOLLTEN auf ein Minimum eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + ref_id: NET.3.4.A17.4 + description: "Der RADIUS-Server SOLLTE NICHT direkt mit Endger\xE4ten kommunizieren,\ + \ sondern ausschlie\xDFlich \xFCber den Authenticator auf den Access-Switches." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a17 + ref_id: NET.3.4.A17.5 + description: Anfragen der Access-Switches SOLLTEN nur aus dem gemeinsamen Management-Netzsegment + akzeptiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A18 + name: "Dokumentation der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.1 + description: "Die NAC-L\xF6sung mit allen NAC-Komponenten SOLLTE geeignet dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.2 + description: "Aus der Dokumentation SOLLTE mindestens hervorgehen, auf welchen\ + \ Komponenten und Endger\xE4ten NAC mit welchen Parametern genutzt wird und\ + \ welche Abh\xE4ngigkeiten zwischen den Komponenten existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.3 + description: "Auch SOLLTE das Regelwerk f\xFCr Authentisierung und Autorisierung,\ + \ das in Software-Code vorliegt, erg\xE4nzend in vereinfachter, verst\xE4\ + ndlicher Form dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.4 + description: "Dar\xFCber hinaus SOLLTE die Konfiguration aller NAC-Komponenten,\ + \ gegebenenfalls kategorisiert, umfassend dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.5 + description: "Die Dokumentation SOLLTE bei jeder \xC4nderung fortgeschrieben\ + \ und stets aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a18 + ref_id: NET.3.4.A18.6 + description: "Die Aktualit\xE4t der Dokumentation SOLLTE regelm\xE4\xDFig und\ + \ bei Bedarf gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A19 + name: "Ordnungsgem\xE4\xDFe Verwaltung von Identit\xE4ten zur Authentisierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + ref_id: NET.3.4.A19.1 + description: "Alle Identit\xE4ten, die via NAC einen Zugang zum Netz der Institution\ + \ erm\xF6glichen, SOLLTEN geeignet gesch\xFCtzt und verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + ref_id: NET.3.4.A19.2 + description: 'Hierzu SOLLTEN mindestens die folgenden Punkte festgelegt werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + ref_id: NET.3.4.A19.3 + description: "\u2022 Handhabung und Schutz von Zertifikaten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + ref_id: NET.3.4.A19.4 + description: "\u2022 Pr\xFCfen, Sperren und L\xF6schen von nicht mehr genutzten\ + \ Identit\xE4ten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a19 + ref_id: NET.3.4.A19.5 + description: "\u2022 Prozess und Schnittstellen zur Sperrung einer Identit\xE4\ + t" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A20 + name: Einsatz von MACsec + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + ref_id: NET.3.4.A20.1 + description: "F\xFCr jedes Datenpaket SOLLTE die Datenintegrit\xE4t gew\xE4\ + hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + ref_id: NET.3.4.A20.2 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, diese Daten zu verschl\xFC\ + sseln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + ref_id: NET.3.4.A20.3 + description: "Hierf\xFCr SOLLTE MACsec gem\xE4\xDF IEEE 802.1AE genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + ref_id: NET.3.4.A20.4 + description: "Access-Switches und Endger\xE4te, die MACsec nicht unterst\xFC\ + tzen oder f\xFCr die MACsec nicht eingerichtet werden soll, SOLLTEN erfasst\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a20 + ref_id: NET.3.4.A20.5 + description: "F\xFCr diese SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob\ + \ die Ausschlussgr\xFCnde noch gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A21 + name: "Einsatz von Endger\xE4tekonformit\xE4tspr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + ref_id: NET.3.4.A21.1 + description: "Bevor ein Endger\xE4t an das Netz der Institution angebunden wird\ + \ und bevor es auf IT-Systeme der Institution zugreift, SOLLTE gepr\xFCft\ + \ werden, ob es den Konformit\xE4tsvorgaben der Institution gen\xFCgt (Compliance\ + \ Check)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + ref_id: NET.3.4.A21.2 + description: "F\xFCr jedes Endger\xE4t SOLLTE festgelegt werden, welche Vorgaben\ + \ das Endger\xE4t einzuhalten hat." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + ref_id: NET.3.4.A21.3 + description: "Endger\xE4te, die nicht den Konformit\xE4tsvorgaben der Institution\ + \ gen\xFCgen, SOLLTEN nur stark eingeschr\xE4nkt auf das Netz der Institution\ + \ zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + ref_id: NET.3.4.A21.4 + description: "Die NAC-L\xF6sung SOLLTE mit einem Werkzeug zur Konformit\xE4\ + tspr\xFCfung verbunden werden, das eine Bewertung des Zustands der Endger\xE4\ + te vornimmt und an die NAC-L\xF6sung meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a21 + ref_id: NET.3.4.A21.5 + description: "Auf dieser Basis SOLLTE die NAC-L\xF6sung steuern, wie die Endger\xE4\ + te auf das Netz zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A22 + name: NAC-Autorisierung mit Mikrosegmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a22 + ref_id: NET.3.4.A22.1 + description: "Endger\xE4te mit \xE4hnlichem Anforderungsprofil und identischem\ + \ Schutzbedarf SOLLTEN via NAC getrennten Netzsegmenten zugewiesen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a22 + ref_id: NET.3.4.A22.2 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, ob mit NAC eine Mikrosegmentierung\ + \ der zu autorisierenden Endger\xE4te umgesetzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A23 + name: "Einsatz von autarken RADIUS-Servern f\xFCr unterschiedliche Netzbereiche\ + \ und Funktionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + ref_id: NET.3.4.A23.1 + description: "F\xFCr NAC SOLLTEN dedizierte und autarke RADIUS-Server eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + ref_id: NET.3.4.A23.2 + description: Weitere Funktionen wie VPN-Zugriffsregelung SOLLTEN NICHT gemeinsam + mit NAC-Funktionen auf einem gemeinsamen RADIUS-Server realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + ref_id: NET.3.4.A23.3 + description: "Zus\xE4tzlich SOLLTE erwogen werden, dedizierte und autarke RADIUS-Server\ + \ f\xFCr unterschiedliche Netze bereitzustellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + ref_id: NET.3.4.A23.4 + description: "Hier SOLLTEN insbesondere getrennte RADIUS-Server erwogen werden,\ + \ um Office- und Produktions-Endger\xE4te oder LAN- und WLAN-Endger\xE4te\ + \ getrennt abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a23 + ref_id: NET.3.4.A23.5 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, f\xFCr einzelne Netz-\ + \ oder Funktionsbereiche eigenst\xE4ndige RADIUS-Server einzurichten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A24 + name: Nutzung sicherer Protokolle zwischen NAC-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24 + ref_id: NET.3.4.A24.1 + description: "F\xFCr die Kommunikation zwischen den zentralen NAC-Komponenten\ + \ SOLLTEN grunds\xE4tzlich Protokolle verwendet werden, die nach dem Stand\ + \ der Technik als sicher gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24 + ref_id: NET.3.4.A24.2 + description: "F\xFCr die Kommunikation zwischen dem RADIUS-Server und einem\ + \ gegebenenfalls genutzten Verzeichnisdienst SOLLTEN nur sichere Protokolle\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a24 + ref_id: NET.3.4.A24.3 + description: "Dar\xFCber hinaus SOLLTE auch gepr\xFCft werden, ob f\xFCr die\ + \ Kommunikation zwischen dem RADIUS-Server und Access-Switches sichere Protokolle\ + \ eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A25 + name: "Einbindung der NAC-L\xF6sung in ein Sicherheitsmonitoring" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25 + ref_id: NET.3.4.A25.1 + description: "Die NAC-L\xF6sung SOLLTE in ein Sicherheitsmonitoring eingebunden\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25 + ref_id: NET.3.4.A25.2 + description: "Dies SOLLTE zumindest f\xFCr die zentralen NAC-Komponenten und\ + \ f\xFCr die weiteren zentralen Dienste, die von der NAC-L\xF6sung genutzt\ + \ werden, umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25 + ref_id: NET.3.4.A25.3 + description: "NAC-spezifische Sicherheitsereignisse (z. B. h\xE4ufige Zur\xFC\ + ckweisung von Anfragen oder die Mehrfachverwendung von Identit\xE4ten) SOLLTEN\ + \ in eine Alarmierung \xFCbernommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a25 + ref_id: NET.3.4.A25.4 + description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ + \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ + \ SOLLTEN die zentralen NAC-Komponenten sowie gegebenenfalls die weiteren\ + \ zentralen Dienste hierin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A26 + name: "Hochverf\xFCgbarkeit der zentralen NAC-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + ref_id: NET.3.4.A26.1 + description: Die zentralen NAC-Komponenten SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + ref_id: NET.3.4.A26.2 + description: "Alle weiteren zentralen Dienste, die f\xFCr die Funktionsf\xE4\ + higkeit der NAC-L\xF6sung essentiell sind, SOLLTEN auch hochverf\xFCgbar ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + ref_id: NET.3.4.A26.3 + description: "Die f\xFCr die Hochverf\xFCgbarkeit relevanten Parameter SOLLTEN\ + \ in Monitoring und Protokollierung integriert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + ref_id: NET.3.4.A26.4 + description: "Status\xE4nderungen und Warnmeldungen SOLLTEN regelm\xE4\xDFig\ + \ kontrolliert und gegebenenfalls in eine Alarmierung einbezogen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a26 + ref_id: NET.3.4.A26.5 + description: "Die RADIUS-down-Policies, mit denen eine Kommunikation auch bei\ + \ ausgefallenem RADIUS-Dienst gew\xE4hrleistet wird, SOLLTEN das Sicherheitsniveau\ + \ des Netzes NICHT senken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4 + ref_id: NET.3.4.A27 + name: "Pr\xFCfung der Notwendigkeit f\xFCr MAC-Adress-Authentisierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + ref_id: NET.3.4.A27.1 + description: "Eine Authentisierung \xFCber MAC-Adressen SOLLTE nur dort genutzt\ + \ werden, wo dies technisch unumg\xE4nglich ist und die Sicherheitsrichtlinien\ + \ dies zulassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + ref_id: NET.3.4.A27.2 + description: "Es SOLLTE im Vorfeld gepr\xFCft werden, ob solche Ausnahmef\xE4\ + lle notwendig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + ref_id: NET.3.4.A27.3 + description: "Ist dies der Fall, SOLLTEN die Ausnahmef\xE4lle auf den minimalen\ + \ Einsatzbereich eingeschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + ref_id: NET.3.4.A27.4 + description: "Die Begr\xFCndung und das Ergebnis der Pr\xFCfung SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.3.4.a27 + ref_id: NET.3.4.A27.5 + description: "Sie SOLLTEN regelm\xE4\xDFig und bei Bedarf nochmals verifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + assessable: false + depth: 1 + ref_id: NET.4.1 + name: TK-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A1 + name: "Anforderungsanalyse und Planung f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.1 + description: "Vor der Beschaffung oder Erweiterung einer TK-Anlage MUSS eine\ + \ Anforderungsanalyse durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.2 + description: Im Rahmen dieser Analyse MUSS festgelegt werden, welche Funktionen + die TK-Anlage bieten soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.3 + description: "Hierbei M\xDCSSEN neben der Auspr\xE4gung der TK-Anlage auch die\ + \ Anzahl der ben\xF6tigten Verbindungen und Anschl\xFCsse festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.4 + description: "Auch eine m\xF6gliche Erweiterbarkeit und grundlegenden Sicherheitsfunktionen\ + \ M\xDCSSEN bei der Planung betrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.5 + description: "Dar\xFCber hinaus M\xDCSSEN je nach Bedarf Support- und Wartungsvertr\xE4\ + ge f\xFCr die TK-Anlage ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.6 + description: "Basierend auf den ermittelten Anforderungen MUSS anschlie\xDF\ + end der Einsatz der TK-Anlage geplant und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a1 + ref_id: NET.4.1.A1.7 + description: "Die zuvor ermittelten Anforderungen und die Planung M\xDCSSEN\ + \ mit den entsprechenden IT-Zust\xE4ndigen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A2 + name: Auswahl von TK-Diensteanbietenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2 + ref_id: NET.4.1.A2.1 + description: "Um mit Personen telefonieren zu k\xF6nnen, deren Telefone nicht\ + \ an die institutionseigene TK-Anlage angeschlossen sind, MUSS ein TK-Diensteanbieter\ + \ oder TK-Diensteanbieterin beauftragt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2 + ref_id: NET.4.1.A2.2 + description: "Dabei M\xDCSSEN die Anforderungen an die TK-Anlage, die Sicherheitsrichtlinie\ + \ sowie vertragliche und finanzielle Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a2 + ref_id: NET.4.1.A2.3 + description: "Alle vereinbarten Leistungen M\xDCSSEN eindeutig schriftlich festgehalten\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A5 + name: Protokollierung bei TK-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5 + ref_id: NET.4.1.A5.1 + description: "Bei TK-Anlagen M\xDCSSEN geeignete Daten erfasst und bei Bedarf\ + \ ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5 + ref_id: NET.4.1.A5.2 + description: "Protokolliert werden M\xDCSSEN zus\xE4tzlich alle systemtechnischen\ + \ Eingriffe, die Programmver\xE4nderungen beinhalten, sowie Auswertungsl\xE4\ + ufe, Daten\xFCbermittlungen und Datenzugriffe." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5 + ref_id: NET.4.1.A5.3 + description: "Alle Administrationsarbeiten an der TK-Anlage M\xDCSSEN ebenfalls\ + \ protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a5 + ref_id: NET.4.1.A5.4 + description: "Die protokollierten Informationen SOLLTEN regelm\xE4\xDFig kontrolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A6 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6 + ref_id: NET.4.1.A6.1 + description: "Basierend auf der institutionsweiten Sicherheitsrichtlinie SOLLTE\ + \ eine eigene Sicherheitsrichtlinie f\xFCr die TK-Anlage erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6 + ref_id: NET.4.1.A6.2 + description: "Diese Sicherheitsrichtlinie f\xFCr die TK-Anlage SOLLTE grundlegende\ + \ Aussagen zur Vertraulichkeit, Verf\xFCgbarkeit und Integrit\xE4t beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6 + ref_id: NET.4.1.A6.3 + description: "Sie SOLLTE allen Personen, die an der Beschaffung, dem Aufbau,\ + \ der Umsetzung und dem Betrieb der TK-Anlage beteiligt sind, bekannt sein\ + \ und die Grundlage f\xFCr deren Arbeit darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a6 + ref_id: NET.4.1.A6.4 + description: Die zentralen sicherheitstechnischen Anforderungen an die TK-Anlage + sowie das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweite + Sicherheitsrichtlinie aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A7 + name: Geeignete Aufstellung der TK-Anlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a7 + ref_id: NET.4.1.A7.1 + description: Die TK-Anlage SOLLTE in einem geeigneten Raum untergebracht sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a7 + ref_id: NET.4.1.A7.2 + description: "Die Schnittstellen an der TK-Anlage, besonders nicht genutzte\ + \ Schnittstellen, SOLLTEN geeignet gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A8 + name: "Einschr\xE4nkung und Sperrung nicht ben\xF6tigter oder sicherheitskritischer\ + \ Leistungsmerkmale" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8 + ref_id: NET.4.1.A8.1 + description: "Der Umfang der verf\xFCgbaren Leistungsmerkmale SOLLTE auf das\ + \ notwendige Minimum beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8 + ref_id: NET.4.1.A8.2 + description: "Nur die ben\xF6tigten Leistungsmerkmale SOLLTEN freigeschaltet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8 + ref_id: NET.4.1.A8.3 + description: "Die nicht ben\xF6tigten oder wegen ihres Missbrauchspotenzials\ + \ als kritisch eingestuften Leistungsmerkmale SOLLTEN so weit wie m\xF6glich\ + \ an der zentralen Anlage abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a8 + ref_id: NET.4.1.A8.4 + description: "Zus\xE4tzliche Schutzma\xDFnahmen SOLLTEN f\xFCr die auf den Endger\xE4\ + ten gespeicherten und abrufbaren vertraulichen Daten ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A9 + name: Schulung zur sicheren Nutzung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9 + ref_id: NET.4.1.A9.1 + description: "Die Benutzenden der TK-Anlage SOLLTEN in die korrekte Verwendung\ + \ von Diensten und Ger\xE4ten eingewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9 + ref_id: NET.4.1.A9.2 + description: "Den Benutzenden der TK-Anlage SOLLTEN alle notwendigen Unterlagen\ + \ zur Bedienung der entsprechenden Endger\xE4te zur Verf\xFCgung gestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a9 + ref_id: NET.4.1.A9.3 + description: "S\xE4mtliche Auff\xE4lligkeiten und Unregelm\xE4\xDFigkeiten der\ + \ TK-Anlage SOLLTEN den entsprechenden Verantwortlichen gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A10 + name: Dokumentation und Revision der TK-Anlagenkonfiguration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10 + ref_id: NET.4.1.A10.1 + description: Die TK-Anlagenkonfiguration SOLLTE geeignet dokumentiert und fortgeschrieben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10 + ref_id: NET.4.1.A10.2 + description: "Die TK-Anlagenkonfiguration SOLLTE in regelm\xE4\xDFigen Abst\xE4\ + nden \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a10 + ref_id: NET.4.1.A10.3 + description: "Das Ergebnis der Pr\xFCfung SOLLTE zumindest den Informationssicherheitsbeauftragten,\ + \ den Fachverantwortlichen und anderen verantwortlichen Mitarbeitenden vorgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A11 + name: "Au\xDFerbetriebnahme von TK-Anlagen und -ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a11 + ref_id: NET.4.1.A11.1 + description: "Die Aussonderung von TK-Anlagen und angeschlossenen TK-Ger\xE4\ + ten SOLLTE in der Sicherheitsrichtlinie ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a11 + ref_id: NET.4.1.A11.2 + description: "Alle Daten, die auf TK-Anlagen oder Endger\xE4ten gespeichert\ + \ sind, SOLLTEN vor der Aussonderung sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A12 + name: Datensicherung der Konfigurationsdateien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12 + ref_id: NET.4.1.A12.1 + description: "Die Konfigurations- und Anwendungsdaten der eingesetzten TK-Anlage\ + \ SOLLTEN bei der Ersteinrichtung und anschlie\xDFend regelm\xE4\xDFig gesichert\ + \ werden, insbesondere nachdem sich diese ge\xE4ndert haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12 + ref_id: NET.4.1.A12.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft und dokumentiert werden,\ + \ ob die Sicherungen der TK-Anlagen auch tats\xE4chlich als Basis f\xFCr eine\ + \ Systemwiederherstellung genutzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a12 + ref_id: NET.4.1.A12.3 + description: "Es SOLLTE ein Datensicherungskonzept f\xFCr TK-Anlagen erstellt\ + \ und mit den allgemeinen Konzepten der Datensicherung f\xFCr Server und Netzkomponenten\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A13 + name: Beschaffung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13 + ref_id: NET.4.1.A13.1 + description: Bei der Beschaffung von TK-Anlagen SOLLTEN die Ergebnisse der Anforderungsanalyse + und der Planung miteinbezogen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13 + ref_id: NET.4.1.A13.2 + description: "Bei der Beschaffung einer TK-Anlage SOLLTE beachtet werden, dass\ + \ sie neben digitalen auch analoge Teilnehmeranschl\xFCsse anbieten sollte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a13 + ref_id: NET.4.1.A13.3 + description: "Dar\xFCber hinaus SOLLTEN vorhandene Kommunikationssysteme und\ + \ -komponenten bei der Beschaffung ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A14 + name: "Notfallvorsorge f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14 + ref_id: NET.4.1.A14.1 + description: "Es SOLLTE ein Notfallplan f\xFCr die TK-Anlage erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14 + ref_id: NET.4.1.A14.2 + description: Dieser SOLLTE in das Notfallkonzept der Institution integriert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a14 + ref_id: NET.4.1.A14.3 + description: "Es SOLLTEN regelm\xE4\xDFig Notfall\xFCbungen bez\xFCglich der\ + \ TK-Anlagen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A15 + name: Notrufe bei einem Ausfall der TK-Anlage + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a15 + ref_id: NET.4.1.A15.1 + description: "Es SOLLTE sichergestellt werden, dass auch bei einem Ausfall der\ + \ TK-Anlage Notrufe aus der Institution abgesetzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a15 + ref_id: NET.4.1.A15.2 + description: "Die Notrufm\xF6glichkeiten SOLLTEN von allen R\xE4umen aus auf\ + \ ausreichend kurzen Wegen erreichbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A16 + name: "Sicherung von Endger\xE4ten in frei zug\xE4nglichen R\xE4umen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a16 + ref_id: NET.4.1.A16.1 + description: "Der Funktionsumfang der Endger\xE4te, die in frei zug\xE4nglichen\ + \ R\xE4umen aufgestellt werden sollen, SOLLTE eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a16 + ref_id: NET.4.1.A16.2 + description: "Ist dies nicht m\xF6glich, SOLLTE das Endger\xE4t in geeigneter\ + \ Weise vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A17 + name: Wartung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a17 + ref_id: NET.4.1.A17.1 + description: "Die Ger\xE4te zur Wartung und Konfiguration der TK-Anlage SOLLTEN\ + \ mit Passw\xF6rtern bzw. PINs abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A18 + name: "Erh\xF6hter Zugangsschutz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18 + ref_id: NET.4.1.A18.1 + description: Die TK-Anlage SOLLTE in einem separaten sowie geeignet gesicherten + Raum untergebracht sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18 + ref_id: NET.4.1.A18.2 + description: "Der Zutritt und Zugang zur TK-Anlage SOLLTE nur einem eingeschr\xE4\ + nkten Personenkreis m\xF6glich sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a18 + ref_id: NET.4.1.A18.3 + description: Externe SOLLTEN NUR beaufsichtigt Zugang zur Anlage erhalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1 + ref_id: NET.4.1.A19 + name: Redundanter Anschluss + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a19 + ref_id: NET.4.1.A19.1 + description: Der Anschluss der TK-Anlage SOLLTE redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.1.a19 + ref_id: NET.4.1.A19.2 + description: "Bei IP-basierten TK-Anlagen SOLLTE ein zus\xE4tzlicher PSTN-Anschluss\ + \ vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + assessable: false + depth: 1 + ref_id: NET.4.2 + name: VoIP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A1 + name: Planung des VoIP-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.1 + description: "Die Bedingungen, unter denen VoIP eingesetzt werden soll, M\xDC\ + SSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.2 + description: "Es MUSS unter anderem entschieden werden, ob vollst\xE4ndig oder\ + \ partiell auf VoIP umgestiegen werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.3 + description: "Besondere Anforderungen an die Verf\xFCgbarkeit von VoIP oder\ + \ an die Vertraulichkeit und Integrit\xE4t der Telefonate bzw. der Signalisierungsinformationen\ + \ SOLLTEN vorab ermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.4 + description: "Geeignete Signalisierungs- und Medientransportprotokolle M\xDC\ + SSEN vor dem Einsatz ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.5 + description: "Es SOLLTE entschieden werden, ob und wie die VoIP-Infrastruktur\ + \ an \xF6ffentliche (Daten-)Netze angebunden werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a1 + ref_id: NET.4.2.A1.6 + description: "Die Kapazit\xE4ten und das Design von vorhandenen Datennetzen\ + \ SOLLTEN bei der Planung ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A3 + name: "Sichere Administration und Konfiguration von VoIP-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3 + ref_id: NET.4.2.A3.1 + description: "Nicht ben\xF6tigte Funktionen der Endger\xE4te M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3 + ref_id: NET.4.2.A3.2 + description: "Die Konfigurationseinstellungen D\xDCRFEN NICHT unberechtigt ge\xE4\ + ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3 + ref_id: NET.4.2.A3.3 + description: "Alle Sicherheitsfunktionen der Endger\xE4te SOLLTEN vor dem produktiven\ + \ Einsatz getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a3 + ref_id: NET.4.2.A3.4 + description: Die eingesetzten Sicherheitsmechanismen und die verwendeten Parameter + SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A4 + name: "Einschr\xE4nkung der Erreichbarkeit \xFCber VoIP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4 + ref_id: NET.4.2.A4.1 + description: "Es MUSS entschieden werden, wie externe Gespr\xE4chspartner und\ + \ -partnerinnen auf die VoIP-Architektur zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4 + ref_id: NET.4.2.A4.2 + description: "Es MUSS verhindert werden, dass IT-Systeme aus unsicheren Netzen\ + \ direkte Datenverbindungen auf die VoIP-Komponenten der Institution aufbauen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a4 + ref_id: NET.4.2.A4.3 + description: "Wenn alle ein- und ausgehenden Verbindungen \xFCber ein zentrales\ + \ IT-System abgewickelt werden sollen, SOLLTE sichergestellt werden, dass\ + \ alle Signalisierungs- und Sprachinformationen zwischen dem \xF6ffentlichen\ + \ und dem privaten Datennetz nur \xFCber dieses autorisierte IT-System ausgetauscht\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A5 + name: Sichere Konfiguration der VoIP-Middleware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5 + ref_id: NET.4.2.A5.1 + description: "Die VoIP-Komponenten M\xDCSSEN so konfiguriert sein, dass sie\ + \ den Schutzbedarf angemessen erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5 + ref_id: NET.4.2.A5.2 + description: "Die Default-Konfigurationen der VoIP-Middleware M\xDCSSEN vor\ + \ der produktiven Inbetriebnahme angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5 + ref_id: NET.4.2.A5.3 + description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ + \ werden, dass die Installation und Konfiguration durch sachkundige Dritte\ + \ anhand der Dokumentation nachvollzogen und wiederholt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a5 + ref_id: NET.4.2.A5.4 + description: "Alle nicht ben\xF6tigten Dienste der VoIP-Middleware M\xDCSSEN\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A7 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr VoIP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + ref_id: NET.4.2.A7.1 + description: Die zentralen sicherheitstechnischen Anforderungen an VoIP sowie + das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweiten Sicherheitsrichtlinie + aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + ref_id: NET.4.2.A7.2 + description: In dieser Sicherheitsrichtlinie SOLLTEN alle allgemeinen sicherheitstechnischen + Vorgaben konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + ref_id: NET.4.2.A7.3 + description: "Au\xDFerdem SOLLTEN in der Richtlinie die Vorgaben f\xFCr den\ + \ Betrieb und die Nutzung der VoIP-Komponenten geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + ref_id: NET.4.2.A7.4 + description: Hierbei SOLLTEN auch die verschiedenen VoIP-Funktionen, wie zum + Beispiel Voicemails, betrachtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a7 + ref_id: NET.4.2.A7.5 + description: "Die VoIP-Sicherheitsrichtlinie SOLLTE allen beteiligten Personen\ + \ und Gruppen zug\xE4nglich und bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A8 + name: "Verschl\xFCsselung von VoIP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8 + ref_id: NET.4.2.A8.1 + description: "Es SOLLTE entschieden werden, ob und welche Sprach- und Signalisierungsinformationen\ + \ verschl\xFCsselt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8 + ref_id: NET.4.2.A8.2 + description: "Generell SOLLTEN alle VoIP-Datenpakete, die das gesicherte LAN\ + \ verlassen, durch geeignete Sicherheitsmechanismen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a8 + ref_id: NET.4.2.A8.3 + description: "Die Benutzenden SOLLTEN \xFCber die Nutzung der VoIP-Verschl\xFC\ + sselung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A9 + name: Geeignete Auswahl von VoIP-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9 + ref_id: NET.4.2.A9.1 + description: Bevor VoIP-Komponenten beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9 + ref_id: NET.4.2.A9.2 + description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9 + ref_id: NET.4.2.A9.3 + description: Diese Anforderungsliste SOLLTE alle Merkmale zur Erreichung des + angestrebten Sicherheitsniveaus umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a9 + ref_id: NET.4.2.A9.4 + description: "Es SOLLTE geregelt werden, wie die am Markt erh\xE4ltlichen Produkte\ + \ gem\xE4\xDF der Anforderungsliste bewertet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A11 + name: "Sicherer Umgang mit VoIP-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a11 + ref_id: NET.4.2.A11.1 + description: "Benutzende, die VoIP-Endger\xE4te einsetzen, SOLLTEN \xFCber die\ + \ grundlegenden VoIP-Gef\xE4hrdungen und Sicherheitsma\xDFnahmen informiert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a11 + ref_id: NET.4.2.A11.2 + description: "Au\xDFerdem SOLLTEN sie geeignete Passw\xF6rter zur Absicherung\ + \ von Voicemails ausw\xE4hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A12 + name: "Sichere Au\xDFerbetriebnahme von VoIP-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + ref_id: NET.4.2.A12.1 + description: "Wenn VoIP-Komponenten au\xDFer Betrieb genommen oder ersetzt werden,\ + \ SOLLTEN alle sicherheitsrelevanten Informationen von den Ger\xE4ten gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + ref_id: NET.4.2.A12.2 + description: "Nach dem L\xF6schvorgang SOLLTE \xFCberpr\xFCft werden, ob die\ + \ Daten auch tats\xE4chlich erfolgreich entfernt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + ref_id: NET.4.2.A12.3 + description: "Vertrauliche Informationen SOLLTEN auch von Backup-Medien gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + ref_id: NET.4.2.A12.4 + description: "Alle Beschriftungen, insbesondere der Endger\xE4te, SOLLTEN vor\ + \ der Entsorgung entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a12 + ref_id: NET.4.2.A12.5 + description: "Es SOLLTE fr\xFChzeitig mit Herstellenden, Vertreibenden beziehungsweise\ + \ Service-Unternehmen gekl\xE4rt werden, welche Ma\xDFnahmen zur L\xF6schung\ + \ sicherheitsrelevanter Informationen mit den Vertrags- und Garantiebedingungen\ + \ vereinbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A13 + name: "Anforderungen an eine Firewall f\xFCr den Einsatz von VoIP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a13 + ref_id: NET.4.2.A13.1 + description: "Es SOLLTE \xFCberpr\xFCft werden, ob die bestehende Firewall f\xFC\ + r den Einsatz von VoIP angepasst werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a13 + ref_id: NET.4.2.A13.2 + description: "Ist dies nicht der Fall, SOLLTE eine zus\xE4tzliche Firewall hierf\xFC\ + r beschafft und installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A14 + name: "Verschl\xFCsselung der Signalisierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + ref_id: NET.4.2.A14.1 + description: "Die Integrit\xE4t und Vertraulichkeit der Signalisierungsinformationen\ + \ SOLLTE durch geeignete kryptografische Verfahren gew\xE4hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + ref_id: NET.4.2.A14.2 + description: "Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten\ + \ SOLLTEN durchg\xE4ngig verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + ref_id: NET.4.2.A14.3 + description: "Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und\ + \ H.323-Identit\xE4ten so weit wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + ref_id: NET.4.2.A14.4 + description: "Es SOLLTEN zus\xE4tzlich Ende-zu-Ende-Sicherheitsmechanismen f\xFC\ + r den Medientransport und die Signalisierung benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a14 + ref_id: NET.4.2.A14.5 + description: "Es SOLLTE dokumentiert werden, wie die Signalisierung gesch\xFC\ + tzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A15 + name: Sicherer Medientransport mit SRTP + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15 + ref_id: NET.4.2.A15.1 + description: "Mediendaten und Informationen zur Steuerung dieser Daten, die\ + \ \xFCber das Real-Time Transport Protocol (RTP) \xFCbertragen werden, SOLLTEN\ + \ in geeigneter Weise gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15 + ref_id: NET.4.2.A15.2 + description: "Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport\ + \ Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP)\ + \ gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a15 + ref_id: NET.4.2.A15.3 + description: Die sicherheitsrelevanten Optionen der Implementierung des Protokolls + SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2 + ref_id: NET.4.2.A16 + name: Trennung des Daten- und VoIP-Netzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16 + ref_id: NET.4.2.A16.1 + description: Das VoIP-Netz SOLLTE in geeigneter Weise vom Datennetz getrennt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16 + ref_id: NET.4.2.A16.2 + description: "Es SOLLTE geregelt werden, wie mit Ger\xE4ten umzugehen ist, die\ + \ auf das VoIP- und Datennetz zugreifen m\xFCssen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.2.a16 + ref_id: NET.4.2.A16.3 + description: "VoIP-Endger\xE4te in einem VoIP-Netz SOLLTEN NUR die vorgesehenen\ + \ VoIP-Verbindungen zu anderen IT-Systemen aufbauen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + assessable: false + depth: 1 + ref_id: NET.4.3 + name: "Faxger\xE4te und Faxserver" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A1 + name: "Geeignete Aufstellung eines Faxger\xE4tes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1 + ref_id: NET.4.3.A1.1 + description: "Faxger\xE4te M\xDCSSEN so aufgestellt werden, dass eingegangene\ + \ Faxsendungen nicht von Unberechtigten eingesehen oder entnommen werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1 + ref_id: NET.4.3.A1.2 + description: "Der Aufstellungsort SOLLTE zudem danach ausgew\xE4hlt werden,\ + \ dass ausreichend dimensionierte Telekommunikationsleitungen bzw. -kan\xE4\ + le vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1 + ref_id: NET.4.3.A1.3 + description: "Der Aufstellungsort MUSS \xFCber einen geeigneten Netzanschluss\ + \ f\xFCr das Faxger\xE4t verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a1 + ref_id: NET.4.3.A1.4 + description: "Faxger\xE4te D\xDCRFTEN NICHT an nicht daf\xFCr vorgesehene Netzanschl\xFC\ + sse angeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A2 + name: "Informationen f\xFCr Mitarbeitende \xFCber die Faxnutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + ref_id: NET.4.3.A2.1 + description: "Alle Mitarbeitenden M\xDCSSEN auf die Besonderheiten der Informations\xFC\ + bermittlung per Fax hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + ref_id: NET.4.3.A2.2 + description: "Sie M\xDCSSEN auch dar\xFCber informiert sein, dass die Rechtsverbindlichkeit\ + \ einer Faxsendung stark eingeschr\xE4nkt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + ref_id: NET.4.3.A2.3 + description: "Eine verst\xE4ndliche Bedienungsanleitung MUSS am Faxger\xE4t\ + \ ausliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + ref_id: NET.4.3.A2.4 + description: Die Benutzenden SOLLTEN mindestens eine Kurzanleitung zur eingesetzten + Faxclient-Software des Faxservers erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a2 + ref_id: NET.4.3.A2.5 + description: "Au\xDFerdem MUSS eine Anweisung zur korrekten Faxnutzung ausliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A3 + name: Sicherer Betrieb eines Faxservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.1 + description: Bevor ein Faxserver in Betrieb genommen wird, SOLLTE eine Testphase + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.2 + description: "Konfigurationsparameter sowie alle \xC4nderungen an der Konfiguration\ + \ eines Faxservers SOLLTEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.3 + description: "Die Archivierung und L\xF6schung von Faxdaten SOLLTEN geregelt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.4 + description: "Au\xDFerdem MUSS regelm\xE4\xDFig die Verbindung vom Faxserver\ + \ zur TK-Anlage beziehungsweise zum \xF6ffentlichen Telefonnetz auf ihre Funktion\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.5 + description: "Es MUSS au\xDFerdem sichergestellt werden, dass der Faxserver\ + \ ausschlie\xDFlich Fax-Dienste anbietet und nicht f\xFCr weitere Dienste\ + \ genutzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a3 + ref_id: NET.4.3.A3.6 + description: "Alle nicht ben\xF6tigten Leistungsmerkmale und Zug\xE4nge der\ + \ eingesetzten Kommunikationsschnittstellen M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Faxnutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + ref_id: NET.4.3.A4.1 + description: "Vor der Freigabe eines Ger\xE4tes SOLLTE eine Sicherheitsrichtlinie\ + \ f\xFCr die Faxnutzung erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + ref_id: NET.4.3.A4.2 + description: Dort SOLLTE die Einsatzart festgelegt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + ref_id: NET.4.3.A4.3 + description: "Au\xDFerdem SOLLTE geregelt werden, wie mit Faxeing\xE4ngen und\ + \ -ausg\xE4ngen umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + ref_id: NET.4.3.A4.4 + description: Zudem SOLLTE eine Regelung zur Behandlung von nicht zustellbaren + Faxsendungen erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a4 + ref_id: NET.4.3.A4.5 + description: "Au\xDFerdem SOLLTE die Richtlinie Informationen und Anweisungen\ + \ zur Notfallvorsorge und Ausfallsicherheit des Faxbetriebes enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A6 + name: "Beschaffung geeigneter Faxger\xE4te und Faxserver" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.1 + description: "Bevor Faxger\xE4te oder Faxserver beschafft werden, SOLLTE eine\ + \ Anforderungsliste erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.2 + description: Anhand dieser Liste SOLLTEN die infrage kommenden Systeme oder + Komponenten bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.3 + description: "Die Anforderungsliste f\xFCr Faxger\xE4te SOLLTE auch sicherheitsrelevante\ + \ Aspekte umfassen, wie den Austausch einer Teilnehmererkennung, die Ausgabe\ + \ von Sendeberichten sowie eine Fehlerprotokollierung und Journalf\xFChrung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.4 + description: "Zudem SOLLTEN angemessene zus\xE4tzliche Sicherheitsfunktionen\ + \ anhand des Schutzbedarfs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.5 + description: "Bei einem Faxserver SOLLTEN alle Anforderungen an das IT-System\ + \ einschlie\xDFlich Betriebssystem, Kommunikationskomponenten und Applikationssoftware\ + \ erhoben und ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a6 + ref_id: NET.4.3.A6.6 + description: "Die M\xF6glichkeit, dass ein Faxserver in ein bestehendes Datennetz\ + \ und in ein Groupware-System integriert werden kann, SOLLTE bei Bedarf ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A7 + name: Geeignete Kennzeichnung ausgehender Faxsendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + ref_id: NET.4.3.A7.1 + description: Quelle und Ziel jeder Faxsendung SOLLTEN auf allen ausgehenden + Faxsendungen ersichtlich sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + ref_id: NET.4.3.A7.2 + description: "Wenn diese Informationen nicht aus dem versendeten Dokument ermittelt\ + \ werden k\xF6nnen, SOLLTE ein standardisiertes Faxdeckblatt benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + ref_id: NET.4.3.A7.3 + description: Generell SOLLTE das Faxdeckblatt mindestens den Namen der Institution + des Absendenden, den Namen des Ansprechpartners bzw. der Ansprechpartnerin, + das Datum, die Seitenanzahl sowie einen Dringlichkeitsvermerk auflisten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + ref_id: NET.4.3.A7.4 + description: "Au\xDFerdem SOLLTE es die Namen und die Institution der Empfangenden\ + \ enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a7 + ref_id: NET.4.3.A7.5 + description: "Wenn notwendig, SOLLTE das Faxdeckblatt f\xFCr jedes ausgehende\ + \ Fax angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A8 + name: "Geeignete Entsorgung von Fax-Verbrauchsg\xFCtern und - Ersatzteilen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8 + ref_id: NET.4.3.A8.1 + description: "Alle Fax-Verbrauchsg\xFCter, aus denen Informationen \xFCber die\ + \ versendeten und empfangenen Fax-Dokumente gewonnen werden k\xF6nnen, SOLLTEN\ + \ vor der Entsorgung unkenntlich gemacht werden oder durch eine zuverl\xE4\ + ssige Fachfirma entsorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8 + ref_id: NET.4.3.A8.2 + description: Die gleiche Vorgehensweise SOLLTE auch bei ausgetauschten informationstragenden + Ersatzteilen erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8 + ref_id: NET.4.3.A8.3 + description: "Wartungsfirmen, die Faxger\xE4te \xFCberpr\xFCfen oder reparieren,\ + \ SOLLTEN zu einer entsprechenden Handhabung verpflichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a8 + ref_id: NET.4.3.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig kontrolliert werden, ob diese Handhabung\ + \ eingehalten wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A9 + name: Nutzung von Sende- und Empfangsprotokollen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.1 + description: "Die \xDCbertragungsvorg\xE4nge ein- und ausgehender Faxsendungen\ + \ SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.2 + description: "Dazu SOLLTEN die Kommunikationsjournale markt\xFCblicher Faxger\xE4\ + te genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.3 + description: "Verf\xFCgen die Faxger\xE4te \xFCber Protokollierungsfunktionen,\ + \ SOLLTEN diese aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.4 + description: Bei einem Faxserver SOLLTE die Protokollierung ebenso aktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.5 + description: Auch SOLLTE entschieden werden, welche Informationen protokolliert + werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.6 + description: "Die Kommunikationsjournale der Faxger\xE4te und die Protokollierungsdateien\ + \ SOLLTEN regelm\xE4\xDFig ausgewertet und archiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.7 + description: "Sie SOLLTEN stichprobenartig auf Unregelm\xE4\xDFigkeiten gepr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a9 + ref_id: NET.4.3.A9.8 + description: "Unbefugte SOLLTEN nicht auf die Kommunikationsjournale sowie die\ + \ protokollierten Informationen zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A10 + name: Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10 + ref_id: NET.4.3.A10.1 + description: "Programmierbare Kurzwahltasten oder gespeicherte Zieladressen\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob die gew\xFC\ + nschte Faxnummer mit der einprogrammierten Nummer \xFCbereinstimmt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10 + ref_id: NET.4.3.A10.2 + description: "Nicht mehr ben\xF6tige Faxnummern SOLLTEN gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a10 + ref_id: NET.4.3.A10.3 + description: "Es SOLLTE in geeigneter Weise dokumentiert werden, wenn ein neuer\ + \ Eintrag aufgenommen oder eine Zielnummer ge\xE4ndert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A11 + name: "Schutz vor \xDCberlastung des Faxger\xE4tes" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + ref_id: NET.4.3.A11.1 + description: "Es SOLLTEN ausreichend Kommunikationsleitungen bzw. -kan\xE4le\ + \ verf\xFCgbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + ref_id: NET.4.3.A11.2 + description: "Bei einem Faxserver SOLLTE das voraussichtliche Faxvolumen abgesch\xE4\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + ref_id: NET.4.3.A11.3 + description: "Es SOLLTEN entsprechend leistungsf\xE4hige Komponenten ausgew\xE4\ + hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + ref_id: NET.4.3.A11.4 + description: "Die Protokolle von Faxservern SOLLTEN regelm\xE4\xDFig kontrolliert\ + \ werden, um Engp\xE4ssen durch \xDCberlastungen rechtzeitig entgegenzuwirken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a11 + ref_id: NET.4.3.A11.5 + description: "Nicht mehr ben\xF6tigte Faxdaten SOLLTEN zeitnah vom Faxserver\ + \ gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A12 + name: Sperren bestimmter Quell- und Ziel-Faxnummern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12 + ref_id: NET.4.3.A12.1 + description: "Unerw\xFCnschte Faxadressen, SOLLTEN blockiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12 + ref_id: NET.4.3.A12.2 + description: Alternativ SOLLTEN nur bestimmte Rufnummern zugelassen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a12 + ref_id: NET.4.3.A12.3 + description: "Es SOLLTE gepr\xFCft werden, welcher Ansatz in welcher Situation\ + \ geeignet ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A13 + name: Festlegung berechtigter Faxbedienenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13 + ref_id: NET.4.3.A13.1 + description: "Es SOLLTEN nur wenige Mitarbeitende ausgew\xE4hlt werden, die\ + \ auf das Faxger\xE4t zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13 + ref_id: NET.4.3.A13.2 + description: Diese Mitarbeitenden SOLLTEN ankommende Faxsendungen an die Empfangenden + verteilen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13 + ref_id: NET.4.3.A13.3 + description: "Den Mitarbeitenden SOLLTE vermittelt werden, wie sie mit dem Ger\xE4\ + t umgehen und wie sie die erforderlichen Sicherheitsma\xDFnahmen umsetzen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a13 + ref_id: NET.4.3.A13.4 + description: "Jeder berechtigte Benutzende SOLLTE dar\xFCber unterrichtet werden,\ + \ wer das Faxger\xE4t bedienen darf und wer f\xFCr das Ger\xE4t zust\xE4ndig\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A14 + name: Fertigung von Kopien eingehender Faxsendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14 + ref_id: NET.4.3.A14.1 + description: "Auf Thermopapier gedruckte Faxsendungen, die l\xE4nger ben\xF6\ + tigt werden, SOLLTEN auf Normalpapier kopiert oder eingescannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14 + ref_id: NET.4.3.A14.2 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass auf Thermopapier die\ + \ Farbe schneller verblasst und somit unkenntlich wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a14 + ref_id: NET.4.3.A14.3 + description: Die Kopien oder eingescannten Faxsendungen SOLLTEN in geeigneter + Weise archiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3 + ref_id: NET.4.3.A15 + name: "Ank\xFCndigung und R\xFCckversicherung im Umgang mit Faxsendungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + ref_id: NET.4.3.A15.1 + description: "Wichtige Faxsendungen SOLLTEN den Empfangenden angek\xFCndigt\ + \ werden, bevor sie versendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + ref_id: NET.4.3.A15.2 + description: Dazu SOLLTE festgelegt werden, welche Dokumente vorab angemeldet + werden sollen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + ref_id: NET.4.3.A15.3 + description: "Mitarbeitende, die vertrauliche Fax-Dokumente versenden m\xF6\ + chten, SOLLTEN angewiesen werden, sich den vollst\xE4ndigen Erhalt von den\ + \ Empfangenden best\xE4tigen zu lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + ref_id: NET.4.3.A15.4 + description: "Bei wichtigen oder ungew\xF6hnlichen Faxsendungen SOLLTEN sich\ + \ wiederum Empfangende von den Absendenden best\xE4tigen lassen, dass das\ + \ Fax-Dokument von ihnen stammt und nicht gef\xE4lscht wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-net-netze-und-kommunikation:net.4.3.a15 + ref_id: NET.4.3.A15.5 + description: "Es SOLLTE eine geeignete Kommunikationsform ausgew\xE4hlt werden,\ + \ mit dem die Fax-Dokumente angek\xFCndigt oder best\xE4tigt werden, beispielsweise\ + \ per Telefon." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-ops-betrieb.yaml b/backend/library/libraries/bs-it-gs-2023-ops-betrieb.yaml new file mode 100644 index 000000000..646c45ece --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-ops-betrieb.yaml @@ -0,0 +1,11120 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-ops-betrieb +locale: de +ref_id: bs-it-gs-2023-ops-betrieb +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - OPS:\ + \ Betrieb" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-ops-betrieb + ref_id: bs-it-gs-2023-ops-betrieb + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - OPS: Betrieb" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + assessable: false + depth: 1 + ref_id: OPS.1.1.1 + name: 'Allgemeiner IT-Betrieb ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A1 + name: "Festlegung der Aufgaben und Zust\xE4ndigkeiten des IT-Betriebs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.1 + description: "F\xFCr alle betriebenen IT-Komponenten MUSS festgelegt werden,\ + \ welche Aufgaben f\xFCr den IT-Betrieb anfallen und wer daf\xFCr zust\xE4\ + ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.2 + description: "Hierf\xFCr M\xDCSSEN die entsprechenden Rechte, Pflichten, Aufgaben\ + \ mit den hierf\xFCr erforderlichen T\xE4tigkeiten, Befugnisse und zugeh\xF6\ + rigen Prozesse geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.3 + description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege sowie das\ + \ Eskalationsmanagement zwischen verschiedenen Betriebseinheiten und gegen\xFC\ + ber anderen organisatorischen Einheiten der Institution festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A2 + name: "Festlegung von Rollen und Berechtigungen f\xFCr den IT-Betrieb" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.1 + description: "F\xFCr alle betriebenen IT-Komponenten MUSS das jeweilige Rollen-\ + \ und Berechtigungskonzept auch Rollen und zugeh\xF6rige Berechtigungen f\xFC\ + r den IT-Betrieb festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.2 + description: "F\xFCr die Betriebsmittel MUSS ebenfalls ein Rollen- und Berechtigungskonzept\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.3 + description: "Das Rollen- und Berechtigungskonzept f\xFCr den IT-Betrieb MUSS\ + \ die IT-Nutzung von IT-Betriebsaufgaben trennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.4 + description: "Administrationsaufgaben und sonstige Betriebsaufgaben M\xDCSSEN\ + \ durch unterschiedliche Rollen getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.5 + description: "Grunds\xE4tzlich SOLLTE der IT-Betrieb f\xFCr unterschiedliche\ + \ Betriebst\xE4tigkeiten unterschiedliche Rollen festlegen, die f\xFCr die\ + \ jeweiligen T\xE4tigkeiten die erforderlichen Berechtigungen besitzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.6 + description: "Sammel-Accounts D\xDCRFEN NUR in begr\xFCndeten Ausnahmef\xE4\ + llen eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.7 + description: "Die Rollen und Berechtigungen M\xDCSSEN regelm\xE4\xDFig gepr\xFC\ + ft und auf die aktuellen Gegebenheiten angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.8 + description: "Insbesondere M\xDCSSEN die Berechtigungen von ausgeschiedenem\ + \ Personal auf den IT-Komponenten entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.9 + description: "Ebenso M\xDCSSEN die Rollen und Berechtigungen gel\xF6scht werden,\ + \ wenn IT-Komponenten au\xDFer Betrieb genommenen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A3 + name: "Erstellen von Betriebshandb\xFCchern f\xFCr die betriebene IT" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.1 + description: "F\xFCr alle betriebenen IT-Komponenten SOLLTEN die Betriebsaufgaben\ + \ geplant und in Betriebshandb\xFCchern erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.2 + description: "Die Betriebshandb\xFCcher SOLLTEN stets verf\xFCgbar sein und\ + \ mindestens die folgenden Themen adressieren:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.3 + description: "\u2022 relevante System- und Kontaktinformationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.4 + description: "\u2022 erforderliche und zul\xE4ssige Betriebsmittel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.5 + description: "\u2022 allgemeine Konfigurationsvorgaben" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.6 + description: "\u2022 Konfigurationsvorgaben zur H\xE4rtung von Spezialsystemen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.7 + description: "\u2022 Rollen- und Berechtigungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.8 + description: "\u2022 IT-Monitoring, Protokollierung und Alarmierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.9 + description: "\u2022 Datensicherung und Notfallkonzepte" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.10 + description: "\u2022 IT Incident Management" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.11 + description: "\u2022 Vorgaben f\xFCr alle regelm\xE4\xDFigen und au\xDFerplanm\xE4\ + \xDFigen T\xE4tigkeiten Die Betriebshandb\xFCcher SOLLTEN regelm\xE4\xDFig\ + \ und anlassbezogen gepr\xFCft und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A4 + name: Bereitstellen ausreichender Personal- und Sachressourcen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.1 + description: "Der IT-Betrieb SOLLTE \xFCber ausreichende Personal-Ressourcen\ + \ verf\xFCgen, um einen ordnungsgem\xE4\xDFen IT-Betrieb gew\xE4hrleisten\ + \ zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.2 + description: "Hierf\xFCr SOLLTE der Aufwand f\xFCr alle T\xE4tigkeiten des IT-Betriebs\ + \ ermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.3 + description: "Die Personal-Ressourcen SOLLTEN mit angemessenen Redundanzen und\ + \ Reserven geplant werden und auch kurzfristige Personalausf\xE4lle sowie\ + \ tempor\xE4r erh\xF6hte Personalbedarfe ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.4 + description: Ebenfalls SOLLTEN geeignete Sach-Ressourcen bereitstehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.5 + description: "Hierf\xFCr SOLLTE f\xFCr jede T\xE4tigkeit des IT-Betriebs identifiziert\ + \ werden, welche Betriebsmittel erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.6 + description: "Die Ressourcenplanung SOLLTE regelm\xE4\xDFig und anlassbezogen\ + \ \xFCberpr\xFCft und an die aktuellen Erfordernisse angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A5 + name: "Festlegen von geh\xE4rteten Standardkonfigurationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.1 + description: "Der IT-Betrieb SOLLTE die betriebenen IT-Komponenten kategorisieren\ + \ und f\xFCr diese Kategorien geh\xE4rtete Standardkonfigurationen festlegen\ + \ und bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.2 + description: "F\xFCr IT-Plattformen wie Virtualisierungshosts, auf denen weitere\ + \ IT-Komponenten bereitgestellt und betrieben werden, SOLLTE eine abgestimmte\ + \ H\xE4rtung entwickelt und umgesetzt werden, die alle Elemente der IT-Komponenten\ + \ ber\xFCcksichtigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.3 + description: "Hierbei SOLLTEN verschiedene Auspr\xE4gungen der IT-Komponenten\ + \ ber\xFCcksichtigt und erlaubte Abweichungen spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.4 + description: "Die Konfigurationsvorgaben SOLLTEN die Sicherheitsanforderungen\ + \ der Institution umsetzen und die Empfehlungen der jeweiligen Herstellenden\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.5 + description: "Die geh\xE4rteten Standard-Konfigurationen SOLLTEN in den jeweiligen\ + \ Betriebshandb\xFCchern dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.6 + description: Jede Standardkonfiguration SOLLTE vor Bereitstellung getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.7 + description: "Die geh\xE4rteten Standardkonfigurationen SOLLTEN regelm\xE4\xDF\ + ig und anlassbezogen gepr\xFCft und gem\xE4\xDF der verf\xFCgbaren Informationen\ + \ an den aktuellen Stand der Technik angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.8 + description: "Der IT-Betrieb SOLLTE gew\xE4hrleisten, dass die aktuellen Konfigurationsvorgaben\ + \ stets verf\xFCgbar sind und \xFCber eine Versionierung und eine Beschreibung\ + \ identifizierbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A6 + name: "Durchf\xFChrung des IT-Asset-Managements" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.1 + description: "Der IT-Betrieb SOLLTE eine \xDCbersicht aller vorhandenen IT-Assets\ + \ erstellen, regelm\xE4\xDFig pr\xFCfen und aktuell halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.2 + description: Im IT-Asset-Management (ITAM) SOLLTEN alle produktiven IT-Komponenten, + Test-Instanzen und IT-Komponenten der Reservevorhaltung erfasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.3 + description: Auch vorhandene, aber nicht mehr genutzte IT-Assets SOLLTEN erfasst + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.4 + description: "Es SOLLTEN ITAM-Tools eingesetzt werden, die eine zentrale Verwaltung\ + \ der IT-Assets erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A7 + name: "Sicherstellung eines ordnungsgem\xE4\xDFen IT-Betriebs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten Betriebskonzepte\ + \ entwickeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.2 + description: "Diese Betriebskonzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.3 + description: Die sicherheitsrelevanten Vorgaben zur Konfiguration SOLLTEN umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.4 + description: "Daf\xFCr SOLLTEN die geh\xE4rteten Standard-Konfigurationen genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.5 + description: "Der IT-Betrieb SOLLTE f\xFCr alle T\xE4tigkeiten Pr\xFCfkriterien\ + \ festlegen, die in ihrer Gesamtheit als Leitfaden f\xFCr den ordnungsgem\xE4\ + \xDFen IT-Betrieb dienen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.6 + description: "Die Freigabe von installierten oder ge\xE4nderten IT-Komponenten\ + \ in den produktiven Betrieb SOLLTE \xFCber diese Pr\xFCfkriterien nachgewiesen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.7 + description: "Bei Inbetriebnahme und nach Updates oder Umstrukturierungen SOLLTEN\ + \ Systemtests f\xFCr die IT-Komponenten durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.8 + description: "Der IT-Betrieb SOLLTE festlegen, in welcher Umgebung die jeweiligen\ + \ Systemtests mit welcher Testabdeckung und Testtiefe durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.9 + description: "Der IT-Betrieb SOLLTE Vorkehrungen f\xFCr die Ersatzbeschaffung\ + \ von IT-Komponenten treffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.10 + description: "Hierf\xFCr SOLLTEN eine Reservevorhaltung oder Liefervertr\xE4\ + ge vorgesehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.11 + description: "Alle T\xE4tigkeiten des IT-Betriebs SOLLTEN umfassend und nachvollziehbar\ + \ erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.12 + description: "Hierf\xFCr SOLLTE der IT-Betrieb ein geeignetes Werkzeug wie ein\ + \ Ticketsystem nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.13 + description: "Der IT-Betrieb SOLLTE insbesondere die Qualit\xE4t der Betriebsprozesse,\ + \ die Einhaltung von SLAs und die Zufriedenheit der Benutzenden systematisch\ + \ erfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.14 + description: "Es SOLLTEN regelm\xE4\xDFig Reports erstellt werden, die dem Nachweis\ + \ eines ordnungsgem\xE4\xDFen IT-Betriebs dienen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A8 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a8 + ref_id: OPS.1.1.1.A8.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig und anlassbezogen f\xFC\ + r alle betriebenen IT-Komponenten sowie f\xFCr die Betriebsmittel pr\xFCfen,\ + \ ob die aktuelle Konfiguration dem Sollzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a8 + ref_id: OPS.1.1.1.A8.2 + description: "Dar\xFCber hinaus SOLLTE gepr\xFCft werden, ob die gelebten Prozesse\ + \ die festgelegten Prozesse des IT-Betriebs umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A9 + name: "Durchf\xFChrung von IT-Monitoring" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.1 + description: Alle IT-Komponenten SOLLTEN in ein einheitliches IT-Monitoring + eingebunden werden, das alle relevanten Parameter der IT-Komponenten beinhaltet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.2 + description: "Das IT-Monitoring SOLLTE mit dem \xFCbergeordneten Service-Management\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.3 + description: "Der IT-Betrieb SOLLTE das IT-Monitoring entsprechend eines vorher\ + \ festgelegten Monitoring-Plans durchf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.4 + description: "Je IT-Komponente SOLLTEN angemessene Schwellwerte ermittelt werden,\ + \ die eine Meldung oder einen Alarm ausl\xF6sen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.5 + description: "Der IT-Betrieb SOLLTE f\xFCr das IT-Monitoring spezifizieren,\ + \ welche Meldewege genutzt werden und welche Konsequenzen aus den Meldungen\ + \ oder Alarmen gezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.6 + description: "Auf Basis von Monitoring-Ergebnissen SOLLTE \xFCberpr\xFCft werden,\ + \ ob die Infrastruktur erweitert oder angepasst wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.7 + description: "\xDCber die gewonnenen Erkenntnisse SOLLTEN regelm\xE4\xDFig Reports\ + \ erstellt werden, die das aktuelle Lagebild der betriebenen IT und die zeitliche\ + \ Entwicklung sowie Trends darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.8 + description: "Die Konzeption des IT-Monitorings SOLLTE regelm\xE4\xDFig und\ + \ anlassbezogen gepr\xFCft und aktualisiert werden, um dem aktuellen Stand\ + \ der Technik und der betriebenen Infrastruktur zu entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.9 + description: "Die Monitoring-Daten SOLLTEN nur \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A10 + name: "F\xFChren eines Schwachstelleninventars" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.1 + description: "Der IT-Betrieb SOLLTE ein Schwachstelleninventar f\xFChren, in\ + \ dem die Schwachstellen aller betriebenen IT-Komponenten und der Umgang mit\ + \ diesen zentral erfasst und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.2 + description: Der IT-Betrieb SOLLTE die Behandlung der Schwachstellen initiieren, + nachhalten und sicherstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.3 + description: Es SOLLTE ein Prozess definiert werden, der den Umgang mit den + Schwachstellen festlegt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.4 + description: Mindestens SOLLTE spezifiziert werden, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.5 + description: "\u2022 bis wann ein verf\xFCgbares Update, in dem die Schwachstelle\ + \ behoben ist, zu installieren ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.6 + description: "\u2022 in welchen F\xE4llen und bis wann IT-Komponenten mit Schwachstellen\ + \ au\xDFer Betrieb genommen oder ersetzt werden und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.7 + description: "\u2022 ob und wie solche IT-Komponenten separiert werden, falls\ + \ weder ein Ersatz noch ein Update m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A11 + name: Festlegung und Einhaltung von SLAs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a11 + ref_id: OPS.1.1.1.A11.1 + description: "F\xFCr alle IT-Komponenten und alle T\xE4tigkeiten SOLLTE der\ + \ IT-Betrieb Service Level Agreements (SLAs) definieren und \xFCberwachen,\ + \ die dem Schutzbedarf der IT-Komponenten entsprechen und innerhalb der Institution\ + \ abgestimmt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a11 + ref_id: OPS.1.1.1.A11.2 + description: "Die festgelegten SLAs SOLLTEN die Rollen und Berechtigungen sowie\ + \ eventuelle Abh\xE4ngigkeiten der jeweiligen T\xE4tigkeit von anderen Organisationseinheiten\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A12 + name: Spezifikation und Umsetzung klarer Betriebsprozesse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle Aufgaben Betriebsprozesse spezifizieren,\ + \ die f\xFCr die jeweilige Aufgabe alle T\xE4tigkeiten und Abh\xE4ngigkeiten\ + \ umfassen und gew\xE4hrleisten, dass die T\xE4tigkeiten des IT-Betriebs nachvollziehbar\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.2 + description: "Es SOLLTE f\xFCr jeden Prozess festgelegt werden, wer den Prozess\ + \ initiieren darf und wer diesen umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.3 + description: "F\xFCr jeden Prozess SOLLTEN die organisatorischen Schnittstellen\ + \ zu anderen Gruppen des IT-Betriebs oder anderen Organisationseinheiten spezifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.4 + description: "Das Personal des IT-Betriebs SOLLTE f\xFCr die relevanten Betriebsprozesse\ + \ eingewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.5 + description: Wenn Prozesse durchlaufen wurden, SOLLTE dies protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.6 + description: Das Ergebnis des Durchlaufs SOLLTE protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.7 + description: "F\xFCr jeden Prozessschritt SOLLTE festgelegt werden, ob dokumentiert\ + \ werden muss, dass er bearbeitet wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.8 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wann der Prozess erfolgreich\ + \ abgeschlossen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.9 + description: "Der IT-Betrieb SOLLTE einen Prozess spezifizieren, der grunds\xE4\ + tzlich beschreibt, wie mit Situationen umzugehen ist, die nicht in den regul\xE4\ + ren Betriebsprozessen enthalten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.10 + description: Mindestens SOLLTEN Fallback-Prozesse definiert sein und beschrieben + werden, wie bei fehlerhaftem oder manipuliertem Betrieb vorzugehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A13 + name: Absicherung der Betriebsmittel und der Dokumentation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.1 + description: "Auf die Betriebsmittel, die Dokumentation und die Betriebshandb\xFC\ + cher SOLLTEN nur berechtigte Personen des IT-Betriebs zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.2 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass die Betriebsmittel und\ + \ die Dokumentation zu jeder Zeit verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.3 + description: "Falls die IT-Systeme und -Anwendungen der Betriebsmittel \xFC\ + ber die produktive Infrastruktur kommunizieren, SOLLTEN sichere Protokolle\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.4 + description: "Vertrauliche Daten SOLLTEN ausschlie\xDFlich \xFCber sichere Protokolle\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.5 + description: Die Betriebsmittel SOLLTEN in das Schwachstellenmanagement und + das IT-Monitoring eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A14 + name: "Ber\xFCcksichtigung der Betreibbarkeit bei Konzeption und Beschaffung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.1 + description: "F\xFCr die IT-Komponenten SOLLTEN Anforderungen f\xFCr einen effizienten\ + \ und sicheren Betrieb bereits bei der Konzeption und der Beschaffung ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.2 + description: "Hierf\xFCr SOLLTEN die Anforderungen des IT-Betriebs erhoben und\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.3 + description: "Der IT-Betrieb SOLLTE dabei auch die Komplexit\xE4t der IT ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A15 + name: Planung und Einsatz von Betriebsmitteln + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten die Betriebsmittel\ + \ bedarfsgerecht planen, beschaffen und einsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.2 + description: Der IT-Betrieb SOLLTE die Anforderungen an die jeweiligen Betriebsmittel + ermitteln und diese mit den anderen betroffenen Organisationseinheiten der + Institution abstimmen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.3 + description: Die Netze, in denen die Betriebsmittel positioniert sind, SOLLTEN + von den sonstigen Netzen der Institution mindestens logisch getrennt werden + (siehe Baustein NET.1.1 Netzarchitektur und -design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.4 + description: "Das Netz f\xFCr die Betriebsmittel SOLLTE abh\xE4ngig von Sicherheitsrichtlinie\ + \ und Funktionsabh\xE4ngigkeiten weiter unterteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.5 + description: "Als Basis f\xFCr die weitere Segmentierung SOLLTEN die unterschiedlichen\ + \ Betriebsgruppen und Zielsysteme verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A16 + name: Schulung des Betriebspersonals + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.1 + description: "F\xFCr den IT-Betrieb SOLLTE durch einen Schulungsplan sichergestellt\ + \ werden, dass f\xFCr alle IT-Komponenten und Betriebsmittel jeweils mehrere\ + \ Personen die erforderlichen F\xE4higkeiten und Qualifikationen besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.2 + description: "In den Schulungsma\xDFnahmen SOLLTEN insbesondere die folgenden\ + \ Themen adressiert werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.3 + description: "\u2022 H\xE4rtung und Standard-Konfigurationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.4 + description: "\u2022 spezifische Sicherheitseinstellungen f\xFCr die betriebenen\ + \ IT-Komponenten und eingesetzten Betriebsmittel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.5 + description: "\u2022 m\xF6gliche Interferenzen zwischen den genutzten Betriebsmitteln" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.6 + description: "\u2022 Abh\xE4ngigkeiten und Schnittstellen der Prozesse des IT-Betriebs\ + \ Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFCr entsprechende\ + \ Schulungsma\xDFnahmen des IT-Betriebs eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A17 + name: "Planung des IT-Betriebs unter besonderer Ber\xFCcksichtigung von Mangel-\ + \ und Notsituationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.1 + description: "Der IT-Betrieb SOLLTE f\xFCr die betriebenen IT-Komponenten definieren,\ + \ wann eine Mangel- oder eine Notsituation vorliegt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.2 + description: "F\xFCr diese Situationen SOLLTE nach den Vorgaben des allgemeinen\ + \ Notfallmanagements festgelegt werden, welche IT-Komponenten vorrangig betrieben\ + \ werden oder f\xFCr einen Mindestbetrieb ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.3 + description: 'Die Notfallplanung SOLLTE die folgenden Punkte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.4 + description: "\u2022 Disaster-Recovery-Plan" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.5 + description: "\u2022 Notfallhandbuch f\xFCr die IT-Komponenten unter Einbeziehung\ + \ der gesamten Infrastruktur" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.6 + description: "\u2022 Umgang mit kritischen und l\xE4ngerfristigen betriebsbehindernden\ + \ St\xF6rungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A18 + name: Planung des Einsatzes von Dienstleistenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.1 + description: "Der IT-Betrieb SOLLTE den Einsatz von Dienstleistenden koordinieren\ + \ und diese unter anderem \xFCber SLAs so steuern, dass die Dienstleistung\ + \ in ausreichendem Ma\xDFe erbracht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.2 + description: "Der Einsatz von verschiedenen Dienstleistenden SOLLTE aufeinander\ + \ abgestimmt werden, insbesondere falls diese f\xFCr den gleichen T\xE4tigkeitsbereich\ + \ vorgesehen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.3 + description: "F\xFCr solche Situationen SOLLTE jeweils eine eindeutige Kommunikationsschnittstelle\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.4 + description: "Der IT-Betrieb SOLLTE die Festlegungen zum Dienstleistendenmanagement\ + \ sowie die f\xFCr die Dienstleistenden vorgesehenen T\xE4tigkeiten festhalten,\ + \ regelm\xE4\xDFig pr\xFCfen und anpassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A19 + name: "Regelungen f\xFCr Wartungs- und Reparaturarbeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.1 + description: "IT-Komponenten SOLLTEN regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.2 + description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- + und Reparaturarbeiten zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.3 + description: "Es SOLLTE festgelegt werden, wer f\xFCr die Wartung oder Reparatur\ + \ von IT-Komponenten zust\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.4 + description: "Durchgef\xFChrte Wartungs- und Reparaturarbeiten SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.5 + description: "Es SOLLTE sichergestellt werden, dass Wartungs- und Reparaturarbeiten,\ + \ die durch Dritte ausgef\xFChrt werden, mit den Beteiligten abgestimmt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.6 + description: "Es SOLLTEN interne Mitarbeitende des IT-Betriebs bestimmt werden,\ + \ die solche Arbeiten autorisieren, gegebenenfalls beobachten oder unterst\xFC\ + tzen und abnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A20 + name: "Pr\xFCfen auf Schwachstellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig Informationen \xFCber bekannt\ + \ gewordene Schwachstellen bez\xFCglich der IT-Plattformen, Firmware, Betriebssysteme,\ + \ eingesetzter IT-Anwendungen und Dienste einholen, diese f\xFCr die konkreten\ + \ Gegebenheiten analysieren und ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.2 + description: "Die IT-Komponenten SOLLTEN regelm\xE4\xDFig und anlassbezogen\ + \ auf Schwachstellen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.3 + description: "F\xFCr jede IT-Komponente SOLLTEN die angemessene Test-Abdeckung,\ + \ -Tiefe und -Methode festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.4 + description: Die Tests und identifizierten Schwachstellen SOLLTEN nachvollziehbar + erfasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.5 + description: "Die Schwachstellen SOLLTEN so schnell wie m\xF6glich behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.6 + description: "Solange keine entsprechenden Patches zur Verf\xFCgung stehen,\ + \ M\xDCSSEN f\xFCr schwerwiegende Schwachstellen und Bedrohungen andere Ma\xDF\ + nahmen zum Schutz der IT-Komponente getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.7 + description: "Falls dies f\xFCr eine IT-Komponente nicht m\xF6glich ist, SOLLTE\ + \ diese nicht weiter betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A21 + name: Einbinden der Betriebsmittel in das Sicherheitsmonitoring + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.1 + description: Die IT-Systeme und -Anwendungen, die als Betriebsmittel genutzt + werden, SOLLTEN in ein Sicherheitsmonitoring eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.2 + description: "Falls die Institution ein System zur zentralen Detektion und automatisierten\ + \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen einsetzt, SOLLTEN die Betriebsmittel\ + \ darin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.3 + description: "Betriebsmittel wie IT-Management- und IT-Monitoring-Systeme SOLLTEN\ + \ als Datenquelle f\xFCr das Sicherheitsmonitoring genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A22 + name: Automatisierte Tests auf Schwachstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.1 + description: "Alle IT-Komponenten SOLLTEN regelm\xE4\xDFig und automatisiert\ + \ auf Schwachstellen getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.2 + description: Die Ergebnisse der Tests SOLLTEN automatisiert protokolliert und + anderen Werkzeugen im Sicherheitsmonitoring bereitgestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.3 + description: Bei kritischen Schwachstellen SOLLTE eine automatisierte Alarmierung + erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A23 + name: "Durchf\xFChrung von Penetrationstests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a23 + ref_id: OPS.1.1.1.A23.1 + description: "F\xFCr alle IT-Komponenten SOLLTEN Penetrationstests durchgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a23 + ref_id: OPS.1.1.1.A23.2 + description: "Hierf\xFCr SOLLTE ein Konzept erstellt und umgesetzt werden, das\ + \ neben den zu verwendenden Testmethoden und Testtiefen auch die Erfolgskriterien\ + \ festlegt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A24 + name: Umfassendes Protokollieren der Prozessschritte im IT-Betrieb + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a24 + ref_id: OPS.1.1.1.A24.1 + description: "F\xFCr die Betriebsprozesse SOLLTE jeder Prozessschritt nachvollziehbar\ + \ protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A25 + name: Sicherstellen von autark funktionierenden Betriebsmitteln + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.1 + description: "F\xFCr die Betriebsmittel SOLLTE sichergestellt werden, dass diese\ + \ auch bei \xE4u\xDFeren St\xF6rungen genutzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.2 + description: "Insbesondere SOLLTE eine ausgefallende Internet-Anbindung nicht\ + \ zu einer St\xF6rung der Betriebsmittel f\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.3 + description: "Die Betriebsmittel SOLLTEN so konfiguriert und verortet werden,\ + \ dass die Abh\xE4ngigkeiten zwischen den verschiedenen Betriebsmitteln minimiert\ + \ wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.4 + description: "Es SOLLTE verhindert werden, dass der Ausfall eines Betriebsmittels\ + \ zu einer betriebsverhindernden St\xF6rung eines anderen Betriebsmittels\ + \ f\xFChrt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1 + ref_id: OPS.1.1.1.A26 + name: Proaktive Instandhaltung im IT-Betrieb + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a26 + ref_id: OPS.1.1.1.A26.1 + description: "F\xFCr die IT-Systeme SOLLTE eine proaktive Instandhaltung durchgef\xFC\ + hrt werden, in der in festgelegten Intervallen vorbeugende Instandhaltungsma\xDF\ + nahmen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.1.a26 + ref_id: OPS.1.1.1.A26.2 + description: "Erg\xE4nzend zu der regelm\xE4\xDFigen Wartung und der proaktiven\ + \ Instandhaltung SOLLTE je IT-Komponente abgewogen werden, ob eine vorausschauende\ + \ Instandhaltung (engl. Predictive Maintenance) genutzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + assessable: false + depth: 1 + ref_id: OPS.1.1.2 + name: "Ordnungsgem\xE4\xDFe IT-Administration" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A2 + name: Vertretungsregelungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.1 + description: "F\xFCr jede Administrationsaufgabe MUSS eine Vertretung benannt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.2 + description: "Die Vertretung MUSS \xFCber die notwendigen administrativen Berechtigungen\ + \ (organisatorisch und technisch) verf\xFCgen, um die T\xE4tigkeit durchf\xFC\ + hren zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.3 + description: "Eine benannte Vertretung MUSS \xFCber die im Kontext der Administrationsaufgabe\ + \ notwendigen Kenntnisse verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.4 + description: "Die Regelung der Vertretung MUSS Mangel- und Notfallsituationen\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A4 + name: "Beendigung der T\xE4tigkeit in der IT-Administration" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.1 + description: "Falls eine Person von Administrationsaufgaben entbunden wird,\ + \ M\xDCSSEN ihr alle damit zusammenh\xE4ngenden privilegierten Berechtigungen\ + \ auf organisatorischer und technischer Ebene entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.2 + description: "Insbesondere M\xDCSSEN pers\xF6nliche administrative Konten gesperrt\ + \ und Passw\xF6rter aller administrativer Konten ge\xE4ndert werden, die der\ + \ Person bekannt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.3 + description: "Weiterhin M\xDCSSEN alle betroffenen Parteien darauf hingewiesen\ + \ werden, dass diese Person von den entsprechenden Aufgaben entbunden ist\ + \ und daher keine administrativen Berechtigungen mehr haben darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.4 + description: "Es MUSS geregelt werden unter welchen Rahmenbedingungen gepr\xFC\ + ft wird, ob sich zus\xE4tzliche nicht dokumentierte administrative Rechte\ + \ verschafft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.5 + description: "Diese Pr\xFCfung SOLLTE insbesondere erfolgen, falls die Entscheidung\ + \ eine Person von Administrationsaufgaben zu entbinden nicht im Einvernehmen\ + \ mit der entsprechenden Person getroffen wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.6 + description: "Falls solche administrativen Rechte gefunden wurden, M\xDCSSEN\ + \ diese wieder entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A5 + name: "Nachweisbarkeit von administrativen T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.1 + description: "Administrative T\xE4tigkeiten M\xDCSSEN nachweisbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.2 + description: "Daf\xFCr MUSS mindestens festgehalten werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.3 + description: "\u2022 welche \xC4nderung bei einer T\xE4tigkeit durchgef\xFC\ + hrt wurde," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.4 + description: "\u2022 wer eine T\xE4tigkeit durchgef\xFChrt hat und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.5 + description: "\u2022 wann eine T\xE4tigkeit durchgef\xFChrt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.6 + description: "Die Institution MUSS jederzeit nachweisen k\xF6nnen, welche Person\ + \ welche administrativen T\xE4tigkeiten durchgef\xFChrt hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.7 + description: "Dazu SOLLTEN alle Administrierenden \xFCber eine eigene Zugangskennung\ + \ verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.8 + description: Auch Vertretungen von Administrierenden SOLLTEN eigene Zugangskennungen + erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.9 + description: "Jeder Anmeldevorgang (Login) \xFCber eine Administrationskennung\ + \ MUSS protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A6 + name: "Schutz administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.1 + description: "Administrative Schnittstellen und Funktionen D\xDCRFEN NUR berechtigten\ + \ Personen zur Verf\xFCgung stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.2 + description: "F\xFCr diese Schnittstellen und Funktionen M\xDCSSEN geeignete\ + \ Verfahren zur Authentisierung festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.3 + description: "Es MUSS sichergestellt sein, dass IT-Administrationst\xE4tigkeiten\ + \ nur durchgef\xFChrt werden k\xF6nnen, falls vorher eine dementsprechende\ + \ Authentisierung erfolgt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.4 + description: "Es MUSS festgelegt werden, welche Protokolle f\xFCr Administrationsschnittstellen\ + \ verwendet werden d\xFCrfen, so dass die bei der Administration stattfindende\ + \ Kommunikation abgesichert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A7 + name: "Regelung der IT-Administrationst\xE4tigkeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.1 + description: "Jede IT-Administrationst\xE4tigkeit SOLLTE einer klar definierten\ + \ Aufgabe zugeordnet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.2 + description: "F\xFCr diese Aufgaben SOLLTE geregelt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.3 + description: "\u2022 durch wen diese Aufgabe ausgef\xFChrt werden darf und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.4 + description: "\u2022 durch wen diese Aufgabe beauftragt werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.5 + description: "Es SOLLTE nachvollziehbar sein, in welchen Prozessen sich Administrationsaufgaben\ + \ einf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.6 + description: "IT-Administrationst\xE4tigkeiten SOLLTEN nur mit denjenigen Berechtigungen\ + \ durchgef\xFChrt werden, die zur Erf\xFCllung der entsprechenden Aufgabe\ + \ notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.7 + description: "Es SOLLTE festgelegt werden, wie IT-Administrationst\xE4tigkeiten\ + \ auszuf\xFChren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.8 + description: "Die Regelungen f\xFCr IT-Administrationst\xE4tigkeiten SOLLTEN\ + \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.9 + description: "F\xFCr jede IT-Administrationst\xE4tigkeit SOLLTE sichergestellt\ + \ werden, dass diese bei Bedarf auch im Notfall ausgef\xFChrt werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A8 + name: Administration von Fachanwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.1 + description: "Es SOLLTE geregelt und dokumentiert werden, welche Administrationsaufgaben\ + \ f\xFCr Fachanwendungen vom IT-Betrieb und welche durch die Fachadministration\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.2 + description: "F\xFCr Fachanwendungen SOLLTE identifiziert werden, welche Zugriffe\ + \ der IT-Betrieb auf Systemebene ben\xF6tigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.3 + description: "Alle Schnittstellen und Abh\xE4ngigkeiten zwischen der Fachadministration\ + \ und der Administration durch den IT-Betrieb SOLLTEN identifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.4 + description: "Immer wenn Administrationsprozesse erstellt und gepflegt werden,\ + \ SOLLTEN die Zust\xE4ndigkeiten und Abh\xE4ngigkeiten dieser Schnittstellen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A11 + name: "Dokumentation von IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.1 + description: "Durchgef\xFChrte IT-Administrationst\xE4tigkeiten SOLLTEN nachvollziehbar\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.2 + description: "Es SOLLTE gepr\xFCft werden, welche grunds\xE4tzlichen Anforderungen\ + \ an die Dokumentation der IT-Administrationst\xE4tigkeiten existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.3 + description: Es SOLLTE identifiziert werden, welche Ziele mit der Dokumentation + erreicht werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.4 + description: Aufgrund dieser Anforderungen und Ziele SOLLTE verbindlich festgelegt + werden, welche Schritte in welchem Detailierungsgrad dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.5 + description: Aus der Dokumentation SOLLTE mindestens hervorgehen, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.6 + description: "\u2022 welche \xC4nderungen erfolgten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.7 + description: "\u2022 wann die \xC4nderungen erfolgten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.8 + description: "\u2022 wer die \xC4nderungen durchgef\xFChrt hat," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.9 + description: "\u2022 auf welcher Grundlage bzw. aus welchem Anlass die \xC4\ + nderungen erfolgt sind und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.10 + description: "\u2022 inwiefern und aus welchem Grund gegebenenfalls von vorgegebenen\ + \ Standards oder Konfigurationen abgewichen wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.11 + description: "Dokumentation im Kontext einer IT-Administrationst\xE4tigkeit\ + \ SOLLTE in Standard-Arbeitsabl\xE4ufen enthalten sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.12 + description: "Es SOLLTE geregelt werden, welche M\xF6glichkeiten zu nutzen sind,\ + \ falls IT-Administrationst\xE4tigkeiten au\xDFerplanm\xE4\xDFig durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.13 + description: "Es SOLLTE identifiziert werden, unter welchen Umst\xE4nden ein\ + \ Zugriff auf die Dokumentation notwendig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.14 + description: "Der Zugriff SOLLTE dementsprechend gew\xE4hrleistet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A16 + name: "Erweiterte Sicherheitsma\xDFnahmen f\xFCr Administrationszug\xE4nge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.1 + description: "Der Zugang zu administrativen Oberfl\xE4chen und Schnittstellen\ + \ SOLLTE auf IT-Systeme, die zur IT-Administration verwendet werden, beschr\xE4\ + nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.2 + description: "Daher SOLLTEN Netze, die zur IT-Administration verwendet werden,\ + \ durch Filter- und Segmentierungsma\xDFnahmen von produktiven Netzen zu administrierender\ + \ Komponenten getrennt werden (Out-of-Band-Management)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.3 + description: "Wo kein Out-of-Band-Management m\xF6glich ist, SOLLTEN Software-Schnittstellen\ + \ und physische Schnittstellen zur IT-Administration durch zus\xE4tzliche\ + \ Ma\xDFnahmen abgesichert werden und nur f\xFCr Personen erreichbar sein,\ + \ die f\xFCr deren Nutzung berechtigt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.4 + description: Hierzu SOLLTE eine Zwei-Faktor-Authentisierung verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A17 + name: IT-Administration im Vier-Augen-Prinzip + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a17 + ref_id: OPS.1.1.2.A17.1 + description: "Es SOLLTE geregelt werden, welche Administrationsaufgaben eine\ + \ zus\xE4tzliche Person erfordern, die die Ausf\xFChrung \xFCberwacht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a17 + ref_id: OPS.1.1.2.A17.2 + description: "Diese Person SOLLTE im Kontext der durchzuf\xFChrenden IT-Administrationst\xE4\ + tigkeiten auch \xFCber die zur Ausf\xFChrung notwendigen Qualifikationen verf\xFC\ + gen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A18 + name: "Durchg\xE4ngige Protokollierung administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.1 + description: "Bei IT-Komponenten mit hohem Schutzbedarf SOLLTEN alle administrativen\ + \ T\xE4tigkeiten in s\xE4mtlichen Bereichen protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.2 + description: "Dabei SOLLTE jede administrative Aktion vollst\xE4ndig nachvollzogen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.3 + description: "Die ausf\xFChrenden Administrierenden SOLLTEN keinen Einfluss\ + \ auf Art und Umfang der Protokollierung nehmen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A19 + name: "Nutzung hochverf\xFCgbarer IT-Administrationswerkzeuge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a19 + ref_id: OPS.1.1.2.A19.1 + description: Administrationswerkzeuge SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a19 + ref_id: OPS.1.1.2.A19.2 + description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall weiterhin\ + \ alle Administrationsaufgaben ohne wesentliche Einschr\xE4nkungen ausgef\xFC\ + hrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A21 + name: Regelung der IT-Administrationsrollen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.1 + description: "Es M\xDCSSEN Rollen definiert werden, die ausschlie\xDFlich zur\ + \ IT-Administration vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.2 + description: "Administrationsrollen M\xDCSSEN aufgrund des tats\xE4chlichen\ + \ Bedarfs im Aufgabenbereich der IT-Administration nachvollziehbar vergeben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.3 + description: "Alle notwendigen IT-Administrationst\xE4tigkeiten M\xDCSSEN durch\ + \ Berechtigungen in den Administrationsrollen nach dem Minimalprinzip abgedeckt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.4 + description: "Die IT-Administration unterschiedlicher Ebenen der IT-Komponenten,\ + \ z. B. die Trennung von Betriebssystem- und Anwendungsadministration, MUSS\ + \ bei der Konzeption der Administrationsrollen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A22 + name: "Trennung von administrativen und anderen T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.1 + description: "Die durchf\xFChrende Person MUSS wissen, bei welchem Teil ihrer\ + \ Aufgabe es sich um administrative T\xE4tigkeiten handelt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.2 + description: "Aufgaben, die keine Administrationsrechte ben\xF6tigen, D\xDC\ + RFEN NICHT mit Administrationsrechten ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.3 + description: Es MUSS sichergestellt werden, dass Administrationswerkzeuge klar + als solche erkennbar sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.4 + description: "Wenn eine Anwendung zur Erf\xFCllung einer Administrationsaufgabe\ + \ benutzt wird, DARF NICHT dieselbe Instanz dieser Anwendung f\xFCr andere\ + \ Aufgaben verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.5 + description: Dies SOLLTE auf technischer Ebene sichergestellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.6 + description: Die Zugangskennungen, die zur IT-Administration genutzt werden, + SOLLTEN sich von Zugangskennungen unterscheiden, die in anderem Kontext genutzt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A23 + name: "Rollen- und Berechtigungskonzept f\xFCr administrative Zugriffe" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.1 + description: "Es SOLLTE ein angemessenes Rollen- und Berechtigungskonzept f\xFC\ + r administrative Zugriffe existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.2 + description: "Darin SOLLTEN grunds\xE4tzliche Vorgaben gemacht werden, mindestens\ + \ dar\xFCber," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.3 + description: "\u2022 wie Administrationsrollen beantragt und zugewiesen werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.4 + description: "\u2022 welche Arten von Administrationsrollen existieren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.5 + description: "\u2022 welche Arten von Berechtigungen im Kontext der Administrationsrollen\ + \ vergeben werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.6 + description: "\u2022 wie f\xFCr die IT-Administration notwendige Berechtigungen\ + \ vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A24 + name: "Pr\xFCfen von IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.1 + description: "Bevor eine IT-Administrationst\xE4tigkeit durchgef\xFChrt wird,\ + \ SOLLTE gepr\xFCft werden, ob der Anlass und die Art der T\xE4tigkeit im\ + \ Kontext der zugrundeliegenden Aufgabe plausibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.2 + description: "Nachdem eine IT-Administrationst\xE4tigkeit an einer Komponente\ + \ durchgef\xFChrt wurde, SOLLTE gepr\xFCft werden, ob die Konfiguration und\ + \ der Status der Komponente dem gew\xFCnschten Zielzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.3 + description: "Falls eine zus\xE4tzliche Qualit\xE4tssicherung der ausgef\xFC\ + hrten Administrationsaufgabe notwendig ist, SOLLTE diese nicht durch dieselbe\ + \ Person durchgef\xFChrt werden, die die entsprechenden T\xE4tigkeiten durchgef\xFC\ + hrt hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.4 + description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTE gepr\xFCft werden, ob diese T\xE4tigkeiten die Verf\xFCgbarkeit\ + \ der IT-Administration selbst einschr\xE4nken k\xF6nnten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.5 + description: "In diesem Fall SOLLTEN entsprechende Vorkehrungen getroffen werden,\ + \ um einen Rollback der IT-Administrationst\xE4tigkeiten zu erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A25 + name: "Zeitfenster f\xFCr schwerwiegende IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a25 + ref_id: OPS.1.1.2.A25.1 + description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTEN durch den IT-Betrieb Wartungsfenster abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a25 + ref_id: OPS.1.1.2.A25.2 + description: "Falls der IT-Betrieb f\xFCr IT-Administrationst\xE4tigkeiten Vorgaben\ + \ zu Zeitfenstern macht, M\xDCSSEN diese eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A26 + name: Backup der Konfiguration + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.1 + description: "Alle Konfigurationen SOLLTEN durch regelm\xE4\xDFige Backups auf\ + \ Anwendungsebene und auf IT-Systemebene gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.2 + description: "Vor IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTE ein zus\xE4tzliches Backup gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.3 + description: "F\xFCr Backups SOLLTE gew\xE4hrleistet sein, dass sie im Fehlerfall\ + \ wieder eingespielt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A27 + name: "Ersatz f\xFCr zentrale IT-Administrationswerkzeuge" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.1 + description: "F\xFCr zentrale IT-Administrationswerkzeuge SOLLTEN Alternativen\ + \ zur Verf\xFCgung stehen, mit denen im Bedarfsfall administriert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.2 + description: "Hierzu SOLLTEN Sprungsysteme mit Zugriff auf entsprechende Administrationsnetze\ + \ zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.3 + description: "Falls solche Alternativen nicht zur Verf\xFCgung stehen, SOLLTE\ + \ zur IT-Administration der Zugang und der direkte Zugriff auf die zu administrierende\ + \ IT m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A28 + name: "Protokollierung administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.1 + description: "Administrative T\xE4tigkeiten SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.2 + description: "Die Protokolldateien SOLLTEN f\xFCr eine angemessene Zeitdauer\ + \ gesch\xFCtzt aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.3 + description: "Die ausf\xFChrenden Administrierenden SOLLTEN keine M\xF6glichkeiten\ + \ haben, die aufgezeichneten Protokolldateien zu ver\xE4ndern oder zu l\xF6\ + schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.4 + description: "Protokolldaten SOLLTEN regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A29 + name: Monitoring der IT-Administrationswerkzeuge + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.1 + description: "F\xFCr IT-Administrationswerkzeuge SOLLTEN Kenngr\xF6\xDFen zur\ + \ Verf\xFCgbarkeit identifiziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.2 + description: "Diese Kenngr\xF6\xDFen SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.3 + description: "Es SOLLTEN tolerierbare Grenzwerte dieser Kenngr\xF6\xDFen festgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.4 + description: "Werden diese nicht eingehalten, SOLLTEN die zust\xE4ndigen Teams\ + \ automatisch benachrichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2 + ref_id: OPS.1.1.2.A30 + name: "Sicherheitsmonitoring administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a30 + ref_id: OPS.1.1.2.A30.1 + description: "Falls ein IT-System zur zentralen Detektion und automatisierten\ + \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen genutzt wird, SOLLTEN dort\ + \ Ereignisdaten zu administrativen T\xE4tigkeiten ausgewertet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.2.a30 + ref_id: OPS.1.1.2.A30.2 + description: Hierzu SOLLTEN bestehende Monitoring-Systeme der IT sowie kritische + Administrationswerkzeuge in dieses IT-System eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + assessable: false + depth: 1 + ref_id: OPS.1.1.3 + name: "Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A1 + name: "Konzept f\xFCr das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.1 + description: "Wenn IT-Komponenten, Software oder Konfigurationsdaten ge\xE4\ + ndert werden, MUSS es daf\xFCr Vorgaben geben, die auch Sicherheitsaspekte\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.2 + description: "Diese M\xDCSSEN in einem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ + \ festgehalten und befolgt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.3 + description: "Alle Patches und \xC4nderungen M\xDCSSEN geeignet geplant, genehmigt\ + \ und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.4 + description: "Patches und \xC4nderungen SOLLTEN vorab geeignet getestet werden\ + \ (siehe hierzu auch OPS.1.1.6 Software-Tests und Freigaben)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.5 + description: "Wenn Patches installiert und \xC4nderungen durchgef\xFChrt werden,\ + \ M\xDCSSEN R\xFCckfall-L\xF6sungen vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.6 + description: "Bei gr\xF6\xDFeren \xC4nderungen MUSS zudem der oder die ISB beteiligt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.7 + description: "Insgesamt MUSS sichergestellt werden, dass das angestrebte Sicherheitsniveau\ + \ w\xE4hrend und nach den \xC4nderungen erhalten bleibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.8 + description: "Insbesondere SOLLTEN auch die gew\xFCnschten Sicherheitseinstellungen\ + \ erhalten bleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A2 + name: "Festlegung der Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a2 + ref_id: OPS.1.1.3.A2.1 + description: "F\xFCr alle Organisationsbereiche M\xDCSSEN Zust\xE4ndige f\xFC\ + r das Patch- und \xC4nderungsmanagement festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a2 + ref_id: OPS.1.1.3.A2.2 + description: "Die definierten Zust\xE4ndigkeiten M\xDCSSEN sich auch im Berechtigungskonzept\ + \ widerspiegeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A3 + name: Konfiguration von Autoupdate-Mechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.1 + description: "Innerhalb der Strategie zum Patch- und \xC4nderungsmanagement\ + \ MUSS definiert werden, wie mit integrierten Update-Mechanismen (Autoupdate)\ + \ der eingesetzten Software umzugehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.2 + description: Insbesondere MUSS festgelegt werden, wie diese Mechanismen abgesichert + und passend konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.3 + description: "Au\xDFerdem SOLLTEN neue Komponenten daraufhin \xFCberpr\xFCft\ + \ werden, welche Update-Mechanismen sie haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A5 + name: "Umgang mit \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a5 + ref_id: OPS.1.1.3.A5.1 + description: "Alle \xC4nderungsanforderungen (Request for Changes, RfCs) SOLLTEN\ + \ erfasst und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a5 + ref_id: OPS.1.1.3.A5.2 + description: "Die \xC4nderungsanforderungen SOLLTEN von den jeweiligen Fachverantwortlichen\ + \ f\xFCr das Patch- und \xC4nderungsmanagement daraufhin kontrolliert werden,\ + \ ob die Aspekte der Informationssicherheit ausreichend ber\xFCcksichtigt\ + \ wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A6 + name: "Abstimmung von \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.1 + description: "Der zu einer \xC4nderung zugeh\xF6rige Abstimmungsprozess SOLLTE\ + \ alle relevanten Zielgruppen und die Auswirkungen auf die Informationssicherheit\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.2 + description: "Die von der \xC4nderung betroffenen Zielgruppen SOLLTEN sich nachweisbar\ + \ dazu \xE4u\xDFern k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.3 + description: "Auch SOLLTE es ein festgelegtes Verfahren geben, wodurch wichtige\ + \ \xC4nderungsanforderungen beschleunigt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A7 + name: "Integration des \xC4nderungsmanagements in die Gesch\xE4ftsprozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.1 + description: "Der \xC4nderungsmanagementprozess SOLLTE in die Gesch\xE4ftsprozesse\ + \ beziehungsweise Fachaufgaben integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.2 + description: "Bei geplanten \xC4nderungen SOLLTE die aktuelle Situation der\ + \ davon betroffenen Gesch\xE4ftsprozesse ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.3 + description: "Alle relevanten Fachabteilungen SOLLTEN \xFCber anstehende \xC4\ + nderungen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.4 + description: "Auch SOLLTE es eine Eskalationsebene geben, deren Mitglieder der\ + \ Leitungsebene der Institution angeh\xF6ren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.5 + description: "Die Mitglieder dieser Eskalationsebene SOLLTEN in Zweifelsf\xE4\ + llen \xFCber Priorit\xE4t und Terminplanung einer Hard- oder Software-\xC4\ + nderung entscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A8 + name: "Sicherer Einsatz von Werkzeugen f\xFCr das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a8 + ref_id: OPS.1.1.3.A8.1 + description: "Anforderungen und Rahmenbedingungen SOLLTEN definiert werden,\ + \ nach denen Werkzeuge f\xFCr das Patch- und \xC4nderungsmanagement ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a8 + ref_id: OPS.1.1.3.A8.2 + description: "Au\xDFerdem SOLLTE eine spezifische Sicherheitsrichtlinie f\xFC\ + r die eingesetzten Werkzeuge erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A9 + name: "Test- und Abnahmeverfahren f\xFCr neue Hardware" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.1 + description: "Wenn neue Hardware ausgew\xE4hlt wird, SOLLTE gepr\xFCft werden,\ + \ ob die eingesetzte Software und insbesondere die relevanten Betriebssysteme\ + \ mit der Hardware und deren Treibersoftware kompatibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.2 + description: Neue Hardware SOLLTE getestet werden, bevor sie eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.3 + description: "Diese SOLLTE ausschlie\xDFlich in einer isolierten Umgebung getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.4 + description: "F\xFCr IT-Systeme SOLLTE es ein Abnahmeverfahren und eine Freigabeerkl\xE4\ + rung geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.5 + description: "Die Zust\xE4ndigen SOLLTEN die Freigabeerkl\xE4rungen an geeigneter\ + \ Stelle schriftlich hinterlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.6 + description: "F\xFCr den Fall, dass trotz der Abnahme- und Freigabeverfahren\ + \ im laufenden Betrieb Fehler festgestellt werden, SOLLTE es ein Verfahren\ + \ zur Fehlerbehebung geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A10 + name: "Sicherstellung der Integrit\xE4t und Authentizit\xE4t von Softwarepaketen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.1 + description: "W\xE4hrend des gesamten Patch- oder \xC4nderungsprozesses SOLLTE\ + \ die Authentizit\xE4t und Integrit\xE4t von Softwarepaketen sichergestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.2 + description: "Dazu SOLLTE gepr\xFCft werden, ob f\xFCr die eingesetzten Softwarepakete\ + \ Pr\xFCfsummen oder digitale Signaturen verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.3 + description: "Falls ja, SOLLTEN diese vor der Installation des Pakets \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.4 + description: "Ebenso SOLLTE darauf geachtet werden, dass die notwendigen Programme\ + \ zur \xDCberpr\xFCfung vorhanden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.5 + description: "Software und Updates SOLLTEN grunds\xE4tzlich nur aus vertrauensw\xFC\ + rdigen Quellen bezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A11 + name: Kontinuierliche Dokumentation der Informationsverarbeitung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a11 + ref_id: OPS.1.1.3.A11.1 + description: "\xC4nderungen SOLLTEN in allen Phasen, allen Anwendungen und allen\ + \ Systemen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a11 + ref_id: OPS.1.1.3.A11.2 + description: Dazu SOLLTEN entsprechende Regelungen erarbeitet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A12 + name: "Einsatz von Werkzeugen beim \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a12 + ref_id: OPS.1.1.3.A12.1 + description: "Bevor ein Werkzeug zum \xC4nderungsmanagement benutzt wird, SOLLTE\ + \ sorgf\xE4ltig gepr\xFCft werden, ob damit die \xC4nderungen angemessen im\ + \ Informationsverbund verteilt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a12 + ref_id: OPS.1.1.3.A12.2 + description: "Zus\xE4tzlich SOLLTEN Unterbrechungspunkte definiert werden k\xF6\ + nnen, an denen die Verteilung einer fehlerhaften \xC4nderung gestoppt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A13 + name: "Erfolgsmessung von \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.1 + description: "Um zu \xFCberpr\xFCfen, ob eine \xC4nderung erfolgreich war, SOLLTEN\ + \ die jeweiligen Fachverantwortlichen f\xFCr das Patch- und \xC4nderungsmanagement\ + \ sogenannte Nachtests durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.2 + description: "Dazu SOLLTEN sie geeignete Referenzsysteme als Qualit\xE4tssicherungssysteme\ + \ ausw\xE4hlen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.3 + description: "Die Ergebnisse der Nachtests SOLLTEN im Rahmen des \xC4nderungsprozesses\ + \ dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A14 + name: "Synchronisierung innerhalb des \xC4nderungsmanagements" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a14 + ref_id: OPS.1.1.3.A14.1 + description: "Im \xC4nderungsmanagementprozess SOLLTE durch geeignete Mechanismen\ + \ sichergestellt werden, dass auch zeitweise oder l\xE4ngerfristig nicht erreichbare\ + \ Ger\xE4te die Patches und \xC4nderungen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3 + ref_id: OPS.1.1.3.A15 + name: "Regelm\xE4\xDFige Aktualisierung von IT-Systemen und Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.1 + description: "IT-Systeme und Software SOLLTEN regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.2 + description: "Grunds\xE4tzlich SOLLTEN Patches zeitnah nach Ver\xF6ffentlichung\ + \ eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.3 + description: "Basierend auf dem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ + \ M\xDCSSEN Patches zeitnah nach Ver\xF6ffentlichung bewertet und entsprechend\ + \ priorisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.4 + description: "F\xFCr die Bewertung SOLLTE gepr\xFCft werden, ob es zu diesem\ + \ Patch bekannte Schwachstellen gibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.5 + description: Es MUSS entschieden werden, ob der Patch eingespielt werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.6 + description: Wenn ein Patch eingespielt wird, SOLLTE kontrolliert werden, ob + dieser auf allen relevanten Systemen zeitnah erfolgreich eingespielt wurde. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.7 + description: "Wenn ein Patch nicht eingespielt wird, M\xDCSSEN die Entscheidung\ + \ und die Gr\xFCnde daf\xFCr dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.8 + description: "Falls Hardware- oder Software-Produkte eingesetzt werden sollen,\ + \ die nicht mehr von den Herstellenden unterst\xFCtzt werden oder f\xFCr die\ + \ kein Support mehr vorhanden ist, MUSS gepr\xFCft werden, ob diese dennoch\ + \ sicher betrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.9 + description: "Ist dies nicht der Fall, D\xDCRFEN diese Hardware- oder Software-Produkte\ + \ NICHT mehr verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + assessable: false + depth: 1 + ref_id: OPS.1.1.4 + name: Schutz vor Schadprogrammen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A1 + name: "Erstellung eines Konzepts f\xFCr den Schutz vor Schadprogrammen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.1 + description: "Es MUSS ein Konzept erstellt werden, das beschreibt, welche IT-Systeme\ + \ vor Schadprogrammen gesch\xFCtzt werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.2 + description: "Hierbei M\xDCSSEN auch IoT-Ger\xE4te und Produktionssysteme ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.3 + description: "Au\xDFerdem MUSS festgehalten werden, wie der Schutz zu erfolgen\ + \ hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.4 + description: "Ist kein verl\xE4sslicher Schutz m\xF6glich, so SOLLTEN die identifizierten\ + \ IT-Systeme NICHT betrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.5 + description: Das Konzept SOLLTE nachvollziehbar dokumentiert und aktuell gehalten + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A2 + name: Nutzung systemspezifischer Schutzmechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.1 + description: "Es MUSS gepr\xFCft werden, welche Schutzmechanismen die verwendeten\ + \ IT-Systeme sowie die darauf genutzten Betriebssysteme und Anwendungen bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.2 + description: "Diese Mechanismen M\xDCSSEN genutzt werden, sofern es keinen mindestens\ + \ gleichwertigen Ersatz gibt oder gute Gr\xFCnde dagegen sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.3 + description: "Werden sie nicht genutzt, MUSS dies begr\xFCndet und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A3 + name: Auswahl eines Virenschutzprogrammes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.1 + description: "Abh\xE4ngig vom verwendeten Betriebssystem, anderen vorhandenen\ + \ Schutzmechanismen sowie der Verf\xFCgbarkeit geeigneter Virenschutzprogramme\ + \ MUSS f\xFCr den konkreten Einsatzzweck ein entsprechendes Schutzprogramm\ + \ ausgew\xE4hlt und installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.2 + description: "F\xFCr Gateways und IT-Systeme, die dem Datenaustausch dienen,\ + \ MUSS ein geeignetes Virenschutzprogramm ausgew\xE4hlt und installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.3 + description: "Es D\xDCRFEN NUR Produkte f\xFCr den Enterprise-Bereich mit auf\ + \ die Institution zugeschnittenen Service- und Supportleistungen eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.4 + description: "Produkte f\xFCr die reine Heimanwendung oder Produkte ohne Support\ + \ D\xDCRFEN NICHT im professionellen Wirkbetrieb eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.5 + description: Cloud-Dienste zur Verbesserung der Detektionsleistung der Virenschutzprogramme + SOLLTEN genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.6 + description: Falls Cloud-Funktionen solcher Produkte verwendet werden, MUSS + sichergestellt werden, dass dies nicht im Widerspruch zum Daten- oder Geheimschutz + steht. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.7 + description: "Neben Echtzeit- und On-Demand-Scans MUSS eine eingesetzte L\xF6\ + sung die M\xF6glichkeit bieten, auch komprimierte Daten nach Schadprogrammen\ + \ zu durchsuchen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A5 + name: Betrieb und Konfiguration von Virenschutzprogrammen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.1 + description: "Das Virenschutzprogramm MUSS f\xFCr seine Einsatzumgebung geeignet\ + \ konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.2 + description: "Die Erkennungsleistung SOLLTE dabei im Vordergrund stehen, sofern\ + \ nicht Datenschutz- oder Leistungsgr\xFCnde im jeweiligen Einzelfall dagegen\ + \ sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.3 + description: "Wenn sicherheitsrelevante Funktionen des Virenschutzprogramms\ + \ nicht genutzt werden, SOLLTE dies begr\xFCndet und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.4 + description: "Bei Schutzprogrammen, die speziell f\xFCr die Desktop-Virtualisierung\ + \ optimiert sind, SOLLTE nachvollziehbar dokumentiert sein, ob auf bestimmte\ + \ Detektionsverfahren zugunsten der Leistung verzichtet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.5 + description: "Es MUSS sichergestellt werden, dass die Benutzenden keine sicherheitsrelevanten\ + \ \xC4nderungen an den Einstellungen der Antivirenprogramme vornehmen k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A6 + name: "Regelm\xE4\xDFige Aktualisierung der eingesetzten Virenschutzprogramme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a6 + ref_id: OPS.1.1.4.A6.1 + description: "Auf den damit ausgestatteten IT-Systemen M\xDCSSEN die Virenschutzprogramme\ + \ nach Empfehlung der herstellenden Institution regelm\xE4\xDFig und zeitnah\ + \ aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A7 + name: Sensibilisierung und Verpflichtung der Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.1 + description: "Benutzende M\xDCSSEN regelm\xE4\xDFig \xFCber die Bedrohung durch\ + \ Schadprogramme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.2 + description: "Sie M\xDCSSEN die grundlegenden Verhaltensregeln einhalten, um\ + \ die Gefahr eines Befalls durch Schadprogramme zu reduzieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.3 + description: "Dateien, E-Mails, Webseiten usw. aus nicht vertrauensw\xFCrdigen\ + \ Quellen SOLLTEN NICHT ge\xF6ffnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.4 + description: "Sie M\xDCSSEN entsprechenden Kontaktpersonen f\xFCr den Fall eines\ + \ Verdacht auf eine Infektion mit einem Schadprogramm bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.5 + description: "Sie M\xDCSSEN sich an die ihnen benannten Kontaktpersonen wenden,\ + \ wenn der Verdacht auf eine Infektion mit einem Schadprogramm besteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A9 + name: Meldung von Infektionen mit Schadprogrammen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.1 + description: Das eingesetzte Virenschutzprogramm SOLLTE eine Infektion mit einem + Schadprogramm automatisch blockieren und melden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.2 + description: Die automatische Meldung SOLLTE an einer zentralen Stelle angenommen + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.3 + description: "Dabei SOLLTEN die zust\xE4ndigen Mitarbeitenden je nach Sachlage\ + \ \xFCber das weitere Vorgehen entscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.4 + description: Das Vorgehen bei Meldungen und Alarmen der Virenschutzprogramme + SOLLTE geplant, dokumentiert und getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.5 + description: "Es SOLLTE insbesondere geregelt sein, was im Falle einer best\xE4\ + tigten Infektion geschehen soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A10 + name: Nutzung spezieller Analyseumgebungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a10 + ref_id: OPS.1.1.4.A10.1 + description: "Automatisierte Analysen in einer speziellen Testumgebung (basierend\ + \ auf Sandboxen bzw. separaten virtuellen oder physischen Systemen) SOLLTEN\ + \ f\xFCr eine Bewertung von verd\xE4chtigen Dateien erg\xE4nzend herangezogen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A11 + name: Einsatz mehrerer Scan-Engines + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a11 + ref_id: OPS.1.1.4.A11.1 + description: "Zur Verbesserung der Erkennungsleistung SOLLTEN f\xFCr besonders\ + \ schutzw\xFCrdige IT-Systeme, wie Gateways und IT-Systeme zum Datenaustausch,\ + \ Virenschutzprogramme mit mehreren alternativen Scan-Engines eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A12 + name: "Einsatz von Datentr\xE4gerschleusen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a12 + ref_id: OPS.1.1.4.A12.1 + description: "Bevor insbesondere Datentr\xE4ger von Dritten mit den IT-Systemen\ + \ der Institution verbunden werden, SOLLTEN diese durch eine Datentr\xE4gerschleuse\ + \ gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A13 + name: "Umgang mit nicht vertrauensw\xFCrdigen Dateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a13 + ref_id: OPS.1.1.4.A13.1 + description: "Ist es notwendig, nicht vertrauensw\xFCrdige Dateien zu \xF6ffnen,\ + \ SOLLTE dies nur auf einem isolierten IT-System geschehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a13 + ref_id: OPS.1.1.4.A13.2 + description: "Die betroffenen Dateien SOLLTEN dort z. B. in ein ungef\xE4hrliches\ + \ Format umgewandelt oder ausgedruckt werden, wenn sich hierdurch das Risiko\ + \ einer Infektion durch Schadsoftware verringert." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4 + ref_id: OPS.1.1.4.A14 + name: Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.1 + description: "Der Einsatz sowie der Mehrwert von Produkten und Services, die\ + \ im Vergleich zu herk\xF6mmlichen Virenschutzprogrammen einen erweiterten\ + \ Schutzumfang bieten, SOLLTE gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.2 + description: "Solche Sicherheitsprodukte gegen gezielte Angriffe SOLLTEN z.\ + \ B. bei der Ausf\xFChrung von Dateien in speziellen Analyseumgebungen, bei\ + \ der H\xE4rtung von Clients oder bei der Kapselung von Prozessen eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.3 + description: "Vor einer Kaufentscheidung f\xFCr ein Sicherheitsprodukt SOLLTEN\ + \ Schutzwirkung und Kompatibilit\xE4t zur eigenen IT-Umgebung getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + assessable: false + depth: 1 + ref_id: OPS.1.1.5 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Protokollierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Protokollierung erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.2 + description: "In dieser Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar Anforderungen\ + \ und Vorgaben beschrieben sein, wie die Protokollierung zu planen, aufzubauen\ + \ und sicher zu betreiben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.3 + description: In der spezifischen Sicherheitsrichtlinie MUSS geregelt werden, + wie, wo und was zu protokollieren ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.4 + description: Dabei SOLLTEN sich Art und Umfang der Protokollierung am Schutzbedarf + der Informationen orientieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.5 + description: Die spezifische Sicherheitsrichtlinie MUSS von dem oder der ISB + gemeinsam mit den Fachverantwortlichen erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.6 + description: "Sie MUSS allen f\xFCr die Protokollierung zust\xE4ndigen Mitarbeitenden\ + \ bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.7 + description: "Wird die spezifische Sicherheitsrichtlinie ver\xE4ndert oder wird\ + \ von den Anforderungen abgewichen, MUSS dies mit dem oder der ISB abgestimmt\ + \ und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.8 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ + \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.9 + description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A3 + name: Konfiguration der Protokollierung auf System- und Netzebene + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.1 + description: "Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen\ + \ M\xDCSSEN protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.2 + description: "Sofern die in der Protokollierungsrichtlinie als relevant definierten\ + \ IT-Systeme und Anwendungen \xFCber eine Protokollierungsfunktion verf\xFC\ + gen, MUSS diese benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.3 + description: "Wenn die Protokollierung eingerichtet wird, M\xDCSSEN dabei die\ + \ Vorgaben des herstellenden Unternehmens f\xFCr die jeweiligen IT-Systeme\ + \ oder Anwendungen beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.4 + description: "In angemessenen Intervallen MUSS stichpunktartig \xFCberpr\xFC\ + ft werden, ob die Protokollierung noch korrekt funktioniert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.5 + description: "Die Pr\xFCfintervalle M\xDCSSEN in der Protokollierungsrichtlinie\ + \ definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.6 + description: "Falls betriebs- und sicherheitsrelevante Ereignisse nicht auf\ + \ einem IT-System protokolliert werden k\xF6nnen, M\xDCSSEN zus\xE4tzliche\ + \ IT-Systeme zur Protokollierung (z. B. von Ereignissen auf Netzebene) integriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A4 + name: Zeitsynchronisation der IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a4 + ref_id: OPS.1.1.5.A4.1 + description: Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen + MUSS immer synchron sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a4 + ref_id: OPS.1.1.5.A4.2 + description: Es MUSS sichergestellt sein, dass das Datums- und Zeitformat der + Protokolldateien einheitlich ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A5 + name: Einhaltung rechtlicher Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.1 + description: "Bei der Protokollierung M\xDCSSEN die Bestimmungen aus den aktuellen\ + \ Gesetzen zum Bundes- sowie Landesdatenschutz eingehalten werden (siehe CON.2\ + \ Datenschutz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.2 + description: "Dar\xFCber hinaus M\xDCSSEN eventuelle Pers\xF6nlichkeitsrechte\ + \ bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.3 + description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten + gesetzlichen Bestimmungen beachtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.4 + description: "Protokollierungsdaten M\xDCSSEN nach einem festgelegten Prozess\ + \ gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.5 + description: "Es MUSS technisch unterbunden werden, dass Protokollierungsdaten\ + \ unkontrolliert gel\xF6scht oder ver\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A6 + name: Aufbau einer zentralen Protokollierungsinfrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.1 + description: Alle gesammelten sicherheitsrelevanten Protokollierungsdaten SOLLTEN + an einer zentralen Stelle gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.2 + description: "Daf\xFCr SOLLTE eine zentrale Protokollierungsinfrastruktur im\ + \ Sinne eines Logserver-Verbunds aufgebaut und in einem hierf\xFCr eingerichteten\ + \ Netzsegment platziert werden (siehe NET.1.1 Netzarchitektur und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.3 + description: "Zus\xE4tzlich zu sicherheitsrelevanten Ereignissen (siehe OPS.1.1.5.A3\ + \ Konfiguration der Protokollierung auf System- und Netzebene) SOLLTE eine\ + \ zentrale Protokollierungsinfrastruktur auch allgemeine Betriebsereignisse\ + \ protokollieren, die auf einen Fehler hindeuten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.4 + description: Die Protokollierungsinfrastruktur SOLLTE ausreichend dimensioniert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.5 + description: "Die M\xF6glichkeit einer Skalierung im Sinne einer erweiterten\ + \ Protokollierung SOLLTE ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.6 + description: "Daf\xFCr SOLLTEN gen\xFCgend technische, finanzielle und personelle\ + \ Ressourcen verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A8 + name: Archivierung von Protokollierungsdaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a8 + ref_id: OPS.1.1.5.A8.1 + description: Protokollierungsdaten SOLLTEN archiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a8 + ref_id: OPS.1.1.5.A8.2 + description: "Dabei SOLLTEN die gesetzlich vorgeschriebenen Regelungen ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A9 + name: "Bereitstellung von Protokollierungsdaten f\xFCr die Auswertung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.1 + description: Die gesammelten Protokollierungsdaten SOLLTEN gefiltert, normalisiert, + aggregiert und korreliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.2 + description: "Die so bearbeiteten Protokollierungsdaten SOLLTEN geeignet verf\xFC\ + gbar gemacht werden, damit sie ausgewertet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.3 + description: "Damit sich die Daten automatisiert auswerten lassen, SOLLTEN die\ + \ Protokollanwendungen \xFCber entsprechende Schnittstellen f\xFCr die Auswertungsprogramme\ + \ verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.4 + description: Es SOLLTE sichergestellt sein, dass bei der Auswertung von Protokollierungsdaten + die Sicherheitsanforderungen eingehalten werden, die in der Protokollierungsrichtlinie + definiert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.5 + description: "Auch wenn die Daten bereitgestellt werden, SOLLTEN betriebliche\ + \ und interne Vereinbarungen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.6 + description: "Die Protokollierungsdaten SOLLTEN zus\xE4tzlich in unver\xE4nderter\ + \ Originalform aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A10 + name: "Zugriffsschutz f\xFCr Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a10 + ref_id: OPS.1.1.5.A10.1 + description: "Es SOLLTE sichergestellt sein, dass die ausf\xFChrenden Administrierenden\ + \ selbst keine Berechtigung haben, die aufgezeichneten Protokollierungsdaten\ + \ zu ver\xE4ndern oder zu l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A11 + name: Steigerung des Protokollierungsumfangs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.1 + description: "Bei erh\xF6htem Schutzbedarf von Anwendungen oder IT-Systemen\ + \ SOLLTEN grunds\xE4tzlich mehr Ereignisse protokolliert werden, sodass sicherheitsrelevante\ + \ Vorf\xE4lle m\xF6glichst l\xFCckenlos nachvollziehbar sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.2 + description: "Um die Protokollierungsdaten in Echtzeit auswerten zu k\xF6nnen,\ + \ SOLLTEN sie in verk\xFCrzten Zeitabst\xE4nden von den protokollierenden\ + \ IT-Systemen und Anwendungen zentral gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.3 + description: "Die Protokollierung SOLLTE eine Auswertung \xFCber den gesamten\ + \ Informationsverbund erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.4 + description: "Anwendungen und IT-Systeme, mit denen eine zentrale Protokollierung\ + \ nicht m\xF6glich ist, SOLLTEN bei einem erh\xF6hten Schutzbedarf NICHT eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A12 + name: "Verschl\xFCsselung der Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.1 + description: "Um Protokollierungsdaten sicher \xFCbertragen zu k\xF6nnen, SOLLTEN\ + \ sie verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.2 + description: Alle gespeicherten Protokolle SOLLTEN digital signiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.3 + description: "Auch archivierte und au\xDFerhalb der Protokollierungsinfrastruktur\ + \ gespeicherte Protokollierungsdaten SOLLTEN immer verschl\xFCsselt gespeichert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5 + ref_id: OPS.1.1.5.A13 + name: "Hochverf\xFCgbare Protokollierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.5.a13 + ref_id: OPS.1.1.5.A13.1 + description: "Eine hochverf\xFCgbare Protokollierungsinfrastruktur SOLLTE aufgebaut\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + assessable: false + depth: 1 + ref_id: OPS.1.1.6 + name: Software-Tests und -Freigaben + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A1 + name: Planung der Software-Tests + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.1 + description: "Die Rahmenbedingungen f\xFCr Software-Tests M\xDCSSEN vor den\ + \ Tests innerhalb der Institution entsprechend der Schutzbedarfe, Organisationseinheiten,\ + \ technischen M\xF6glichkeiten und Test-Umgebungen festlegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.2 + description: Die Software MUSS auf Basis der Anforderungen des Anforderungskatalogs + zu der Software getestet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.3 + description: "Liegt auch ein Pflichtenheft vor, dann MUSS dieses zus\xE4tzlich\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.4 + description: "Die Testf\xE4lle M\xDCSSEN so ausgew\xE4hlt werden, sodass diese\ + \ m\xF6glichst repr\xE4sentativ alle Funktionen der Software \xFCberpr\xFC\ + fen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.5 + description: "Zus\xE4tzlich SOLLTEN auch Negativ-Tests ber\xFCcksichtigt werden,\ + \ die \xFCberpr\xFCfen, ob die Software keine ungewollten Funktionen enth\xE4\ + lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.6 + description: "Die Testumgebung MUSS so ausgew\xE4hlt werden, sodass diese m\xF6\ + glichst repr\xE4sentativ alle in der Institution eingesetzten Ger\xE4temodelle\ + \ und Betriebssystemumgebungen abdeckt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.7 + description: "Es SOLLTE dabei getestet werden, ob die Software mit den eingesetzten\ + \ Betriebssystemen in den vorliegenden Konfigurationen kompatibel und funktionsf\xE4\ + hig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A2 + name: "Durchf\xFChrung von funktionalen Software-Tests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a2 + ref_id: OPS.1.1.6.A2.1 + description: "Mit funktionalen Software-Tests MUSS die ordnungsgem\xE4\xDFe\ + \ und vollst\xE4ndige Funktion der Software \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a2 + ref_id: OPS.1.1.6.A2.2 + description: "Die funktionalen Software-Tests M\xDCSSEN so durchgef\xFChrt werden,\ + \ dass sie den Produktivbetrieb nicht beeinflussen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A3 + name: Auswertung der Testergebnisse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.1 + description: "Die Ergebnisse der Software-Tests M\xDCSSEN ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.2 + description: "Es SOLLTE ein Soll-Ist-Vergleich mit definierten Vorgaben durchgef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.3 + description: Die Auswertung MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A4 + name: Freigabe der Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.1 + description: "Die fachlich zust\xE4ndige Organisationseinheit MUSS die Software\ + \ freigeben, sobald die Software-Tests erfolgreich durchgef\xFChrt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.2 + description: "Die Freigabe MUSS in Form einer Freigabeerkl\xE4rung dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.3 + description: "Die freigebende Organisationseinheit MUSS \xFCberpr\xFCfen, ob\ + \ die Software gem\xE4\xDF den Anforderungen getestet wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.4 + description: "Die Ergebnisse der Software-Tests M\xDCSSEN mit den vorher festgelegten\ + \ Erwartungen \xFCbereinstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.5 + description: "Auch MUSS \xFCberpr\xFCft werden, ob die rechtlichen und organisatorischen\ + \ Vorgaben eingehalten wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A5 + name: "Durchf\xFChrung von Software-Tests f\xFCr nicht funktionale Anforderungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.1 + description: "Es M\xDCSSEN Software-Tests durchgef\xFChrt werden, die \xFCberpr\xFC\ + fen, ob alle wesentlichen nichtfunktionalen Anforderungen erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.2 + description: "Insbesondere M\xDCSSEN sicherheitsspezifische Software-Tests durchgef\xFC\ + hrt werden, wenn die Anwendung sicherheitskritische Funktionen mitbringt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.3 + description: "Die durchgef\xFChrten Testf\xE4lle, sowie die Testergebnisse,\ + \ M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A6 + name: Geordnete Einweisung der Software-Testenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a6 + ref_id: OPS.1.1.6.A6.1 + description: "Die Software-Testenden SOLLTEN \xFCber die durchzuf\xFChrenden\ + \ Testarten und die zu testenden Bereiche einer Software von Fachverantwortlichen\ + \ informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a6 + ref_id: OPS.1.1.6.A6.2 + description: "Dar\xFCber hinaus SOLLTEN die Software-Testende \xFCber die Anwendungsf\xE4\ + lle und m\xF6gliche weitere Anforderungen der Software informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A7 + name: Personalauswahl der Software-Testenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.1 + description: "Bei der Auswahl der Software-Testenden SOLLTEN gesonderte Auswahlkriterien\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.2 + description: Die Software-Testenden SOLLTEN die erforderliche berufliche Qualifikation + haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.3 + description: "Wird Individualsoftware auf Quellcode-Ebene \xFCberpr\xFCft, dann\ + \ SOLLTEN die Testenden \xFCber ausreichendes Fachwissen \xFCber die zu testenden\ + \ Programmiersprache und der Entwicklungsumgebung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.4 + description: "Der Quellcode SOLLTE NICHT ausschlie\xDFlich von Testenden \xFC\ + berpr\xFCft werden, die auch an der Erstellung des Quellcodes beteiligt waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A10 + name: Erstellung eines Abnahmeplans + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.1 + description: "In einem Abnahmeplan SOLLTEN die durchzuf\xFChrenden Testarten,\ + \ Testf\xE4lle und die erwarteten Ergebnisse dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.2 + description: "Au\xDFerdem SOLLTE der Abnahmeplan die Freigabekriterien beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.3 + description: "Es SOLLTE eine Vorgehensweise f\xFCr die Situation festgelegt\ + \ werden, wenn eine Freigabe abgelehnt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A11 + name: Verwendung von anonymisierten oder pseudonymisierten Testdaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.1 + description: "Wenn Produktivdaten f\xFCr Software-Tests verwendet werden, die\ + \ sch\xFCtzenswerte Informationen enthalten, dann M\xDCSSEN diese Testdaten\ + \ angemessen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.2 + description: "Enthalten diese Daten personenbezogene Informationen, dann M\xDC\ + SSEN diese Daten mindestens pseudonymisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.3 + description: "Falls m\xF6glich, SOLLTEN die Testdaten mit Personenbezug vollst\xE4\ + ndig anonymisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.4 + description: "Wenn ein Personenbezug von den Testdaten abgeleitet werden k\xF6\ + nnte, MUSS der oder die Datenschutzbeauftragte und unter Umst\xE4nden die\ + \ Personalvertretung hinzugezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A12 + name: "Durchf\xFChrung von Regressionstests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.1 + description: "Wenn Software ver\xE4ndert wurde, SOLLTEN Regressionstests durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.2 + description: "Hierbei SOLLTE \xFCberpr\xFCft werden, ob bisherige bestehende\ + \ Sicherheitsmechanismen und -einstellungen durch das Update ungewollt ver\xE4\ + ndert wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.3 + description: "Regressionstests SOLLTEN vollst\xE4ndig durchgef\xFChrt werden\ + \ und hierbei auch Erweiterungen sowie Hilfsmittel umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.4 + description: "Werden Testf\xE4lle ausgelassen, SOLLTE dies begr\xFCndet und\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.5 + description: "Die durchgef\xFChrten Testf\xE4lle und die Testergebnisse SOLLTEN\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A13 + name: Trennung der Testumgebung von der Produktivumgebung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.1 + description: "Software SOLLTE nur in einer hierf\xFCr vorgesehenen Testumgebung\ + \ getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.2 + description: Die Testumgebung SOLLTE von der Produktivumgebung getrennt betrieben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.3 + description: Die in der Testumgebung verwendeten Architekturen und Mechanismen + SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.4 + description: Es SOLLTEN Verfahren dokumentiert werden, wie mit der Testumgebung + nach Abschluss des Software-Tests zu verfahren ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A14 + name: "Durchf\xFChrung von Penetrationstests" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.1 + description: "F\xFCr Anwendungen beziehungsweise IT-Systeme mit erh\xF6htem\ + \ Schutzbedarf SOLLTEN Penetrationstests als Testmethode durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.2 + description: "Ein Konzept f\xFCr Penetrationstests SOLLTE erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.3 + description: "Im Konzept f\xFCr Penetrationstests SOLLTEN neben den zu verwendenden\ + \ Testmethoden auch die Erfolgskriterien dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.4 + description: Der Penetrationstest SOLLTE nach den Rahmenbedingungen des Penetrationstest-Konzepts + erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.5 + description: "Die durch den Penetrationstest aufgefundenen Sicherheitsl\xFC\ + cken SOLLTEN klassifiziert und dokumentiert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A15 + name: "\xDCberpr\xFCfung der Installation und zugeh\xF6rigen Dokumentation" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a15 + ref_id: OPS.1.1.6.A15.1 + description: "Die Installation der Software SOLLTE entsprechend der Regelungen\ + \ zur Installation und Konfiguration von Software (siehe Baustein APP.6 Allgemeine\ + \ Software) \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a15 + ref_id: OPS.1.1.6.A15.2 + description: "Falls vorhanden, SOLLTE zus\xE4tzlich die Installations- und Konfigurationsdokumentation\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6 + ref_id: OPS.1.1.6.A16 + name: "Sicherheits\xFCberpr\xFCfung der Testenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.1 + description: "Sofern Testende auf besonders sch\xFCtzenswerte Informationen\ + \ zugreifen m\xFCssen, SOLLTE die Institution Nachweise \xFCber ihre Integrit\xE4\ + t und Reputation einholen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.2 + description: "Handelt es sich dabei um klassifizierte Verschlusssachen, SOLLTEN\ + \ sich die Software-Testenden einer Sicherheits\xFCberpr\xFCfung nach dem\ + \ Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.3 + description: "Hierzu SOLLTE der oder die ISB die Geheimschutzbeauftragten bzw.\ + \ Sicherheitsbevollm\xE4chtigten der Institution einbeziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + assessable: false + depth: 1 + ref_id: OPS.1.1.7 + name: Systemmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A1 + name: "Anforderungsspezifikation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.1 + description: "Anforderungen an die Systemmanagement-Infrastruktur und -Prozesse\ + \ M\xDCSSEN spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.2 + description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Systemmanagement\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.3 + description: "Auch M\xDCSSEN die Sicherheitsaspekte f\xFCr das Systemmanagement\ + \ von Beginn an beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.4 + description: "Zudem M\xDCSSEN die Schnittstellen der zu verwaltenden IT-Systeme\ + \ dokumentiert werden, z. B. um die Kompatibilit\xE4t von Systemmanagement-L\xF6\ + sung und zu verwaltendem System zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A2 + name: Planung des Systemmanagements + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.1 + description: "Die Systemmanagement-L\xF6sung und die zugrundeliegende Infrastruktur\ + \ M\xDCSSEN geeignet geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.2 + description: 'Die Planung MUSS mindestens die folgenden Inhalte umfassen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.3 + description: "\u2022 eine detaillierte Anforderungsanalyse," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.4 + description: "\u2022 ein aussagekr\xE4ftiges Grobkonzept," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.5 + description: "\u2022 einen umfassenden Umsetzungsplan sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.6 + description: "\u2022 Meilensteine f\xFCr Qualit\xE4tssicherung und Abnahme." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.7 + description: "Dabei M\xDCSSEN alle in der Anforderungsspezifikation genannten\ + \ Punkte sowie das Rollen- und Berechtigungskonzept ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.8 + description: "Es M\xDCSSEN mindestens die folgenden Themen ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.9 + description: "\u2022 Trennung in geeignete Bereiche f\xFCr das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.10 + description: "\u2022 Zugriffsm\xF6glichkeiten auf und durch das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.11 + description: "\u2022 Berechtigungen des Systemmanagements auf den zu verwaltenden\ + \ Systemen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.12 + description: "\u2022 Netzverbindungen f\xFCr den Zugriff auf und durch das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.13 + description: "\u2022 Protokolle f\xFCr den Zugriff von Benutzenden auf die Systemmanagement-L\xF6\ + sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.14 + description: "\u2022 Protokolle f\xFCr die Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.15 + description: "\u2022 Anforderungen an Systemmanagement-Werkzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.16 + description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ + \ weiterzuleiten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.17 + description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ + \ zu einer zentralen Protokollierungsl\xF6sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.18 + description: "\u2022 Unterst\xFCtzung durch das herstellende bzw. entwickelnde\ + \ Unternehmen \xFCber den geplanten Einsatzzeitraum," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.19 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.19 + description: "\u2022 M\xF6glichkeiten zum Einspielen von Patches f\xFCr die\ + \ Systemmanagement-L\xF6sung sowie f\xFCr die zu verwaltenden Systeme," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.20 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.20 + description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ + sungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2.21 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.21 + description: "\u2022 korrespondierende Anforderungen an die zu verwaltenden\ + \ Systeme." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A3 + name: "Zeitsynchronisation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a3 + ref_id: OPS.1.1.7.A3.1 + description: "Alle Komponenten der Systemmanagement-L\xF6sung, inklusive der\ + \ zu verwaltenden Systeme, M\xDCSSEN eine synchrone Uhrzeit nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a3 + ref_id: OPS.1.1.7.A3.2 + description: "Die Systemzeit MUSS f\xFCr jedes zu verwaltende System und f\xFC\ + r die Systemmanagement-L\xF6sung \xFCber geeignete Protokolle synchronisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A4 + name: Absicherung der Systemmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.1 + description: "Sobald die Systemmanagement-L\xF6sung und die zu verwaltenden\ + \ Systeme \xFCber die produktive Infrastruktur kommunizieren, M\xDCSSEN daf\xFC\ + r sichere Protokolle verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.2 + description: "Falls keine sicheren Protokolle verwendet werden k\xF6nnen, dann\ + \ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz (Out-of-Band-Management)\ + \ verwendet werden (siehe NET.1.1 Netzarchitektur und -design)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.3 + description: "Ist auch dies nicht m\xF6glich, dann M\xDCSSEN erg\xE4nzende Sicherheitsmechanismen\ + \ auf anderer Ebene eingesetzt werden, z. B. Tunnelmechanismen \xFCber verschl\xFC\ + sseltes VPN oder vergleichbare L\xF6sungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A5 + name: "Gegenseitige Authentisierung von Systemmanagement-L\xF6sung und zu verwaltenden\ + \ Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.1 + description: "Die Authentisierung zwischen Systemmanagement-L\xF6sung und zu\ + \ verwaltenden Systemen MUSS in beide Richtungen erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.2 + description: "Die Authentisierung MUSS in das \xFCbergreifende Authentisierungskonzept\ + \ eingebunden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.3 + description: Die Authentisierung MUSS mittels sicherer Protokolle erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A6 + name: "Absicherung des Zugriffs auf die Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.1 + description: "Der Zugriff von Benutzenden auf die Systemmanagement-L\xF6sung\ + \ MUSS abgesichert werden durch" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.2 + description: "\u2022 eine sichere und angemessene Authentisierung und Autorisierung\ + \ der Benutzenden sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.3 + description: "\u2022 eine sichere Verschl\xFCsselung der \xFCbertragenen Daten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.4 + description: "Eine angemessene Authentisierungsmethode MUSS ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.5 + description: Der Auswahlprozess MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.6 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel MUSS regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.7 + description: "Die Systemmanagement-L\xF6sung MUSS \xFCber eine Autorisierungskomponente\ + \ sicherstellen, dass Benutzende ausschlie\xDFlich solche Aktionen durchf\xFC\ + hren k\xF6nnen, zu denen sie berechtigt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A7 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.1 + description: "F\xFCr das Systemmanagement SOLLTE eine Sicherheitsrichtlinie\ + \ erstellt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.2 + description: Die Richtlinie SOLLTE allen Personen, die am Systemmanagement beteiligt + sind, bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.3 + description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr die\ + \ Arbeit dieser Personen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.4 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ + \ werden, dass die in der Richtlinie geforderten Inhalte umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.5 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.6 + description: 'Die Sicherheitsrichtlinie SOLLTE mindestens das Folgende festlegen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.7 + description: "\u2022 die Bereiche des Systemmanagements, die \xFCber zentrale\ + \ Management-Werkzeuge und - Dienste realisiert werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.8 + description: "\u2022 die Aufgaben im Systemmanagement, die automatisiert realisiert\ + \ werden sollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.9 + description: "\u2022 das Konfigurationsmanagement f\xFCr die Daten, die von\ + \ der Systemmanagement-L\xF6sung verwaltet werden, z. B. Versionierung von\ + \ Konfigurationen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.10 + description: "\u2022 Vorgaben f\xFCr die Netztrennung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.11 + description: "\u2022 Vorgaben f\xFCr die Zugriffskontrolle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.12 + description: "\u2022 Vorgaben f\xFCr die Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.13 + description: "\u2022 Vorgaben f\xFCr die Qualit\xE4tssicherung beim Einsatz\ + \ von Automatisierungsfunktionen, z. B. Skripte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.14 + description: "\u2022 Vorgaben f\xFCr den Schutz der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.15 + description: "\u2022 die operativen Grundregeln des Systemmanagements sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.16 + description: "\u2022 Vorgaben f\xFCr die Abstimmung mit dem Netzmanagement,\ + \ z. B. Vergabe von IP-Adressen oder DNS-Namen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A8 + name: Erstellung eines Systemmanagement-Konzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Systemmanagement\ + \ SOLLTE ein Systemmanagement-Konzept erstellt und kontinuierlich gepflegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Systemmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.5 + description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ + \ von Systemmanagement-Komponenten zu Sicherheitszonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung f\xFCr jedes\ + \ zu verwaltende System," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.7 + description: "\u2022 Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.8 + description: "\u2022 Automatisierung, insbesondere die zentrale Verteilung von\ + \ Konfigurationsdateien auf die zu verwaltenden Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.9 + description: "\u2022 Vorgaben an Entwicklung und Test von Automatisierungsfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.10 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.11 + description: "\u2022 Bereitstellung von Systemmanagement-Informationen f\xFC\ + r andere Betriebsbereiche," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.12 + description: "\u2022 Einbindung des Systemmanagements in die Notfallplanung,\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.13 + description: "\u2022 ben\xF6tigten Netz\xFCbertragungskapazit\xE4ten der Systemmanagement-L\xF6\ + sung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A9 + name: "Fein- und Umsetzungsplanung f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a9 + ref_id: OPS.1.1.7.A9.1 + description: "Eine Fein- und Umsetzungsplanung f\xFCr die Systemmanagement-L\xF6\ + sung SOLLTE erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a9 + ref_id: OPS.1.1.7.A9.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Systemmanagement-Konzept\ + \ adressierten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A10 + name: "Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a10 + ref_id: OPS.1.1.7.A10.1 + description: "Ausgehend von den Sicherheitsrichtlinien und dem Systemmanagement-Konzept\ + \ SOLLTE ein Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6\ + sung und der zugrundeliegenden Infrastruktur erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a10 + ref_id: OPS.1.1.7.A10.2 + description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ + \ operativer Einheiten einbinden und steuern lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A11 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Systemmanagements" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, inwieweit\ + \ die von der Systemmanagement-L\xF6sung verwalteten Daten, Konfigurationen\ + \ und Skripte dem Sollzustand entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.2 + description: "Mindestens folgende Aspekte SOLLTEN im Soll-Ist-Vergleich gepr\xFC\ + ft werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.3 + description: "\u2022 die Konfiguration der Systemmanagement-L\xF6sung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.4 + description: "\u2022 die Konfiguration der zu verwaltenden Systeme sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.5 + description: "\u2022 die eingesetzten Automatisierungsfunktionen oder Skripte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.6 + description: "Dabei SOLLTE gepr\xFCft werden, ob die genannten Aspekte noch\ + \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.7 + description: "Weiter SOLLTE verglichen werden, ob die Softwareversion der Systemmanagement-L\xF6\ + sung aktuell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A12 + name: "Ausl\xF6sung von Aktionen durch die zentralen Komponenten der Systemmanagement-L\xF6\ + sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a12 + ref_id: OPS.1.1.7.A12.1 + description: "Aktionen, die durch das Systemmanagement auf den verwalteten Systemen\ + \ ausgef\xFChrt werden, SOLLTEN ausschlie\xDFlich von der Systemmanagement-L\xF6\ + sung ausgel\xF6st werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a12 + ref_id: OPS.1.1.7.A12.2 + description: "Daf\xFCr SOLLTEN nur diejenigen Management-Funktionen auf der\ + \ Systemmanagement-L\xF6sung und den zu verwaltenden Systemen aktiviert werden,\ + \ die tats\xE4chlich ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A13 + name: "Verpflichtung zur Nutzung der vorgesehenen Schnittstellen f\xFCr das\ + \ Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a13 + ref_id: OPS.1.1.7.A13.1 + description: "Management-Zugriffe auf zu verwaltende Systeme SOLLTEN ausschlie\xDF\ + lich \xFCber die daf\xFCr vorgesehenen Schnittstellen der Systemmanagement-L\xF6\ + sung erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a13 + ref_id: OPS.1.1.7.A13.2 + description: "Falls ein direkter Zugriff auf zu verwaltende Systeme notwendig\ + \ ist, z. B. nach einem Ausfall eines zu verwaltenden Systems, SOLLTEN sowohl\ + \ der direkte Zugriff als auch alle in diesem Rahmen vorgenommenen \xC4nderungen\ + \ dokumentiert und im notwendigen Umfang in die Systemmanagement-L\xF6sung\ + \ eingepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A14 + name: "Zentrale Konfigurationsverwaltung f\xFCr zu verwaltende Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.1 + description: "Software und Konfigurationsdaten f\xFCr die zu verwaltenden Systeme\ + \ SOLLTEN konsequent in einem Konfigurationsmanagement verwaltet werden, das\ + \ eine Versionierung und \xC4nderungsverfolgung erm\xF6glicht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.2 + description: "Die zugeh\xF6rige Dokumentation zur Konfigurationsverwaltung SOLLTE\ + \ vollst\xE4ndig und immer aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.3 + description: "Die ben\xF6tigten Dokumentationen SOLLTEN an zentraler Stelle\ + \ sicher verf\xFCgbar sein sowie in die Datensicherung eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.4 + description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ + \ und regelm\xE4\xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.5 + description: "S\xE4mtliche Schnittstellen zwischen Systemmanagement-L\xF6sung\ + \ und anderen Anwendungen und Diensten SOLLTEN dokumentiert und vollst\xE4\ + ndig in einem Konfigurationsmanagement verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.6 + description: "Zwischen relevanten Betriebsbereichen SOLLTEN funktionale \xC4\ + nderungen an den Schnittstellen fr\xFChzeitig abgestimmt und dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.7 + description: "Die Konfigurationsdaten f\xFCr die zu verwaltenden Systeme SOLLTEN\ + \ automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung installiert\ + \ und aktiviert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A15 + name: "Status\xFCberwachung, Protokollierung und Alarmierung bei relevanten\ + \ Ereignissen im Systemmanagement-L\xF6sung und den zu verwaltenden Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.1 + description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ + \ der Systemmanagement-L\xF6sung und der zu verwaltenden Systeme SOLLTEN kontinuierlich\ + \ \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.2 + description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ + \ (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.3 + description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE das zust\xE4\ + ndige Personal automatisch benachrichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.4 + description: "Zur besseren Fehleranalyse SOLLTEN Informationen aus der Status\xFC\ + berwachung anderer Bereiche, z. B. aus einem eigenen Bereich \u201ENetze\u201C\ + , ebenfalls betrachtet werden, um die genaue Ursache f\xFCr eine St\xF6rung\ + \ zu finden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.5 + description: "Wichtige Ereignisse auf zu verwaltenden Systemen und auf der Systemmanagement-L\xF6\ + sung SOLLTEN automatisch an eine zentrale Protokollierungsinfrastruktur \xFC\ + bermittelt und dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.6 + description: "Wichtige Ereignisse SOLLTEN mindestens f\xFCr folgende Aspekte\ + \ definiert werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.7 + description: "\u2022 Ausfall sowie Nichterreichbarkeit von zu verwaltenden Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.8 + description: "\u2022 Ausfall sowie Nichterreichbarkeit von Systemmanagement-Komponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.9 + description: "\u2022 Hardware-Fehlfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.10 + description: "\u2022 Anmeldeversuche an der Systemmanagement-L\xF6sung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.11 + description: "\u2022 Anmeldeversuche an zu verwaltenden Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.12 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung der Systemmanagement-L\xF6\ + sung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.13 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von zu verwaltenden\ + \ Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.14 + description: "Ereignismeldungen sowie Protokollierungs-Daten SOLLTEN an ein\ + \ zentrales Logging-System \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.15 + description: "Alarmmeldungen SOLLTEN sofort, wenn sie auftreten, \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A16 + name: Einbindung des Systemmanagements in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a16 + ref_id: OPS.1.1.7.A16.1 + description: "Die Systemmanagement-L\xF6sung SOLLTE in die Notfallplanung der\ + \ Institution eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a16 + ref_id: OPS.1.1.7.A16.2 + description: "Dazu SOLLTEN sowohl die Systemmanagement-L\xF6sung als auch die\ + \ Konfigurationen der zu verwaltenden Systeme gesichert und in die Wiederanlaufpl\xE4\ + ne integriert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A17 + name: Kontrolle der Systemmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a17 + ref_id: OPS.1.1.7.A17.1 + description: "Die Kommunikation zwischen den Benutzenden und der Systemmanagement-L\xF6\ + sung sowie zwischen der Systemmanagement-L\xF6sung und den zu verwaltenden\ + \ IT-Systemen SOLLTE \xFCber geeignete Filtertechniken auf unbedingt notwendige\ + \ Verbindungen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A18 + name: "\xDCberpr\xFCfung des Systemzustands" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a18 + ref_id: OPS.1.1.7.A18.1 + description: "Die Konsistenz zwischen realem Systemzustand und dem von der Systemmanagement-L\xF6\ + sung angenommenen Zustand SOLLTE regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a18 + ref_id: OPS.1.1.7.A18.2 + description: "Werden Abweichungen festgestellt, SOLLTE der in der Systemmanagement-L\xF6\ + sung vorgesehene Zustand wiederhergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A19 + name: "Absicherung der Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a19 + ref_id: OPS.1.1.7.A19.1 + description: "Die Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen SOLLTE grunds\xE4tzlich verschl\xFC\ + sselt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a19 + ref_id: OPS.1.1.7.A19.2 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A20 + name: "Hochverf\xFCgbare Realisierung der Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a20 + ref_id: OPS.1.1.7.A20.1 + description: "Eine zentrale Systemmanagement-L\xF6sung SOLLTE hochverf\xFCgbar\ + \ betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a20 + ref_id: OPS.1.1.7.A20.2 + description: "Dazu SOLLTEN die f\xFCr die Systemmanagement-L\xF6sung eingesetzten\ + \ Server bzw. Werkzeuge inklusive der Netzanbindungen redundant ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A21 + name: Physische Trennung der zentralen Systemmanagementnetze + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a21 + ref_id: OPS.1.1.7.A21.1 + description: "Das Managementnetz f\xFCr das Systemmanagement SOLLTE physisch\ + \ von den funktionalen, insbesondere produktiven, Netzen getrennt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A22 + name: Einbindung des Systemmanagements in automatisierte Detektionssysteme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.1 + description: Die Protokollierung von sicherheitsrelevanten Ereignissen des Systemmanagements + SOLLTE in ein Security Information and Event Management (SIEM) eingebunden + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.2 + description: Dabei SOLLTE nachvollziehbar festgelegt werden, welche Ereignisse + an das SIEM weitergeleitet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.3 + description: "Im Anforderungskatalog zur Auswahl einer Systemmanagement-L\xF6\ + sung SOLLTEN die erforderlichen Schnittstellen und \xDCbergabeformate spezifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.4 + description: "Eine Systemmanagement-L\xF6sung SOLLTE mit einem System zur Erkennung\ + \ sicherheitsrelevanter Schwachstellen automatisiert \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A23 + name: "Standort-\xFCbergreifende Zeitsynchronisation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a23 + ref_id: OPS.1.1.7.A23.1 + description: "Die Zeitsynchronisation SOLLTE sowohl f\xFCr die Systemmanagement-L\xF6\ + sung als auch f\xFCr die zu verwaltenden Systeme \xFCber alle Standorte der\ + \ Institution sichergestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a23 + ref_id: OPS.1.1.7.A23.2 + description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A24 + name: "Automatisierte \xDCberpr\xFCfung von sicherheitsrelevanten Konfigurationen\ + \ durch geeignete Detektionssysteme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a24 + ref_id: OPS.1.1.7.A24.1 + description: "Sicherheitsrelevante Konfigurationen der Systemmanagement-L\xF6\ + sung und der zu verwaltenden Systeme SOLLTEN durch geeignete Detektionssysteme\ + \ regelm\xE4\xDFig auf Abweichungen vom Sollzustand sowie auf potenzielle\ + \ Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A25 + name: Protokollierung und Reglementierung von Systemmanagement-Sitzungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.1 + description: "Die Sitzungsinhalte, insbesondere die Aktivit\xE4ten von Benutzenden\ + \ auf der Systemmanagement-L\xF6sung sowie s\xE4mtliche direkte Zugriffe auf\ + \ zu verwaltende Systeme, SOLLTEN kontinuierlich durch eine technische L\xF6\ + sung protokolliert und reglementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.2 + description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ + \ und automatisierte Befehle, kontrolliert und gegebenenfalls unterbunden\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.3 + description: "W\xE4hrend der \xDCberwachung SOLLTE nicht nur bei konkreten Regelverst\xF6\ + \xDFen, sondern auch bei Anomalien im Benutzendenverhalten eine Alarmierung\ + \ erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7 + ref_id: OPS.1.1.7.A26 + name: "Entkopplung von Zugriffen auf die Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.1.7.a26 + ref_id: OPS.1.1.7.A26.1 + description: "Jeder administrative Zugriff auf die Systemmanagement-L\xF6sung\ + \ SOLLTE durch die Nutzung von Sprungservern abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + assessable: false + depth: 1 + ref_id: OPS.1.2.2 + name: Archivierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A1 + name: "Ermittlung von Einflussfaktoren f\xFCr die elektronische Archivierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a1 + ref_id: OPS.1.2.2.A1.1 + description: "Bevor entschieden wird, welche Verfahren und Produkte f\xFCr die\ + \ elektronische Archivierung eingesetzt werden, M\xDCSSEN die technischen,\ + \ rechtlichen und organisatorischen Einflussfaktoren ermittelt und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a1 + ref_id: OPS.1.2.2.A1.2 + description: "Die Ergebnisse M\xDCSSEN in das Archivierungskonzept einflie\xDF\ + en." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A2 + name: Entwicklung eines Archivierungskonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.1 + description: Es MUSS definiert werden, welche Ziele mit der Archivierung erreicht + werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.2 + description: "Hierbei MUSS insbesondere ber\xFCcksichtigt werden, welche Regularien\ + \ einzuhalten sind, welche Mitarbeitende zust\xE4ndig sind und welcher Funktions-\ + \ und Leistungsumfang angestrebt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.3 + description: "Die Ergebnisse M\xDCSSEN in einem Archivierungskonzept erfasst\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.4 + description: Die Institutionsleitung MUSS in diesen Prozess einbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.5 + description: "Das Archivierungskonzept MUSS regelm\xE4\xDFig an die aktuellen\ + \ Gegebenheiten der Institution angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A3 + name: Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.1 + description: "Die IT-Komponenten eines Archivsystems M\xDCSSEN in gesicherten\ + \ R\xE4umen aufgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.2 + description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen die\ + \ R\xE4ume betreten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.3 + description: "Archivspeichermedien M\xDCSSEN geeignet gelagert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A4 + name: Konsistente Indizierung von Daten bei der Archivierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a4 + ref_id: OPS.1.2.2.A4.1 + description: "Alle in einem Archiv abgelegten Daten, Dokumente und Datens\xE4\ + tze M\xDCSSEN eindeutig indiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a4 + ref_id: OPS.1.2.2.A4.2 + description: "Dazu MUSS bereits w\xE4hrend der Konzeption festgelegt werden,\ + \ welche Struktur und welchen Umfang die Indexangaben f\xFCr ein Archiv haben\ + \ sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A5 + name: "Regelm\xE4\xDFige Aufbereitung von archivierten Datenbest\xE4nden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.1 + description: "\xDCber den gesamten Archivierungszeitraum hinweg MUSS sichergestellt\ + \ werden, dass" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.2 + description: "\u2022 das verwendete Datenformat von den benutzten Anwendungen\ + \ verarbeitet werden kann," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.3 + description: "\u2022 die gespeicherten Daten auch zuk\xFCnftig lesbar und so\ + \ reproduzierbar sind, dass Semantik und Beweiskraft beibehalten werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.4 + description: "\u2022 das benutzte Dateisystem auf dem Speichermedium von allen\ + \ beteiligten Komponenten verarbeitet werden kann," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.5 + description: "\u2022 die Speichermedien jederzeit technisch einwandfrei gelesen\ + \ werden k\xF6nnen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.6 + description: "\u2022 die verwendeten kryptografischen Verfahren zur Verschl\xFC\ + sselung und zum Beweiswerterhalt mittels digitaler Signatur, Siegel, Zeitstempel\ + \ oder technischen Beweisdaten (Evidence Records) dem Stand der Technik entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A6 + name: "Schutz der Integrit\xE4t der Indexdatenbank von Archivsystemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.1 + description: "Die Integrit\xE4t der Indexdatenbank MUSS sichergestellt und \xFC\ + berpr\xFCfbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.2 + description: "Au\xDFerdem MUSS die Indexdatenbank regelm\xE4\xDFig gesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.3 + description: "Die Datensicherungen M\xDCSSEN wiederherstellbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.4 + description: "Mittlere und gro\xDFe Archive SOLLTEN \xFCber redundante Indexdatenbanken\ + \ verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A7 + name: "Regelm\xE4\xDFige Datensicherung der System- und Archivdaten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a7 + ref_id: OPS.1.2.2.A7.1 + description: "Alle Archivdaten, die zugeh\xF6rigen Indexdatenbanken sowie die\ + \ Systemdaten M\xDCSSEN regelm\xE4\xDFig gesichert werden (siehe CON.3 Datensicherungskonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A8 + name: Protokollierung der Archivzugriffe + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.1 + description: "Alle Zugriffe auf elektronische Archive M\xDCSSEN protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.2 + description: "Daf\xFCr SOLLTEN Datum, Uhrzeit, Benutzender, Client und die ausgef\xFC\ + hrten Aktionen sowie Fehlermeldungen aufgezeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.3 + description: Im Archivierungskonzept SOLLTE festgelegt werden, wie lange die + Protokolldaten aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.4 + description: "Die Protokolldaten der Archivzugriffe SOLLTEN regelm\xE4\xDFig\ + \ ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.5 + description: Dabei SOLLTEN die institutionsinternen Vorgaben beachtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.6 + description: "Auch SOLLTE definiert sein, welche Ereignisse welchen Mitarbeitenden\ + \ angezeigt werden, wie z. B. Systemfehler, Timeouts oder wenn Datens\xE4\ + tze kopiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.7 + description: "Kritische Ereignisse SOLLTEN sofort nach der Erkennung gepr\xFC\ + ft und, falls n\xF6tig, weiter eskaliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A9 + name: "Auswahl geeigneter Datenformate f\xFCr die Archivierung von Dokumenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.1 + description: "F\xFCr die Archivierung MUSS ein geeignetes Datenformat ausgew\xE4\ + hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.2 + description: "Es MUSS gew\xE4hrleisten, dass sich Archivdaten sowie ausgew\xE4\ + hlte Merkmale des urspr\xFCnglichen Dokumentmediums langfristig und originalgetreu\ + \ reproduzieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.3 + description: "Die Dokumentstruktur des ausgew\xE4hlten Datenformats MUSS eindeutig\ + \ interpretierbar und elektronisch verarbeitbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.4 + description: "Die Syntax und Semantik der verwendeten Datenformate SOLLTE dokumentiert\ + \ und von einer Standardisierungsorganisation ver\xF6ffentlicht sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.5 + description: "Es SOLLTE f\xFCr eine beweis- und revisionssichere Archivierung\ + \ ein verlustfreies Bildkompressionsverfahren benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A10 + name: "Erstellung einer Richtlinie f\xFCr die Nutzung von Archivsystemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.1 + description: Es SOLLTE sichergestellt werden, dass Mitarbeitende das Archivsystem + so benutzen, wie es im Archivierungskonzept vorgesehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.2 + description: Dazu SOLLTE eine Administrations- und eine Benutzungsrichtlinie + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.3 + description: 'Die Administrationsrichtlinie SOLLTE folgende Punkte enthalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.4 + description: "\u2022 Festlegung der Verantwortung f\xFCr Betrieb und Administration," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.5 + description: "\u2022 Vereinbarungen \xFCber Leistungsparameter beim Betrieb\ + \ (unter anderem Service Level Agreements)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.6 + description: "\u2022 Modalit\xE4ten der Vergabe von Zutritts- und Zugriffsrechten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.7 + description: "\u2022 Modalit\xE4ten der Vergabe von Zugangsrechten zu den vom\ + \ Archiv bereitgestellten Diensten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.8 + description: "\u2022 Regelungen zum Umgang mit archivierten Daten und Archivmedien," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.9 + description: "\u2022 \xDCberwachung des Archivsystems und der Umgebungsbedingungen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.10 + description: "\u2022 Regelungen zur Datensicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.11 + description: "\u2022 Regelungen zur Protokollierung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.12 + description: "\u2022 Trennung von Produzenten und Konsumenten (OAIS-Modell)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A11 + name: Einweisung in die Administration und Bedienung des Archivsystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.1 + description: "Die zust\xE4ndigen Mitarbeitende des IT-Betriebs und die Benutzenden\ + \ SOLLTEN f\xFCr ihren Aufgabenbereich geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.2 + description: 'Die Schulung der Mitarbeitenden des IT-Betriebs SOLLTE folgende + Themen umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.3 + description: "\u2022 Systemarchitektur und Sicherheitsmechanismen des verwendeten\ + \ Archivsystems und des darunterliegenden Betriebssystems," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.4 + description: "\u2022 Installation und Bedienung des Archivsystems und Umgang\ + \ mit Archivmedien," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.5 + description: "\u2022 Dokumentation der Administrationst\xE4tigkeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.6 + description: "\u2022 Eskalationsprozeduren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.7 + description: 'Die Schulung der Benutzende SOLLTE folgende Themen umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.8 + description: "\u2022 Umgang mit dem Archivsystem," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.9 + description: "\u2022 Bedienung des Archivsystems sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.10 + description: "\u2022 rechtliche Rahmenbedingungen der Archivierung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.11 + description: "Die Durchf\xFChrung der Schulungen sowie die Teilnahme SOLLTEN\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A12 + name: "\xDCberwachung der Speicherressourcen von Archivmedien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.1 + description: "Die auf den Archivmedien vorhandene freie Speicherkapazit\xE4\ + t SOLLTE kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.2 + description: "Sobald ein definierter Grenzwert unterschritten wird, M\xDCSSEN\ + \ zust\xE4ndige Mitarbeitende automatisch alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.3 + description: Die Alarmierung SOLLTE rollenbezogen erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.4 + description: "Es M\xDCSSEN immer ausreichend leere Archivmedien verf\xFCgbar\ + \ sein, um Speicherengp\xE4ssen schnell vorbeugen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A13 + name: "Regelm\xE4\xDFige Revision der Archivierungsprozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.1 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Archivierungsprozesse\ + \ noch korrekt und ordnungsgem\xE4\xDF funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.2 + description: "Dazu SOLLTE eine Checkliste erstellt werden, die Fragen zu Verantwortlichkeiten,\ + \ Organisationsprozessen, zum Einsatz der Archivierung, zur Redundanz der\ + \ Archivdaten, zur Administration und zur technischen Beurteilung des Archivsystems\ + \ enth\xE4lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.3 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit + dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A14 + name: "Regelm\xE4\xDFige Beobachtung des Marktes f\xFCr Archivsysteme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.1 + description: "Der Markt f\xFCr Archivsysteme SOLLTE regelm\xE4\xDFig und systematisch\ + \ beobachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.2 + description: 'Dabei SOLLTEN unter anderem folgende Kriterien beobachtet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.3 + description: "\u2022 Ver\xE4nderungen bei Standards," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.4 + description: "\u2022 Wechsel der Technik bei herstellenden Unternehmen von Hard-\ + \ und Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.5 + description: "\u2022 ver\xF6ffentlichte Sicherheitsl\xFCcken oder Schwachstellen\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.6 + description: "\u2022 der Verlust der Sicherheitseignung bei kryptografischen\ + \ Algorithmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A15 + name: "Regelm\xE4\xDFige Aufbereitung von kryptografisch gesicherten Daten bei\ + \ der Archivierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a15 + ref_id: OPS.1.2.2.A15.1 + description: "Es SOLLTE kontinuierlich beobachtet werden, wie sich das Gebiet\ + \ der Kryptografie entwickelt, um beurteilen zu k\xF6nnen, ob ein Algorithmus\ + \ weiterhin zuverl\xE4ssig und ausreichend sicher ist (siehe auch OPS.1.2.2.A20\ + \ Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a15 + ref_id: OPS.1.2.2.A15.2 + description: Archivdaten, die mit kryptografischen Verfahren gesichert wurden, + die sich in absehbarer Zeit nicht mehr zur Sicherung eignen werden, SOLLTEN + rechtzeitig mit geeigneten Verfahren neu gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A16 + name: "Regelm\xE4\xDFige Erneuerung technischer Archivsystem-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.1 + description: "Archivsysteme SOLLTEN \xFCber lange Zeitr\xE4ume auf dem aktuellen\ + \ technischen Stand gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.2 + description: "Neue Hard- und Software SOLLTE vor der Installation in einem laufenden\ + \ Archivsystem ausf\xFChrlich getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.3 + description: "Wenn neue Komponenten in Betrieb genommen oder neue Dateiformate\ + \ eingef\xFChrt werden, SOLLTE ein Migrationskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.4 + description: "Darin SOLLTEN alle \xC4nderungen, Tests und erwarteten Testergebnisse\ + \ beschrieben sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.5 + description: Die Konvertierung der einzelnen Daten SOLLTE dokumentiert werden + (Transfervermerk). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.6 + description: "Wenn Archivdaten in neue Formate konvertiert werden, SOLLTE gepr\xFC\ + ft werden, ob die Daten aufgrund rechtlicher Anforderungen zus\xE4tzlich in\ + \ ihren urspr\xFCnglichen Formaten zu archivieren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A17 + name: Auswahl eines geeigneten Archivsystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a17 + ref_id: OPS.1.2.2.A17.1 + description: "Ein neues Archivsystem SOLLTE immer auf Basis der im Archivierungskonzept\ + \ beschriebenen Vorgaben ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a17 + ref_id: OPS.1.2.2.A17.2 + description: "Es SOLLTE die dort formulierten Anforderungen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A18 + name: Verwendung geeigneter Archivmedien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.1 + description: "F\xFCr die Archivierung SOLLTEN geeignete Medien ausgew\xE4hlt\ + \ und benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.2 + description: "Dabei SOLLTEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.3 + description: "\u2022 das zu archivierende Datenvolumen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.4 + description: "\u2022 die mittleren Zugriffszeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.5 + description: "\u2022 die mittleren gleichzeitigen Zugriffe auf das Archivsystem." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.6 + description: "Ebenfalls SOLLTEN die Archivmedien die Anforderungen an eine Langzeitarchivierung\ + \ hinsichtlich Revisionssicherheit und Lebensdauer erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A19 + name: "Regelm\xE4\xDFige Funktions- und Recoverytests bei der Archivierung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.1 + description: "F\xFCr die Archivierung SOLLTEN regelm\xE4\xDFige Funktions- und\ + \ Recoverytests durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.2 + description: "Die Archivierungsdatentr\xE4ger SOLLTEN mindestens einmal j\xE4\ + hrlich daraufhin \xFCberpr\xFCft werden, ob sie noch lesbar und integer sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.3 + description: "F\xFCr die Fehlerbehebung SOLLTEN geeignete Prozesse definiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.4 + description: "Weiterhin SOLLTEN die Hardwarekomponenten des Archivsystems regelm\xE4\ + \xDFig auf ihre einwandfreie Funktion hin gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.5 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob alle Archivierungsprozesse\ + \ fehlerfrei funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A20 + name: Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a20 + ref_id: OPS.1.2.2.A20.1 + description: "Um lange Aufbewahrungsfristen abdecken zu k\xF6nnen, SOLLTEN Archivdaten\ + \ nur mit kryptografischen Verfahren auf Basis aktueller Standards und Normen\ + \ gesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2 + ref_id: OPS.1.2.2.A21 + name: "\xDCbertragung von Papierdaten in elektronische Archive" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.2.a21 + ref_id: OPS.1.2.2.A21.1 + description: "Werden z. B. Dokumente auf Papier digitalisiert und in ein elektronisches\ + \ Archiv \xFCberf\xFChrt, SOLLTE sichergestellt werden, dass die digitale\ + \ Kopie mit dem Originaldokument bildlich und inhaltlich \xFCbereinstimmt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + assessable: false + depth: 1 + ref_id: OPS.1.2.4 + name: Telearbeit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A1 + name: "Regelungen f\xFCr Telearbeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.1 + description: "Alle relevanten Aspekte der Telearbeit M\xDCSSEN geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.2 + description: "Zu Informationszwecken M\xDCSSEN den Telearbeitenden die geltenden\ + \ Regelungen oder ein daf\xFCr vorgesehenes Merkblatt ausgeh\xE4ndigt werden,\ + \ das die zu beachtenden Sicherheitsma\xDFnahmen erl\xE4utert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.3 + description: "Alle strittigen Punkte M\xDCSSEN entweder durch Betriebsvereinbarungen\ + \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ + \ zwischen dem Mitarbeitenden und der Institution geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.4 + description: "Die Regelungen M\xDCSSEN regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A2 + name: Sicherheitstechnische Anforderungen an den Telearbeitsrechner + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.1 + description: "Es M\xDCSSEN sicherheitstechnische Anforderungen festgelegt werden,\ + \ die ein IT-System f\xFCr die Telearbeit erf\xFCllen muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.2 + description: Es MUSS sichergestellt werden, dass nur autorisierte Personen Zugang + zu den Telearbeitsrechnern haben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.3 + description: "Dar\xFCber hinaus MUSS der Telearbeitsrechner so abgesichert werden,\ + \ dass er nur f\xFCr autorisierte Zwecke benutzt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A5 + name: Sensibilisierung und Schulung der Mitarbeitenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.1 + description: "Anhand eines Leitfadens M\xDCSSEN die Mitarbeitenden f\xFCr die\ + \ Gefahren sensibilisiert werden, die mit der Telearbeit verbunden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.2 + description: "Au\xDFerdem M\xDCSSEN sie in die entsprechenden Sicherheitsma\xDF\ + nahmen der Institution eingewiesen und im Umgang mit diesen geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.3 + description: "Die Schulungs- und Sensibilisierungsma\xDFnahmen f\xFCr Mitarbeitenden\ + \ SOLLTEN regelm\xE4\xDFig wiederholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A6 + name: "Erstellen eines Sicherheitskonzeptes f\xFCr Telearbeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.1 + description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Telearbeit erstellt\ + \ werden, das Sicherheitsziele, Schutzbedarf, Sicherheitsanforderungen sowie\ + \ Risiken beschreibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.2 + description: "Das Konzept SOLLTE regelm\xE4\xDFig aktualisiert und \xFCberarbeitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.3 + description: "Das Sicherheitskonzept zur Telearbeit SOLLTE auf das \xFCbergreifende\ + \ Sicherheitskonzept der Institution abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A7 + name: "Regelung der Nutzung von Kommunikationsm\xF6glichkeiten bei Telearbeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.1 + description: "Es SOLLTE klar geregelt werden, welche Kommunikationsm\xF6glichkeiten\ + \ bei der Telearbeit unter welchen Rahmenbedingungen genutzt werden d\xFC\ + rfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.2 + description: Die dienstliche und private Nutzung von Internetdiensten bei der + Telearbeit SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.3 + description: "Dabei SOLLTE auch gekl\xE4rt werden, ob eine private Nutzung generell\ + \ erlaubt oder unterbunden wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A8 + name: Informationsfluss zwischen Mitarbeitenden und Institution + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.1 + description: "Ein regelm\xE4\xDFiger innerbetrieblicher Informationsaustausch\ + \ zwischen den Mitarbeitenden und der Institution SOLLTE gew\xE4hrleistet\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.2 + description: "Alle Mitarbeitenden SOLLTEN zeitnah \xFCber ge\xE4nderte Sicherheitsanforderungen\ + \ und andere sicherheitsrelevante Aspekte informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.3 + description: "Allen Kollegen und Kolleginnen der jeweiligen Mitarbeitenden SOLLTE\ + \ bekannt sein, wann und wo diese erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.4 + description: "Technische und organisatorische Telearbeitsregelungen zur Aufgabenbew\xE4\ + ltigung, zu Sicherheitsvorf\xE4llen und sonstigen Problemen SOLLTEN geregelt\ + \ und an die Mitarbeitenden kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A9 + name: "Betreuungs- und Wartungskonzept f\xFCr Telearbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.1 + description: "F\xFCr Telearbeitspl\xE4tze SOLLTE ein spezielles Betreuungs-\ + \ und Wartungskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.2 + description: "Darin SOLLTEN folgende Aspekte geregelt werden: Kontaktperson\ + \ des IT-Betriebs, Wartungstermine, Fernwartung, Transport der IT-Ger\xE4\ + te und Einf\xFChrung von Standard-Telearbeitsrechnern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.3 + description: "Damit die Mitarbeitenden einsatzf\xE4hig bleiben, SOLLTEN f\xFC\ + r sie Kontaktpersonen f\xFCr Hard- und Softwareprobleme benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4 + ref_id: OPS.1.2.4.A10 + name: "Durchf\xFChrung einer Anforderungsanalyse f\xFCr den Telearbeitsplatz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.1 + description: "Bevor ein Telearbeitsplatz eingerichtet wird, SOLLTE eine Anforderungsanalyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.2 + description: "Daraus SOLLTE z. B. hervorgehen, welche Hard- und Software-Komponenten\ + \ f\xFCr den Telearbeitsplatz ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.3 + description: Die Anforderungen an den jeweiligen Telearbeitsplatz SOLLTEN mit + den IT-Verantwortlichen abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.4 + description: Es SOLLTE immer festgestellt und dokumentiert werden, welchen Schutzbedarf + die am Telearbeitsplatz verarbeiteten Informationen haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + assessable: false + depth: 1 + ref_id: OPS.1.2.5 + name: Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A1 + name: Planung des Einsatzes der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.1 + description: Der Einsatz der Fernwartung MUSS an die Institution angepasst werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.2 + description: Die Fernwartung MUSS hinsichtlich technischer und organisatorischer + Aspekte bedarfsgerecht geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.3 + description: "Dabei MUSS mindestens ber\xFCcksichtigt werden, welche IT-Systeme\ + \ ferngewartet werden sollen und wer daf\xFCr zust\xE4ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A2 + name: Sicherer Verbindungsaufbau bei der Fernwartung von Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a2 + ref_id: OPS.1.2.5.A2.1 + description: Wird per Fernwartung auf Desktop-Umgebungen von Clients zugegriffen, + MUSS die Fernwartungssoftware so konfiguriert sein, dass sie eine Verbindung + erst nach expliziter Zustimmung der Benutzenden aufbaut. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A3 + name: Absicherung der Schnittstellen zur Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.1 + description: "Die m\xF6glichen Zug\xE4nge und Kommunikationsverbindungen f\xFC\ + r die Fernwartung M\xDCSSEN auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.2 + description: "Alle Fernwartungsverbindungen M\xDCSSEN nach dem Fernzugriff getrennt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.3 + description: "Es MUSS sichergestellt werden, dass Fernwartungssoftware nur auf\ + \ IT-Systemen installiert ist, auf denen sie ben\xF6tigt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.4 + description: "Fernwartungsverbindungen \xFCber nicht vertrauensw\xFCrdige Netze\ + \ M\xDCSSEN verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.5 + description: "Alle anderen Fernwartungsverbindungen SOLLTEN verschl\xFCsselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A5 + name: Einsatz von Online-Diensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.1 + description: "Die Institution SOLLTE festlegen, unter welchen Umst\xE4nden Online-Dienste\ + \ zur Fernwartung genutzt werden d\xFCrfen, bei denen die Verbindung \xFC\ + ber einen externen Server hergestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.2 + description: "Der Einsatz solcher Dienste SOLLTE generell auf m\xF6glichst wenige\ + \ F\xE4lle beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.3 + description: Die IT-Systeme SOLLTEN keine automatisierten Verbindungen zum Online-Dienst + aufbauen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.4 + description: "Es SOLLTE sichergestellt werden, dass der eingesetzte Online-Dienst\ + \ die \xFCbertragenen Informationen Ende-zu-Ende-verschl\xFCsselt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A6 + name: "Erstellung einer Richtlinie f\xFCr die Fernwartung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a6 + ref_id: OPS.1.2.5.A6.1 + description: Die Institution SOLLTE eine Richtlinie zur Fernwartung erstellen, + in der alle relevanten Regelungen zur Fernwartung dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a6 + ref_id: OPS.1.2.5.A6.2 + description: "Die Richtlinie SOLLTE allen Zust\xE4ndigen bekannt sein, die an\ + \ der Konzeption, dem Aufbau und dem Betrieb der Fernwartung beteiligt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A7 + name: Dokumentation bei der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.1 + description: Die Fernwartung SOLLTE geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.2 + description: "Aus der Dokumentation SOLLTE hervorgehen, welche Fernwartungszug\xE4\ + nge existieren und ob diese aktiviert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.3 + description: "Die Dokumente SOLLTEN an geeigneten Orten und vor unberechtigtem\ + \ Zugriff gesch\xFCtzt abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.4 + description: "Die Dokumente SOLLTEN im Rahmen des Notfallmanagements zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A8 + name: Sichere Protokolle bei der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.1 + description: Nur als sicher eingestufte Kommunikationsprotokolle SOLLTEN eingesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.2 + description: "Daf\xFCr SOLLTEN sichere kryptografische Verfahren verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.3 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.4 + description: "Wird auf die Fernwartungszug\xE4nge von IT-Systemen im internen\ + \ Netz \xFCber ein \xF6ffentliches Datennetz zugegriffen, SOLLTE ein abgesichertes\ + \ Virtuelles Privates Netz (VPN) genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A9 + name: Auswahl und Beschaffung geeigneter Fernwartungswerkzeuge + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a9 + ref_id: OPS.1.2.5.A9.1 + description: Die Auswahl geeigneter Fernwartungswerkzeuge SOLLTE sich aus den + betrieblichen, sicherheitstechnischen und datenschutzrechtlichen Anforderungen + der Institution ergeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a9 + ref_id: OPS.1.2.5.A9.2 + description: Alle Beschaffungsentscheidungen SOLLTEN mit den System- und Anwendungsverantwortlichen + sowie dem oder der Informationssicherheitsbeauftragten abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A10 + name: Umgang mit Fernwartungswerkzeugen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.1 + description: "Es SOLLTEN organisatorische Verwaltungsprozesse zum Umgang mit\ + \ den ausgew\xE4hlten Fernwartungswerkzeugen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.2 + description: "Es SOLLTE eine Bedienungsanleitung f\xFCr den Umgang mit den Fernwartungswerkzeugen\ + \ vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.3 + description: "Erg\xE4nzend zu den allgemeinen Schulungsma\xDFnahmen SOLLTEN\ + \ Musterabl\xE4ufe f\xFCr die passive und die aktive Fernwartung erstellt\ + \ und kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.4 + description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ + \ der IT-Betrieb besonders im Umgang mit den Fernwartungswerkzeugen sensibilisiert\ + \ und geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.5 + description: "Es SOLLTE ein Ansprechpartner oder eine Ansprechpartnerin f\xFC\ + r alle fachlichen Fragen zu den Fernwartungswerkzeugen benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A14 + name: Dedizierte Clients und Konten bei der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.1 + description: "Zur Fernwartung SOLLTEN IT-Systeme eingesetzt werden, die ausschlie\xDF\ + lich zur Administration von anderen IT-Systemen dienen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.2 + description: Alle weiteren Funktionen auf diesen IT-Systemen SOLLTEN deaktiviert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.3 + description: "Die Netzkommunikation der Administrationssysteme SOLLTE so eingeschr\xE4\ + nkt werden, dass nur Verbindungen zu IT-Systemen m\xF6glich sind, die administriert\ + \ werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.4 + description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN dedizierte Konten verwendet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A17 + name: Authentisierungsmechanismen bei der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.1 + description: "F\xFCr die Fernwartung SOLLTEN Mehr-Faktor-Verfahren zur Authentisierung\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.2 + description: "Die Auswahl der Authentisierungsmethode und die Gr\xFCnde, die\ + \ zu der Auswahl gef\xFChrt haben, SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.3 + description: "Fernwartungszug\xE4nge SOLLTEN im Identit\xE4ts- und Berechtigungsmanagement\ + \ der Institution ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A19 + name: Fernwartung durch Dritte + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.1 + description: "Wird die Fernwartung von Externen durchgef\xFChrt, SOLLTEN alle\ + \ Fernwartungsaktivit\xE4ten von internen Mitarbeitenden beobachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.2 + description: "Alle Fernwartungsvorg\xE4nge durch Dritte SOLLTEN aufgezeichnet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.3 + description: "Mit externem Wartungspersonal M\xDCSSEN vertragliche Regelungen\ + \ \xFCber die Sicherheit der betroffenen IT-Systeme und Informationen geschlossen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.4 + description: Die Pflichten und Kompetenzen des externen Wartungspersonals SOLLTEN + in den vertraglichen Regelungen festgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.5 + description: "Sollten Dienstleistende mehrere Kunden und Kundinnen fernwarten,\ + \ MUSS gew\xE4hrleistet sein, dass die Netze der Kunden und Kundinnen nicht\ + \ miteinander verbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.6 + description: "Die Fernwartungsschnittstellen SOLLTEN so konfiguriert sein, dass\ + \ es Dienstleistenden nur m\xF6glich ist, auf die IT-Systeme und Netzsegmente\ + \ zuzugreifen, die f\xFCr seine Arbeit ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A20 + name: Betrieb der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.1 + description: "Ein Meldeprozess f\xFCr Support- und Fernwartungsanliegen SOLLTE\ + \ etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.2 + description: Es SOLLTEN Mechanismen zur Erkennung und Abwehr von hochvolumigen + Angriffen, TCP-State-Exhaustion-Angriffen und Angriffen auf Applikationsebene + implementiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.3 + description: "Alle Fernwartungsvorg\xE4nge SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A21 + name: "Erstellung eines Notfallplans f\xFCr den Ausfall der Fernwartung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.1 + description: "Es SOLLTE ein Konzept entwickelt werden, wie die Folgen eines\ + \ Ausfalls von Fernwartungskomponenten minimiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.2 + description: Dieses SOLLTE festhalten, wie im Falle eines Ausfalls zu reagieren + ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.3 + description: "Durch den Notfallplan SOLLTE sichergestellt sein, dass St\xF6\ + rungen, Sch\xE4den und Folgesch\xE4den minimiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.4 + description: "Au\xDFerdem SOLLTE festgelegt werden, wie eine zeitnahe Wiederherstellung\ + \ des Normalbetriebs erfolgen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A22 + name: Redundante Kommunikationsverbindungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a22 + ref_id: OPS.1.2.5.A22.1 + description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN redundante Kommunikationsverbindungen\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a22 + ref_id: OPS.1.2.5.A22.2 + description: Die Institution SOLLTE Anbindungen zum Out-Of-Band-Management vorhalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A24 + name: Absicherung integrierter Fernwartungssysteme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.1 + description: "Bei der Beschaffung von neuen IT-Systemen SOLLTE gepr\xFCft werden,\ + \ ob diese IT-Systeme oder einzelne Komponenten der IT-Systeme \xFCber Funktionen\ + \ zur Fernwartung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.2 + description: Werden diese Funktionen nicht verwendet, SOLLTEN sie deaktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.3 + description: "Die Funktionen SOLLTEN ebenfalls deaktiviert werden, wenn sie\ + \ durch bekannte Sicherheitsl\xFCcken gef\xE4hrdet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.4 + description: "Werden Fernwartungsfunktionen verwendet, die in die Firmware einzelner\ + \ Komponenten integriert sind, SOLLTEN deren Funktionen und der Zugriff darauf\ + \ so weit wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.5 + description: Die Fernwartungsfunktionen SOLLTEN nur aus einem getrennten Managementnetz + erreichbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5 + ref_id: OPS.1.2.5.A25 + name: Entkopplung der Kommunikation bei der Fernwartung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.1 + description: "Direkte Fernwartungszugriffe von einem Fernwartungs-Client au\xDF\ + erhalb der Managementnetze auf ein IT-System SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.2 + description: Ist ein solcher Zugriff notwendig, SOLLTE die Kommunikation entkoppelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.3 + description: Dazu SOLLTEN Sprungserver verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.4 + description: "Der Zugriff auf Sprungserver SOLLTE nur von vertrauensw\xFCrdigen\ + \ IT-Systemen aus m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + assessable: false + depth: 1 + ref_id: OPS.1.2.6 + name: NTP-Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A1 + name: Planung des NTP- Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.1 + description: Der IT-Betrieb MUSS planen, wo und wie NTP eingesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.2 + description: "Dies SOLLTE vollst\xE4ndig dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.3 + description: Dabei MUSS ermittelt werden, welche Anwendungen auf eine genaue + Zeitinformation angewiesen sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.4 + description: "Die Anforderungen des Informationsverbunds hinsichtlich genauer\ + \ Zeit der IT-Systeme M\xDCSSEN definiert und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.5 + description: Der IT-Betrieb MUSS definieren, welche NTP-Server von welchen NTP-Clients + genutzt werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.6 + description: Es MUSS festgelegt werden, ob NTP-Server im Client-Server- oder + im Broadcast-Modus arbeiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A2 + name: Sichere Nutzung fremder Zeitquellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.1 + description: "Falls Zeitinformationen von einem NTP-Server au\xDFerhalb des\ + \ Netzes der Institution bezogen werden, dann MUSS der IT-Betrieb beurteilen,\ + \ ob der NTP-Server hinreichend verl\xE4sslich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.2 + description: "Der IT-Betrieb MUSS sicherstellen, dass nur als verl\xE4sslich\ + \ eingestufte NTP-Server verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.3 + description: Der IT-Betrieb MUSS die Nutzungsregeln des NTP-Servers kennen und + beachten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A3 + name: Sichere Konfiguration von NTP-Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.1 + description: "Der IT-Betrieb MUSS den NTP-Server so konfigurieren, dass Clients\ + \ nur dann Einstellungen des NTP-Servers ver\xE4ndern k\xF6nnen, wenn dies\ + \ explizit vorgesehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.2 + description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass nur vertrauensw\xFC\ + rdige Clients Status-Informationen abfragen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.3 + description: "Falls die internen NTP-Server der Institution nicht selbst hinreichend\ + \ genaue Zeitquellen nutzen, dann MUSS der IT-Betrieb diese NTP-Server so\ + \ konfigurieren, dass sie regelm\xE4\xDFig genaue Zeitinformationen von externen\ + \ NTP-Servern abfragen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A4 + name: "Nichtber\xFCcksichtigung unaufgeforderter Zeitinformationen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a4 + ref_id: OPS.1.2.6.A4.1 + description: Der IT-Betrieb MUSS alle NTP-Clients so konfigurieren, dass sie + Zeitinformationen verwerfen, die sie unaufgefordert von anderen IT-Systemen + erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A5 + name: "Nutzung des Client-Server-Modus f\xFCr NTP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a5 + ref_id: OPS.1.2.6.A5.1 + description: Der IT-Betrieb SOLLTE alle IT-Systeme so konfigurieren, dass sie + den NTP-Dienst im Client-Server-Modus nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a5 + ref_id: OPS.1.2.6.A5.2 + description: NTP-Server SOLLTEN Zeitinformationen nur dann an Clients versenden, + wenn diese aktiv anfragen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A6 + name: "\xDCberwachung von IT-Systemen mit NTP-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.1 + description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit, die Kapazit\xE4t und\ + \ die Systemzeit der internen NTP-Server \xFCberwachen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.2 + description: 'Der IT-Betrieb SOLLTE IT-Systeme, die ihre Zeit per NTP synchronisieren, + so konfigurieren, dass sie folgende Ereignisse protokollieren:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.3 + description: "\u2022 unerwartete Neustarts des IT-Systems," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.4 + description: "\u2022 unerwartete Neustarts des NTP-Dienstes," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.5 + description: "\u2022 Fehler im Zusammenhang mit dem NTP-Dienst sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.6 + description: "\u2022 ungew\xF6hnliche Zeitinformationen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.7 + description: "Falls der NTP-Server von sich aus regelm\xE4\xDFig Zeitinformationen\ + \ versendet (Broadcast-Modus), dann SOLLTE der IT-Betrieb die NTP-Clients\ + \ daraufhin \xFCberwachen, ob sie ungew\xF6hnliche Zeitinformationen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A7 + name: Sichere Konfiguration von NTP-Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.1 + description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System + verwenden soll, wenn es neu gestartet wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.2 + description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System + verwenden soll, wenn sein NTP-Dienst neu gestartet wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.3 + description: Der IT-Betrieb SOLLTE festlegen, wie NTP-Clients auf stark abweichende + Zeitinformationen reagieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.4 + description: Insbesondere SOLLTE entschieden werden, ob stark abweichende Zeitinformationen + von NTP-Servern nach einem Systemneustart akzeptiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.5 + description: "Der IT-Betrieb SOLLTE Grenzwerte f\xFCr stark abweichende Zeitinformationen\ + \ festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.6 + description: Der IT-Betrieb SOLLTE sicherstellen, dass NTP-Clients auch dann + noch ausreichende Zeitinformationen erhalten, wenn sie von einem NTP-Server + aufgefordert werden, weniger oder gar keine Anfragen zu senden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A8 + name: Einsatz sicherer Protokolle zur Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a8 + ref_id: OPS.1.2.6.A8.1 + description: "Der IT-Betrieb SOLLTE pr\xFCfen, ob sichere Protokolle zur Zeitsynchronisation\ + \ eingesetzt werden k\xF6nnen (z. B. Network Time Security (NTS))." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a8 + ref_id: OPS.1.2.6.A8.2 + description: "Falls dies m\xF6glich ist, SOLLTEN sichere Protokolle eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A9 + name: "Verf\xFCgbarkeit ausreichend vieler genauer Zeitquellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.1 + description: "Falls korrekte Systemzeiten von erheblicher Bedeutung sind, dann\ + \ SOLLTE eine Institution \xFCber mehrere Stratum-1-NTP-Server in ihrem Netz\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.2 + description: Die IT-Systeme des Informationsverbunds mit NTP-Dienst SOLLTEN + die Stratum-1-NTP-Server direkt oder indirekt als Zeitreferenz nutzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.3 + description: "Die Straum-1-Server SOLLTEN jeweils \xFCber verschiedene Zeitquellen\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A10 + name: "Ausschlie\xDFlich interne NTP-Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a10 + ref_id: OPS.1.2.6.A10.1 + description: "Jedes IT-System des Informationsverbunds mit NTP-Dienst SOLLTE\ + \ Zeitinformationen ausschlie\xDFlich von NTP-Servern innerhalb des Netzes\ + \ der Institution beziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A11 + name: Redundante NTP-Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a11 + ref_id: OPS.1.2.6.A11.1 + description: "IT-Systeme, bei denen die Genauigkeit der Systemzeit von erheblicher\ + \ Bedeutung ist, SOLLTEN Zeitinformationen von mindestens vier unabh\xE4ngigen\ + \ NTP-Servern beziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6 + ref_id: OPS.1.2.6.A12 + name: "NTP-Server mit authentifizierten Ausk\xFCnften" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.1 + description: "NTP-Server SOLLTEN sich bei der Kommunikation gegen\xFCber Clients\ + \ authentisieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.2 + description: "Dies SOLLTE auch f\xFCr die Server gelten, von denen der NTP-Server\ + \ seinerseits Zeitinformationen erh\xE4lt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.3 + description: Die NTP-Clients SOLLTEN nur authentifizierte NTP-Daten akzeptieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + assessable: false + depth: 1 + ref_id: OPS.2.2 + name: Cloud-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A1 + name: "Erstellung einer Strategie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.1 + description: "Eine Strategie f\xFCr die Cloud-Nutzung MUSS erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.2 + description: "Darin M\xDCSSEN Ziele, Chancen und Risiken definiert werden, die\ + \ die Institution mit der Cloud-Nutzung verbindet." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.3 + description: "Zudem M\xDCSSEN die rechtlichen und organisatorischen Rahmenbedingungen\ + \ sowie die technischen Anforderungen untersucht werden, die sich aus der\ + \ Nutzung von Cloud-Diensten ergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.4 + description: "Die Ergebnisse dieser Untersuchung M\xDCSSEN in einer Machbarkeitsstudie\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.5 + description: "Es MUSS festgelegt werden, welche Dienste in welchem Bereitstellungsmodell\ + \ zuk\xFCnftig von Cloud-Diensteanbietenden bezogen werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.6 + description: "Zudem MUSS sichergestellt werden, dass bereits in der Planungsphase\ + \ zur Cloud-Nutzung alle grundlegenden technischen und organisatorischen Sicherheitsaspekte\ + \ ausreichend ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.7 + description: "F\xFCr den geplanten Cloud-Dienst SOLLTE eine grobe individuelle\ + \ Sicherheitsanalyse durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.8 + description: "Diese SOLLTE wiederholt werden, wenn sich technische und organisatorische\ + \ Rahmenbedingungen wesentlich ver\xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a1 + ref_id: OPS.2.2.A1.9 + description: "F\xFCr gr\xF6\xDFere Cloud-Projekte SOLLTE zudem eine Roadmap\ + \ erarbeitet werden, die festlegt, wann und wie ein Cloud-Dienst eingef\xFC\ + hrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A2 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2 + ref_id: OPS.2.2.A2.1 + description: "Auf Basis der Strategie f\xFCr die Cloud-Nutzung MUSS eine Sicherheitsrichtlinie\ + \ f\xFCr die Cloud-Nutzung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2 + ref_id: OPS.2.2.A2.2 + description: Sie MUSS konkrete Sicherheitsvorgaben beinhalten, mit denen sich + Cloud-Dienste innerhalb der Institution umsetzen lassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2 + ref_id: OPS.2.2.A2.3 + description: "Au\xDFerdem M\xDCSSEN darin spezielle Sicherheitsanforderungen\ + \ an die Cloud-Diensteanbietenden sowie das festgelegte Schutzniveau f\xFC\ + r Cloud-Dienste hinsichtlich Vertraulichkeit, Integrit\xE4t und Verf\xFCgbarkeit\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a2 + ref_id: OPS.2.2.A2.4 + description: "Wenn Cloud-Dienste von internationalen Anbietenden genutzt werden,\ + \ M\xDCSSEN die speziellen l\xE4nderspezifischen Anforderungen und gesetzlichen\ + \ Bestimmungen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A3 + name: "Service-Definition f\xFCr Cloud-Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a3 + ref_id: OPS.2.2.A3.1 + description: "F\xFCr jeden Cloud-Dienst MUSS eine Service-Definition erarbeitet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a3 + ref_id: OPS.2.2.A3.2 + description: Zudem SOLLTEN alle geplanten und genutzten Cloud-Dienste dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A4 + name: Festlegung von Verantwortungsbereichen und Schnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a4 + ref_id: OPS.2.2.A4.1 + description: "Basierend auf der Service-Definition f\xFCr Cloud-Dienste M\xDC\ + SSEN alle relevanten Schnittstellen und Verantwortlichkeiten f\xFCr die Cloud-Nutzung\ + \ identifiziert und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a4 + ref_id: OPS.2.2.A4.2 + description: Es MUSS klar erkennbar sein, wie die Verantwortungsbereiche zwischen + Cloud-Diensteanbietenden und der auftraggebenden Institution voneinander abgegrenzt + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A5 + name: Planung der sicheren Migration zu einem Cloud-Dienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + ref_id: OPS.2.2.A5.1 + description: Bevor zu einem Cloud-Dienst migriert wird, SOLLTE ein Migrationskonzept + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + ref_id: OPS.2.2.A5.2 + description: "Daf\xFCr SOLLTEN zun\xE4chst organisatorische Regelungen sowie\ + \ die Aufgabenverteilung festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + ref_id: OPS.2.2.A5.3 + description: Zudem SOLLTEN bestehende Betriebsprozesse hinsichtlich der Cloud-Nutzung + identifiziert und angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + ref_id: OPS.2.2.A5.4 + description: "Es SOLLTE sichergestellt werden, dass die eigene IT ausreichend\ + \ im Migrationsprozess ber\xFCcksichtigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a5 + ref_id: OPS.2.2.A5.5 + description: "Auch SOLLTEN die Zust\xE4ndigen ermitteln, ob die Mitarbeitenden\ + \ auf Seiten der Institution zus\xE4tzlich geschult werden sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A6 + name: Planung der sicheren Einbindung von Cloud-Diensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6 + ref_id: OPS.2.2.A6.1 + description: "Bevor ein Cloud-Dienst genutzt wird, SOLLTE sorgf\xE4ltig geplant\ + \ werden, wie er in die IT der Institution eingebunden werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6 + ref_id: OPS.2.2.A6.2 + description: "Hierf\xFCr SOLLTE mindestens gepr\xFCft werden, ob Anpassungen\ + \ der Schnittstellen, der Netzanbindung, des Administrationsmodells sowie\ + \ des Datenmanagementmodells notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a6 + ref_id: OPS.2.2.A6.3 + description: "Die Ergebnisse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A7 + name: "Erstellung eines Sicherheitskonzeptes f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a7 + ref_id: OPS.2.2.A7.1 + description: "Auf Grundlage der identifizierten Sicherheitsanforderungen (siehe\ + \ OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung)\ + \ SOLLTE ein Sicherheitskonzept f\xFCr die Nutzung von Cloud-Diensten erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A8 + name: "Sorgf\xE4ltige Auswahl von Cloud-Diensteanbietenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8 + ref_id: OPS.2.2.A8.1 + description: "Basierend auf der Service-Definition f\xFCr den Cloud-Dienst SOLLTE\ + \ ein detailliertes Anforderungsprofil f\xFCr Cloud-Diensteanbietende erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8 + ref_id: OPS.2.2.A8.2 + description: Eine Leistungsbeschreibung und ein Lastenheft SOLLTEN erstellt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8 + ref_id: OPS.2.2.A8.3 + description: "F\xFCr die Bewertung von Cloud-Diensteanbietenden SOLLTEN auch\ + \ erg\xE4nzende Informationsquellen herangezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a8 + ref_id: OPS.2.2.A8.4 + description: "Ebenso SOLLTEN verf\xFCgbare Service-Beschreibungen der Cloud-Diensteanbietenden\ + \ sorgf\xE4ltig gepr\xFCft und hinterfragt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A9 + name: Vertragsgestaltung mit den Cloud-Diensteanbietenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.1 + description: Die vertraglichen Regelungen zwischen der auftraggebenden Institution + und den Cloud-Diensteanbietenden SOLLTEN in Art, Umfang und Detaillierungsgrad + dem Schutzbedarf der Informationen angepasst sein, die im Zusammenhang mit + der Cloud-Nutzung stehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.2 + description: Es SOLLTE geregelt werden, an welchem Standort die Cloud-Diensteanbietenden + ihre Leistung erbringen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.3 + description: "Zus\xE4tzlich SOLLTEN Eskalationsstufen und Kommunikationswege\ + \ zwischen der Institution und den Cloud-Diensteanbietenden definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.4 + description: "Auch SOLLTE vereinbart werden, wie die Daten der Institution sicher\ + \ zu l\xF6schen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.5 + description: "Ebenso SOLLTEN K\xFCndigungsregelungen schriftlich fixiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a9 + ref_id: OPS.2.2.A9.6 + description: "Die Cloud-Diensteanbietenden SOLLTEN alle Subunternehmen offenlegen,\ + \ die sie f\xFCr den Cloud-Dienst ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A10 + name: Sichere Migration zu einem Cloud-Dienst + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + ref_id: OPS.2.2.A10.1 + description: Die Migration zu einem Cloud-Dienst SOLLTE auf Basis des erstellten + Migrationskonzeptes erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + ref_id: OPS.2.2.A10.2 + description: "W\xE4hrend der Migration SOLLTE \xFCberpr\xFCft werden, ob das\ + \ Sicherheitskonzept f\xFCr die Cloud-Nutzung an potenzielle neue Anforderungen\ + \ angepasst werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + ref_id: OPS.2.2.A10.3 + description: "Auch SOLLTEN alle Notfallvorsorgema\xDFnahmen vollst\xE4ndig und\ + \ aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + ref_id: OPS.2.2.A10.4 + description: "Die Migration zu einem Cloud-Dienst SOLLTE zun\xE4chst in einem\ + \ Testlauf \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a10 + ref_id: OPS.2.2.A10.5 + description: "Ist der Cloud-Dienst in den produktiven Betrieb \xFCbergegangen,\ + \ SOLLTE abgeglichen werden, ob die Cloud-Diensteanbietenden die definierten\ + \ Anforderungen der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A11 + name: "Erstellung eines Notfallkonzeptes f\xFCr einen Cloud-Dienst" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11 + ref_id: OPS.2.2.A11.1 + description: "F\xFCr die genutzten Cloud-Dienste SOLLTE ein Notfallkonzept erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11 + ref_id: OPS.2.2.A11.2 + description: "Es SOLLTE alle notwendigen Angaben zu Zust\xE4ndigkeiten und Kontaktpersonen\ + \ enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11 + ref_id: OPS.2.2.A11.3 + description: Zudem SOLLTEN detaillierte Regelungen hinsichtlich der Datensicherung + getroffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a11 + ref_id: OPS.2.2.A11.4 + description: Auch Vorgaben zu redundant auszulegenden Management-Tools und Schnittstellensystemen + SOLLTEN festgehalten sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A12 + name: Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12 + ref_id: OPS.2.2.A12.1 + description: "Alle f\xFCr die eingesetzten Cloud-Dienste erstellten Dokumentationen\ + \ und Richtlinien SOLLTEN regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12 + ref_id: OPS.2.2.A12.2 + description: "Es SOLLTE au\xDFerdem periodisch kontrolliert werden, ob die vertraglich\ + \ zugesicherten Leistungen erbracht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12 + ref_id: OPS.2.2.A12.3 + description: "Auch SOLLTEN sich die Cloud-Diensteanbietenden und die Institution\ + \ nach M\xF6glichkeit regelm\xE4\xDFig abstimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a12 + ref_id: OPS.2.2.A12.4 + description: "Ebenso SOLLTE geplant und ge\xFCbt werden, wie auf Systemausf\xE4\ + lle zu reagieren ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A13 + name: Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13 + ref_id: OPS.2.2.A13.1 + description: "Die Institution SOLLTE sich von den Cloud-Diensteanbietenden regelm\xE4\ + \xDFig nachweisen lassen, dass die vereinbarten Sicherheitsanforderungen erf\xFC\ + llt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13 + ref_id: OPS.2.2.A13.2 + description: Der Nachweis SOLLTE auf einem international anerkannten Regelwerk + basieren (z. B. IT-Grundschutz, ISO/IEC 27001, Anforderungskatalog Cloud Computing + (C5), Cloud Controls Matrix der Cloud Security Alliance). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13 + ref_id: OPS.2.2.A13.3 + description: "Die Institution SOLLTE pr\xFCfen, ob der Geltungsbereich und Schutzbedarf\ + \ die genutzten Cloud-Dienste erfasst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a13 + ref_id: OPS.2.2.A13.4 + description: "Nutzen Cloud-Diensteanbietende Subunternehmen, um die Cloud-Dienste\ + \ zu erbringen, SOLLTEN Cloud-Diensteanbietende der Institution regelm\xE4\ + \xDFig nachweisen, dass diese Subunternehmen die notwendigen Audits durchf\xFC\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A14 + name: "Geordnete Beendigung eines Cloud-Nutzungs-Verh\xE4ltnisses" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a14 + ref_id: OPS.2.2.A14.1 + description: "Wenn das Dienstleistungsverh\xE4ltnis mit den Cloud-Diensteanbietenden\ + \ beendet wird, SOLLTE sichergestellt sein, dass dadurch die Gesch\xE4ftst\xE4\ + tigkeit oder die Fachaufgaben der Institution nicht beeintr\xE4chtigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a14 + ref_id: OPS.2.2.A14.2 + description: "Die Vertr\xE4ge mit den Cloud-Diensteanbietenden SOLLTEN regeln,\ + \ wie das jeweilige Dienstleistungsverh\xE4ltnis geordnet aufgel\xF6st werden\ + \ kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A15 + name: "Sicherstellung der Portabilit\xE4t von Cloud-Diensten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15 + ref_id: OPS.2.2.A15.1 + description: "Die Institution SOLLTE alle Anforderungen definieren, die es erm\xF6\ + glichen, Cloud-Diensteanbietende zu wechseln oder den Cloud-Dienst bzw. die\ + \ Daten in die eigene IT-Infrastruktur zur\xFCckzuholen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15 + ref_id: OPS.2.2.A15.2 + description: "Zudem SOLLTE die Institution regelm\xE4\xDFig Portabilit\xE4tstests\ + \ durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a15 + ref_id: OPS.2.2.A15.3 + description: "In den Vertr\xE4gen mit den Cloud-Diensteanbietenden SOLLTEN Vorgaben\ + \ festgehalten werden, mit denen sich die notwendige Portabilit\xE4t gew\xE4\ + hrleisten l\xE4sst." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A16 + name: "Durchf\xFChrung eigener Datensicherungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a16 + ref_id: OPS.2.2.A16.1 + description: "Die Institution SOLLTE pr\xFCfen, ob, zus\xE4tzlich zu den vertraglich\ + \ festgelegten Datensicherungen der Cloud-Diensteanbietenden, eigene Datensicherungen\ + \ erstellt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a16 + ref_id: OPS.2.2.A16.2 + description: Zudem SOLLTE sie detaillierte Anforderungen an einen Backup-Service + erstellen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A17 + name: "Einsatz von Verschl\xFCsselung bei Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17 + ref_id: OPS.2.2.A17.1 + description: "Wenn Daten durch Cloud-Diensteanbietende verschl\xFCsselt werden,\ + \ SOLLTE vertraglich geregelt werden, welche Verschl\xFCsselungsmechanismen\ + \ und welche Schl\xFCssell\xE4ngen eingesetzt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17 + ref_id: OPS.2.2.A17.2 + description: "Wenn eigene Verschl\xFCsselungsmechanismen genutzt werden, SOLLTE\ + \ ein geeignetes Schl\xFCsselmanagement sichergestellt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a17 + ref_id: OPS.2.2.A17.3 + description: "Bei der Verschl\xFCsselung SOLLTEN die eventuellen Besonderheiten\ + \ des gew\xE4hlten Cloud-Service-Modells ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A18 + name: Einsatz von Verbunddiensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18 + ref_id: OPS.2.2.A18.1 + description: "Es SOLLTE gepr\xFCft werden, ob bei einem Cloud-Nutzungs-Vorhaben\ + \ Verbunddienste (Federation Services) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18 + ref_id: OPS.2.2.A18.2 + description: "Es SOLLTE sichergestellt sein, dass in einem SAML (Security Assertion\ + \ Markup Language)-Ticket nur die erforderlichen Informationen an die Cloud-Diensteanbietenden\ + \ \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a18 + ref_id: OPS.2.2.A18.3 + description: "Die Berechtigungen SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft werden,\ + \ sodass nur berechtigten Benutzenden ein SAML-Ticket ausgestellt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2 + ref_id: OPS.2.2.A19 + name: "Sicherheits\xFCberpr\xFCfung von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a19 + ref_id: OPS.2.2.A19.1 + description: "Mit externen Cloud-Diensteanbietenden SOLLTE vertraglich vereinbart\ + \ werden, dass in geeigneter Weise \xFCberpr\xFCft wird, ob das eingesetzte\ + \ Personal qualifiziert und vertrauensw\xFCrdig ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.2.a19 + ref_id: OPS.2.2.A19.2 + description: Dazu SOLLTEN gemeinsam Kriterien festgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + assessable: false + depth: 1 + ref_id: OPS.2.3 + name: 'Nutzung von Outsourcing ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A1 + name: "Erstellung von Anforderungsprofilen f\xFCr Prozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1 + ref_id: OPS.2.3.A1.1 + description: "Falls keine Business-Impact-Analyse (BIA) vorhanden ist, M\xDC\ + SSEN Anforderungsprofile in Form von Steckbriefen f\xFCr die Prozesse angefertigt\ + \ werden, die potenziell ausgelagert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1 + ref_id: OPS.2.3.A1.2 + description: "Diese Anforderungsprofile M\xDCSSEN die Funktion, verarbeite Daten,\ + \ Schnittstellen sowie eine Bewertung der Informationssicherheit enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1 + ref_id: OPS.2.3.A1.3 + description: "Insbesondere M\xDCSSEN die Abh\xE4ngigkeiten zwischen den Prozessen\ + \ sowie zu untergeordneten Teilprozessen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a1 + ref_id: OPS.2.3.A1.4 + description: "Die Anforderungsprofile M\xDCSSEN die Kritikalit\xE4t des jeweiligen\ + \ Prozesses f\xFCr den ordentlichen Gesch\xE4ftsbetrieb abbilden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A2 + name: Verfolgung eines risikoorientierten Ansatzes im Auslagerungsmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2 + ref_id: OPS.2.3.A2.1 + description: "F\xFCr Prozesse, die potenziell ausgelagert werden sollen, MUSS\ + \ risikoorientiert betrachtet und entschieden werden, ob diese ausgelagert\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2 + ref_id: OPS.2.3.A2.2 + description: "F\xFCr diese Bewertung SOLLTEN die Anforderungsprofile als Grundlage\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2 + ref_id: OPS.2.3.A2.3 + description: Wenn der Prozess ausgelagert wird, SOLLTE das Resultat im Auslagerungsregister + abgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a2 + ref_id: OPS.2.3.A2.4 + description: "Um \xC4nderungen an Prozessen oder der Gef\xE4hrdungslage zu ber\xFC\ + cksichtigen, M\xDCSSEN in regelm\xE4\xDFigen Abst\xE4nden sowie anlassbezogen\ + \ die ausgelagerten Prozesse erneut risikoorientiert betrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A3 + name: Festlegung von Eignungsanforderungen an Anbietende von Outsourcing + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.1 + description: "Interne Eignungsanforderungen an potenzielle Anbietende von Outsourcing\ + \ M\xDCSSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.2 + description: "Diese Eignungsanforderungen M\xDCSSEN die erforderlichen Kompetenzen,\ + \ um den Prozess aus Sicht der Informationssicherheit abzusichern, sowie die\ + \ Reputation hinsichtlich der Vertrauensw\xFCrdigkeit und Zuverl\xE4ssigkeit\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.3 + description: "Diese Eignungsanforderungen SOLLTEN auf Basis der Unternehmensstrategie\ + \ (siehe OPS.2.3.A8 Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben)\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.4 + description: "Es MUSS gepr\xFCft werden, ob potenzielle Interessenkonflikte\ + \ vorliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.5 + description: "Ferner SOLLTEN die Anbietenden von Outsourcing regelm\xE4\xDF\ + ig gegen die Eignungsanforderungen gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a3 + ref_id: OPS.2.3.A3.6 + description: "Wenn die Anbietenden von Outsourcing nicht die Eignungsanforderungen\ + \ erf\xFCllen, SOLLTEN Handlungsma\xDFnahmen getroffen und in einem Ma\xDF\ + nahmenkatalog festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A4 + name: "Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.1 + description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ + SSEN entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.2 + description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit,\ + \ einen Zustimmungsvorbehalt bei Weiterverlagerungen sowie ein Recht auf Pr\xFC\ + fung, Revision und Audit beinhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.3 + description: "Bei der Entwicklung der Grundanforderungen SOLLTEN die Resultate\ + \ der risikoorientierten Betrachtung sowie Eignungsanforderungen an Anbietende\ + \ von Outsourcing mit einflie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.4 + description: "Mit den Anbietenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ + rung zum Schutz von sensiblen Daten vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.5 + description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ + gen einheitlich umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a4 + ref_id: OPS.2.3.A4.6 + description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ + \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A5 + name: "Vereinbarung der Mandantenf\xE4higkeit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5 + ref_id: OPS.2.3.A5.1 + description: "In einer Vereinbarung zur Mandantenf\xE4higkeit mit den Anbietenden\ + \ von Outsourcing MUSS sichergestellt werden, dass die Daten und Verarbeitungskontexte\ + \ durch den Anbietenden von Outsourcing ausreichend sicher getrennt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5 + ref_id: OPS.2.3.A5.2 + description: In dieser Vereinbarung SOLLTE ein Mandantentrennungskonzept von + den Anbietenden von Outsourcing gefordert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a5 + ref_id: OPS.2.3.A5.3 + description: "Das Mandantentrennungskonzept SOLLTE zwischen mandantenabh\xE4\ + ngigen und mandanten\xFCbergreifenden Daten und Objekten unterscheiden und\ + \ darlegen, mit welchen Mechanismen die Anbietenden von Outsourcing trennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A6 + name: "Festlegung von Sicherheitsanforderungen und Erstellung eines Sicherheitskonzeptes\ + \ f\xFCr das Outsourcing-Vorhaben" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.1 + description: "Mit den Anbietenden von Outsourcing MUSS vertraglich vereinbart\ + \ werden, dass IT-Grundschutz umgesetzt oder mindestens die Anforderungen\ + \ aus den relevanten Bausteinen geeignet erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.2 + description: "Dar\xFCber hinaus SOLLTE mit den Anbietenden von Outsourcing vereinbart\ + \ werden, dass sie ein Managementsystem f\xFCr Informationssicherheit (ISMS)\ + \ etablieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.3 + description: "Die Nutzenden von Outsourcing M\xDCSSEN f\xFCr jedes Outsourcing-Vorhaben\ + \ ein Sicherheitskonzept basierend auf den sich aus dem IT-Grundschutz ergebenen\ + \ Sicherheitsanforderungen erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.4 + description: Dabei MUSS das Sicherheitskonzept der Nutzenden mit den Anbietenden + von Outsourcing abgestimmt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.5 + description: "Ebenso SOLLTE jeder Anbietende ein individuelles Sicherheitskonzept\ + \ f\xFCr das jeweilige Outsourcing-Vorhaben vorlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.6 + description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ + \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.7 + description: "Wenn Risikoanalysen notwendig sind, M\xDCSSEN Vereinbarungen getroffen\ + \ werden, wie die Risikoanalyse gepr\xFCft und gegebenenfalls in das eigene\ + \ Risikomanagement \xFCberf\xFChrt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a6 + ref_id: OPS.2.3.A6.8 + description: "Die Nutzenden von Outsourcing oder unabh\xE4ngige Dritte M\xDC\ + SSEN regelm\xE4\xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept wirksam\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A7 + name: "Regelungen f\xFCr eine geplante oder ungeplante Beendigung eines Outsourcing-Verh\xE4\ + ltnisses" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7 + ref_id: OPS.2.3.A7.1 + description: "F\xFCr geplante sowie ungeplante Beendigungen des Outsourcing-Verh\xE4\ + ltnisses M\xDCSSEN Regelungen getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7 + ref_id: OPS.2.3.A7.2 + description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ + \ der Nutzenden vom Anbietenden von Outsourcing zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7 + ref_id: OPS.2.3.A7.3 + description: "Hierbei M\xDCSSEN gesetzliche Vorgaben zur Aufbewahrung von Daten\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a7 + ref_id: OPS.2.3.A7.4 + description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ + \ und Zugriffsrechte f\xFCr die Anbietenden von Outsourcing mit der Beendigung\ + \ des Outsourcing-Verh\xE4ltnisses aufgehoben wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A8 + name: "Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.1 + description: "Eine Strategie f\xFCr Outsourcing-Vorhaben SOLLTE erstellt und\ + \ etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.2 + description: In dieser Strategie SOLLTEN die Ziele, Chancen und Risiken der + Outsourcing-Vorhaben beschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.3 + description: "Die Strategie SOLL der Institution einen Rahmen f\xFCr die Anforderungsprofile,\ + \ die Eignungsanforderung an Anbietende von Outsourcing sowie dem Auslagerungsmanagement\ + \ vorgeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.4 + description: "Dar\xFCber hinaus SOLLTEN neben den wirtschaftlichen, technischen,\ + \ organisatorischen und rechtlichen Rahmenbedingungen auch die relevanten\ + \ Aspekte der Informationssicherheit ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.5 + description: "Es SOLLTE eine Multi-Sourcing Strategie verfolgt werden, um Engp\xE4\ + sse sowie Abh\xE4ngigkeiten von Anbietenden von Outsourcing zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a8 + ref_id: OPS.2.3.A8.6 + description: "Die Nutzenden von Outsourcing SOLLTEN ausreichend F\xE4higkeiten,\ + \ Kompetenzen sowie Ressourcen behalten, um einer Abh\xE4ngigkeit gegen\xFC\ + ber den Anbietenden von Outsourcing vorzubeugen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A9 + name: Etablierung einer Richtlinie zur Auslagerung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9 + ref_id: OPS.2.3.A9.1 + description: "Auf Basis der Strategie f\xFCr Outsourcing-Vorhaben SOLLTE eine\ + \ Richtlinie f\xFCr den Bezug von Outsourcing-Dienstleistungen erstellt und\ + \ in der Institution etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9 + ref_id: OPS.2.3.A9.2 + description: "Diese SOLLTE die allgemeinen Anforderungen basierend auf der Anforderung\ + \ OPS.2.3.A4 Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing\ + \ sowie weitere Aspekte der Informationssicherheit f\xFCr Outsourcing-Vorhaben\ + \ standardisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9 + ref_id: OPS.2.3.A9.3 + description: "Das Test- und Freigabeverfahren f\xFCr Outsourcing-Vorhaben SOLLTE\ + \ in dieser Richtlinie geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a9 + ref_id: OPS.2.3.A9.4 + description: "Dar\xFCber hinaus SOLLTEN Ma\xDFnahmen ber\xFCcksichtigt sein,\ + \ um Compliance-Risiken bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden\ + \ zu bew\xE4ltigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A10 + name: "Etablierung einer zust\xE4ndigen Person f\xFCr das Auslagerungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.1 + description: "Die verschiedenen Outsourcing-Vorhaben SOLLTEN durch eine zust\xE4\ + ndige Person f\xFCr das Auslagerungsmanagement verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.2 + description: "Die zust\xE4ndige Person SOLLTE ernannt und die Befugnisse festgelegt\ + \ und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.3 + description: "Die zust\xE4ndige Person SOLLTE als Schnittstelle in der Kommunikation\ + \ zwischen den Nutzenden und Anbietenden von Outsourcing eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.4 + description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person Berichte \xFC\ + ber das Outsourcing in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen anfertigen\ + \ und der Institutionsleitung \xFCbergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.5 + description: "In der Vertragsgestaltung SOLLTE die zust\xE4ndige Person einbezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.6 + description: "Die zust\xE4ndige Person SOLLTE ein angemessenes Kontingent von\ + \ Arbeitstagen f\xFCr die Aufgaben des Auslagerungsmanagements einger\xE4\ + umt bekommen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a10 + ref_id: OPS.2.3.A10.7 + description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person hinsichtlich\ + \ Informationssicherheit geschult und sensibilisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A11 + name: "F\xFChrung eines Auslagerungsregisters" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11 + ref_id: OPS.2.3.A11.1 + description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ + \ ein Auslagerungsregister erstellen und pflegen, dass die Dokumentation der\ + \ Outsourcing-Prozesse und Vorhaben in der Institution zentralisiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11 + ref_id: OPS.2.3.A11.2 + description: "Dieses SOLLTE auf der Basis der Anforderungsprofile erstellt werden\ + \ und Informationen zu den Anbietenden von Outsourcing, Leistungskennzahlen,\ + \ Kritikalit\xE4t des Prozesses, abgeschlossene Vertr\xE4gen und Vereinbarungen\ + \ sowie \xC4nderungen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a11 + ref_id: OPS.2.3.A11.3 + description: "\xC4nderungen am Auslagerungsregister SOLLTEN geeignet nachgehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A12 + name: Erstellung von Auslagerungsberichten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12 + ref_id: OPS.2.3.A12.1 + description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ + \ regelm\xE4\xDFig interne Auslagerungsberichte auf Basis des Auslagerungsregisters\ + \ erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12 + ref_id: OPS.2.3.A12.2 + description: Diese Auslagerungsberichte SOLLTEN den aktuellen Status des Outsourcing-Vorhabens + mit allgemeinen Problemen und Risiken sowie Aspekte der Informationssicherheit + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a12 + ref_id: OPS.2.3.A12.3 + description: Der Auslagerungsbericht SOLLTE der Institutionsleitung vorgelegt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A13 + name: Bereitstellung der erforderlichen Kompetenzen bei der Vertragsgestaltung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a13 + ref_id: OPS.2.3.A13.1 + description: "Die Vertr\xE4ge SOLLTEN durch verschiedene Vertreter aus unterschiedlichen\ + \ Bereichen gestaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a13 + ref_id: OPS.2.3.A13.2 + description: "Dabei SOLLTE ein Interessenkonflikt zwischen operativem Gesch\xE4\ + ft und Informationssicherheit vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A14 + name: "Erweiterte Anforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.1 + description: "Mit Anbietenden von Outsourcing SOLLTE vereinbart werden, auf\ + \ welche Bereiche und Dienste die Anbietenden im Netz der Nutzenden von Outsourcing\ + \ zugreifen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.2 + description: Der Umgang mit anfallenden Metadaten SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.3 + description: "Die Nutzenden SOLLTEN Leistungskennzahlen f\xFCr die Anbietenden\ + \ von Outsourcing definieren und im Vertrag festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.4 + description: "F\xFCr den Fall, dass die vereinbarten Leistungskennzahlen unzureichend\ + \ erf\xFCllt werden, SOLLTEN mit den Anbietenden von Outsourcing Konsequenzen,\ + \ wie z. B. Vertragsstrafen, festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.5 + description: "Die Vertr\xE4ge SOLLTEN K\xFCndigungsoptionen, um das Outsourcing-Verh\xE4\ + ltnisses aufzul\xF6sen, enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.6 + description: "Hierbei SOLLTE auch geregelt sein, wie das Eigentum der Nutzenden\ + \ von Outsourcing zur\xFCckgegeben wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a14 + ref_id: OPS.2.3.A14.7 + description: Im Vertrag SOLLTEN Verantwortlichkeiten hinsichtlich des Notfall- + und Krisenmanagements definiert und benannt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A15 + name: Anbindung an die Netze der Outsourcing-Partner + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + ref_id: OPS.2.3.A15.1 + description: Bevor das Datennetz der Nutzenden an das Datennetz der Anbietenden + von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte + schriftlich vereinbart werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + ref_id: OPS.2.3.A15.2 + description: "Es SOLLTE gepr\xFCft und dokumentiert werden, dass die Vereinbarungen\ + \ f\xFCr die Netzanbindung eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + ref_id: OPS.2.3.A15.3 + description: "Das geforderte Sicherheitsniveau SOLLTE nachweislich bei den Anbietenden\ + \ von Outsourcing umgesetzt und \xFCberpr\xFCft werden, bevor die Netzanbindung\ + \ zu den Nutzenden von Outsourcing aktiviert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + ref_id: OPS.2.3.A15.4 + description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a15 + ref_id: OPS.2.3.A15.5 + description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE + festgelegt sein, wer informiert und wie eskaliert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A16 + name: "Pr\xFCfung der Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a16 + ref_id: OPS.2.3.A16.1 + description: "Die Anbietenden von Outsourcing SOLLTEN hinsichtlich der vertraglich\ + \ festgelegten Sicherheitsanforderungen \xFCberpr\xFCft und die Resultate\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a16 + ref_id: OPS.2.3.A16.2 + description: "Die Anbietenden von Outsourcing sind in regelm\xE4\xDFigen Abst\xE4\ + nden und anlassbezogen zu auditieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A17 + name: "Regelungen f\xFCr den Einsatz des Personals von Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + ref_id: OPS.2.3.A17.1 + description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN schriftlich\ + \ verpflichtet werden, einschl\xE4gige Gesetze, Vorschriften sowie die Regelungen\ + \ der Nutzenden von Outsourcing einzuhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + ref_id: OPS.2.3.A17.2 + description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN geregelt\ + \ in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur Informationssicherheit\ + \ unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + ref_id: OPS.2.3.A17.3 + description: "F\xFCr die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN\ + \ Vertretungsregelungen existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + ref_id: OPS.2.3.A17.4 + description: "Es SOLLTE ein geregeltes Verfahren festgelegt werden, das beschreibt,\ + \ wie das Auftragsverh\xE4ltnis mit den Besch\xE4ftigten der Anbietenden von\ + \ Outsourcing beendet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a17 + ref_id: OPS.2.3.A17.5 + description: Fremdpersonal der Anbietenden von Outsourcing, das kurzfristig + oder nur einmal eingesetzt wird, SOLLTE wie Besuchende behandelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A18 + name: "\xDCberpr\xFCfung der Vereinbarungen mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18 + ref_id: OPS.2.3.A18.1 + description: "Vereinbarungen mit Anbietenden von Outsourcing hinsichtlich der\ + \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ + \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ + \ anlassbezogen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18 + ref_id: OPS.2.3.A18.2 + description: Vereinbarungen mit Anbietenden von Outsourcing mit unzureichend + festgelegten Sicherheitsanforderungen SOLLTEN nachgebessert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a18 + ref_id: OPS.2.3.A18.3 + description: "Die Anbietenden von Outsourcing SOLLTEN dazu verpflichtet werden,\ + \ bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage, die festgelegten Sicherheitsanforderungen\ + \ nachzubessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A19 + name: "\xDCberpr\xFCfung der Handlungsalternativen hinsichtlich einer geplanten\ + \ oder ungeplanten Beendigung eines Outsourcing-Verh\xE4ltnisses" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19 + ref_id: OPS.2.3.A19.1 + description: "Handlungsalternativen SOLLTEN entwickelt werden f\xFCr den Fall\ + \ einer geplanten oder ungeplanten Beendigung des Outsourcing-Verh\xE4ltnisses." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19 + ref_id: OPS.2.3.A19.2 + description: "Das Resultat SOLLTE in einem Ma\xDFnahmenkatalog f\xFCr geplante\ + \ und ungeplante Beendigung des Outsourcing-Verh\xE4ltnisses dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19 + ref_id: OPS.2.3.A19.3 + description: "Dabei SOLLTEN auch alternative Anbietende von Outsourcing ermittelt\ + \ werden, die \xFCber das notwendige Niveau an Informationssicherheit verf\xFC\ + gen, um den Prozess sicher umzusetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a19 + ref_id: OPS.2.3.A19.4 + description: "Dies SOLLTE in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A20 + name: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.1 + description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.2 + description: "Dies SOLLTE auf der Basis einer Business-Impact-Analyse basieren\ + \ und die Abh\xE4ngigkeiten der ausgelagerten Prozesse mit den intern verbliebenen\ + \ Prozessen ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.3 + description: "Das Notfallkonzept SOLLTE den Anbietenden von Outsourcing in seiner\ + \ Notfallvorsorge und -bew\xE4ltigung ber\xFCcksichtigen und mit diesem abgestimmt\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.4 + description: "Dabei SOLLTEN die Schnittstellen zu Anbietenden von Outsourcing\ + \ mit Verantwortlichen benannt und besetzt werden, um einen Informationsaustausch\ + \ sowie eine effektive Kollaboration in einer Not- oder Krisensituation zu\ + \ erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.5 + description: "Gemeinsame Not- und Krisenfallpl\xE4ne SOLLTEN f\xFCr eine St\xF6\ + rung oder einen Ausfall der Anbietenden von Outsourcing erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a20 + ref_id: OPS.2.3.A20.6 + description: "Standardisierte Protokolle und Berichte SOLLTEN zur Meldung von\ + \ Sicherheitsvorf\xE4llen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A21 + name: "Abschluss von ESCROW-Vertr\xE4gen bei softwarenahen Dienstleistungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21 + ref_id: OPS.2.3.A21.1 + description: Wird Software von Anbietenden von Outsourcing bezogen, SOLLTE ein + ESCROW-Vertrag abgeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21 + ref_id: OPS.2.3.A21.2 + description: "Dieser SOLLTE Verwertungs- und Bearbeitungsrechte der Software\ + \ sowie Herausgabef\xE4lle des Quellcodes regeln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21 + ref_id: OPS.2.3.A21.3 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wie h\xE4ufig der\ + \ Quellcode hinterlegt und dokumentiert wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a21 + ref_id: OPS.2.3.A21.4 + description: "Weiterhin SOLLTEN Geheimhaltungspflichten \xFCber den hinterlegten\ + \ Quellcode und die zugeh\xF6rige Dokumentation geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A22 + name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22 + ref_id: OPS.2.3.A22.1 + description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Anbietenden von\ + \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ + \ Notfallmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22 + ref_id: OPS.2.3.A22.2 + description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ + \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a22 + ref_id: OPS.2.3.A22.3 + description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ + \ anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A23 + name: "Einsatz von Verschl\xFCsselungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23 + ref_id: OPS.2.3.A23.1 + description: "Sensible Daten SOLLTEN angemessen verschl\xFCsselt werden, wenn\ + \ sie zum Anbietenden von Outsourcing \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23 + ref_id: OPS.2.3.A23.2 + description: "Die abgelegten Daten SOLLTEN durch eine Datenverschl\xFCsselung\ + \ oder eine Verschl\xFCsselung des Speichermediums gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a23 + ref_id: OPS.2.3.A23.3 + description: "Nach M\xF6glichkeit SOLLTE eine vom BSI gepr\xFCfte und freigegebene\ + \ Verschl\xFCsselungssoftware genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A24 + name: "Sicherheits- und Eignungs\xFCberpr\xFCfung von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a24 + ref_id: OPS.2.3.A24.1 + description: "Mit externen Anbietenden von Outsourcing SOLLTE vertraglich vereinbart\ + \ werden, dass die Vertrauensw\xFCrdigkeit des eingesetzten Personals geeignet\ + \ \xFCberpr\xFCft wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a24 + ref_id: OPS.2.3.A24.2 + description: Dazu SOLLTEN gemeinsam Kriterien festgelegt und dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3 + ref_id: OPS.2.3.A25 + name: "Errichtung und Nutzung einer Sandbox f\xFCr eingehende Daten vom Anbietenden\ + \ von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25 + ref_id: OPS.2.3.A25.1 + description: "F\xFCr eingehende Daten vom Anbietenden von Outsourcing SOLLTE\ + \ eine Sandbox eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25 + ref_id: OPS.2.3.A25.2 + description: "Hierbei SOLLTEN E-Mail-Anh\xE4nge in der Sandbox standardisiert\ + \ ge\xF6ffnet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.2.3.a25 + ref_id: OPS.2.3.A25.3 + description: Updates und Anwendungen eines softwarenahen Anbietenden von Outsourcing + SOLLTEN in der Sandbox initial getestet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + assessable: false + depth: 1 + ref_id: OPS.3.2 + name: 'Anbieten von Outsourcing ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A1 + name: Einhaltung der Schutzziele der Informationssicherheit durch ein Informationssicherheitsmanagement + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1 + ref_id: OPS.3.2.A1.1 + description: "Der Schutzbedarf f\xFCr Vertraulichkeit, Integrit\xE4t und Verf\xFC\ + gbarkeit von Nutzenden von Outsourcing MUSS im Outsourcing-Prozess ber\xFC\ + cksichtigen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1 + ref_id: OPS.3.2.A1.2 + description: Dabei MUSS sichergestellt werden, dass das von den Nutzenden von + Outsourcing geforderte Minimum an Informationssicherheit eingehalten wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a1 + ref_id: OPS.3.2.A1.3 + description: "Zudem M\xDCSSEN die geltenden regulatorischen und gesetzlichen\ + \ Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A2 + name: "Grundanforderungen an Vertr\xE4ge mit Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.1 + description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ + SSEN entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.2 + description: "Diese SOLLTEN einheitlich in Vertr\xE4gen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.3 + description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit\ + \ und Sicherheitsanforderungen der Nutzenden von Outsourcing beinhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.4 + description: "Zudem M\xDCSSEN sie beinhalten, wie mit Weiterverlagerungen durch\ + \ die Anbietenden umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.5 + description: "Die Grundanforderungen M\xDCSSEN beinhalten, dass die Nutzenden\ + \ das Recht haben Pr\xFCfungen, Revisionen und Auditierungen durchzuf\xFC\ + hren, um sicherzustellen, dass die vertraglich geregelten Anforderungen an\ + \ die Informationssicherheit eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.6 + description: "Mit den Nutzenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ + rung zum Schutz von sensiblen Daten, Vereinbarungen zum Informationsaustausch\ + \ und Service-Level-Agreements vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.7 + description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ + gen einheitlich umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a2 + ref_id: OPS.3.2.A2.8 + description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ + \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A3 + name: Weitergabe der vertraglich geregelten Bestimmungen mit Nutzenden von Outsourcing + an Sub-Dienstleistende + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3 + ref_id: OPS.3.2.A3.1 + description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ + \ verlagert, M\xDCSSEN die vertraglichen Bestimmungen mit den Nutzenden von\ + \ Outsourcing an die Sub-Dienstleistenden weitergegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3 + ref_id: OPS.3.2.A3.2 + description: "Dies MUSS in den Vertr\xE4gen mit den Sub-Dienstleistenden entsprechend\ + \ festlegt und durchgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a3 + ref_id: OPS.3.2.A3.3 + description: "Auf Nachfrage von Nutzenden von Outsourcing M\xDCSSEN diese Vertr\xE4\ + ge vorgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A4 + name: Erstellung eines Mandantentrennungskonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.1 + description: Es MUSS ein Mandantentrennungskonzept erstellt und umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.2 + description: Das Mandantentrennungskonzept MUSS sicherstellen, dass Daten und + Verarbeitungskontexte verschiedener Nutzender von Outsourcing ausreichend + sicher getrennt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.3 + description: "Dabei MUSS zwischen mandantenabh\xE4ngigen und mandanten\xFCbergreifenden\ + \ Daten und Objekten unterschieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.4 + description: Es MUSS dargelegt werden, mit welchen Mechanismen die Anbietenden + von Outsourcing die Mandanten trennen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.5 + description: "Die ben\xF6tigten Mechanismen zur Mandantentrennung M\xDCSSEN\ + \ durch die Anbietenden von Outsourcing ausreichend umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.6 + description: "Das Mandantentrennungskonzept MUSS durch die Anbietenden von Outsourcing\ + \ erstellt und den Nutzenden von Outsourcing zur Verf\xFCgung gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a4 + ref_id: OPS.3.2.A4.7 + description: "Dar\xFCber hinaus MUSS es f\xFCr den Schutzbedarf der Daten der\ + \ Nutzenden von Outsourcing eine angemessene Sicherheit bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A5 + name: "Erstellung eines Sicherheitskonzepts f\xFCr die Outsourcing-Dienstleistung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.1 + description: "Die Anbietenden von Outsourcing M\xDCSSEN f\xFCr ihre Dienstleistungen\ + \ ein Sicherheitskonzept erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.2 + description: "F\xFCr individuelle Outsourcing-Vorhaben M\xDCSSEN zus\xE4tzlich\ + \ spezifische Sicherheitskonzepte erstellt werden, die auf den Sicherheitsanforderungen\ + \ der Nutzenden von Outsourcing basieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.3 + description: "Das Sicherheitskonzept f\xFCr das jeweilige Outsourcing-Vorhaben\ + \ SOLLTE jedem und jeder Nutzenden von Outsourcing vorgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.4 + description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ + \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.5 + description: "Anbietende und Nutzende von Outsourcing M\xDCSSEN gemeinsam Sicherheitsziele\ + \ erarbeiten und diese dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.6 + description: "Es MUSS au\xDFerdem eine gemeinsame Klassifikation f\xFCr alle\ + \ schutzbed\xFCrftigen Informationen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a5 + ref_id: OPS.3.2.A5.7 + description: "Dar\xFCber hinaus M\xDCSSEN die Anbietenden von Outsourcing regelm\xE4\ + \xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept umgesetzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A6 + name: "Regelungen f\xFCr eine geplante und ungeplante Beendigung eines Outsourcing-Verh\xE4\ + ltnisses" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + ref_id: OPS.3.2.A6.1 + description: "Es M\xDCSSEN Regelungen getroffen werden, wie verfahren wird,\ + \ wenn Outsourcing-Verh\xE4ltnisse geplant oder ungeplant beendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + ref_id: OPS.3.2.A6.2 + description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ + \ der Nutzenden von den Anbietenden von Outsourcing zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + ref_id: OPS.3.2.A6.3 + description: "Anschlie\xDFend M\xDCSSEN die verbleibenden Datenbest\xE4nde der\ + \ Nutzenden von Outsourcing nach Ablauf der gesetzlichen Vorgaben zur Datenaufbewahrung\ + \ sicher gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + ref_id: OPS.3.2.A6.4 + description: Dies MUSS durch die Anbietenden von Outsourcing dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a6 + ref_id: OPS.3.2.A6.5 + description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ + \ und Zugriffsrechte f\xFCr die Nutzenden von Outsourcing aufgehoben wurden,\ + \ nachdem das Outsourcing-Verh\xE4ltnis beendet wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A7 + name: Bereitstellung der ausgelagerten Dienstleistung durch multiple Sub-Dienstleistende + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a7 + ref_id: OPS.3.2.A7.1 + description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ + \ verlagert, SOLLTEN die Anbietenden von Outsourcing mehrere qualifizierte\ + \ Sub-Dienstleistende zur Verf\xFCgung haben, falls Sub-Dienstleistende ausfallen\ + \ oder k\xFCndigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a7 + ref_id: OPS.3.2.A7.2 + description: Dies SOLLTE gemeinsam mit den Nutzenden von Outsourcing dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A8 + name: "Erstellung einer Richtlinie f\xFCr die Outsourcing-Dienstleistungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8 + ref_id: OPS.3.2.A8.1 + description: "Es SOLLTE eine Richtlinie f\xFCr das Anbieten von Outsourcing-Dienstleistungen\ + \ erstellt und in der Institution etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8 + ref_id: OPS.3.2.A8.2 + description: Diese SOLLTE das Test- und Freigabeverfahren regeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8 + ref_id: OPS.3.2.A8.3 + description: "Dabei SOLLTE die Weiterverlagerung an Sub-Dienstleistende ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a8 + ref_id: OPS.3.2.A8.4 + description: "Die Richtlinie SOLLTE Ma\xDFnahmen ber\xFCcksichtigen, um Compliance-Risiken\ + \ bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden zu bew\xE4\ + ltigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A9 + name: "\xDCberpr\xFCfung der Vereinbarung mit Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9 + ref_id: OPS.3.2.A9.1 + description: "Vereinbarungen mit Nutzenden von Outsourcing hinsichtlich der\ + \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ + \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ + \ anlassbezogen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9 + ref_id: OPS.3.2.A9.2 + description: Vereinbarungen mit Nutzenden von Outsourcing mit unzureichend festgelegten + Sicherheitsanforderungen SOLLTEN nachgebessert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9 + ref_id: OPS.3.2.A9.3 + description: "Bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage SOLLTEN die\ + \ festgelegten Sicherheitsanforderungen nachgebessert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a9 + ref_id: OPS.3.2.A9.4 + description: "Alle \xC4nderungen SOLLTEN durch die Anbietenden von Outsourcing\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A10 + name: Etablierung eines sicheren Kommunikationskanals und Festlegung der Kommunikationspartner + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + ref_id: OPS.3.2.A10.1 + description: Die Anbietenden von Outsourcing SOLLTEN einen sicheren Kommunikationskanal + zu den Nutzenden von Outsourcing einrichten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + ref_id: OPS.3.2.A10.2 + description: "Es SOLLTE dokumentiert sein, welche Informationen \xFCber diesen\ + \ Kommunikationskanal an den Outsourcing-Partner \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + ref_id: OPS.3.2.A10.3 + description: "Dabei SOLLTE sichergestellt werden, dass an den jeweiligen Enden\ + \ des Kommunikationskanals entsprechend Zust\xE4ndige benannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + ref_id: OPS.3.2.A10.4 + description: "Dabei SOLLTE regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFC\ + ft werden, ob diese Personen noch in ihrer Funktion als dedizierte Kommunikationspartner\ + \ besch\xE4ftigt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a10 + ref_id: OPS.3.2.A10.5 + description: Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen + Kriterien welcher Kommunikationspartner welche Informationen erhalten darf. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A11 + name: Etablierung eines Notfallkonzepts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a11 + ref_id: OPS.3.2.A11.1 + description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a11 + ref_id: OPS.3.2.A11.2 + description: "In diesem Notfallkonzept SOLLTEN Nutzende von Outsourcing sowie\ + \ Sub-Dienstleistende ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A12 + name: "Durchf\xFChrung einer risikoorientierten Betrachtung von Prozessen, Anwendungen\ + \ und IT-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12 + ref_id: OPS.3.2.A12.1 + description: "Werden Prozesse, Anwendungen oder IT-Systeme neu aufgebaut und\ + \ Kunden bereitgestellt, SOLLTEN diese regelm\xE4\xDFig und anlassbezogen\ + \ risikoorientiert betrachtet und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12 + ref_id: OPS.3.2.A12.2 + description: "Aus den sich daraus ergebenen Ergebnissen SOLLTEN geeignete Ma\xDF\ + nahmen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a12 + ref_id: OPS.3.2.A12.3 + description: "Dar\xFCber hinaus SOLLTEN die Resultate dazu verwendet werden,\ + \ um das Informationssicherheitsmanagement weiter zu verbessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A13 + name: Anbindung an die Netze der Outsourcing-Partner + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + ref_id: OPS.3.2.A13.1 + description: Bevor das Datennetz der Anbietenden an das Datennetz der Nutzenden + von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte + schriftlich vereinbart werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + ref_id: OPS.3.2.A13.2 + description: "Bevor beide Netze verbunden werden, SOLLTEN sie auf bekannte Sicherheitsl\xFC\ + cken analysiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + ref_id: OPS.3.2.A13.3 + description: "Es SOLLTE gepr\xFCft werden, ob die Vereinbarungen f\xFCr die\ + \ Netzanbindung eingehalten werden und das geforderte Sicherheitsniveau nachweislich\ + \ erreicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + ref_id: OPS.3.2.A13.4 + description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a13 + ref_id: OPS.3.2.A13.5 + description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE + festgelegt sein, wer informiert und wie eskaliert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A14 + name: "\xDCberwachung der Prozesse, Anwendungen und IT-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a14 + ref_id: OPS.3.2.A14.1 + description: "Die f\xFCr Kunden eingesetzten Prozesse, Anwendungen und IT-Systeme\ + \ SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A15 + name: "Berichterstattung gegen\xFCber den Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15 + ref_id: OPS.3.2.A15.1 + description: "Die Anbietenden von Outsourcing SOLLTEN den Nutzenden von Outsourcing\ + \ in festgelegten Abst\xE4nden Berichte \xFCber den ausgelagerten Prozess\ + \ bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15 + ref_id: OPS.3.2.A15.2 + description: "Es SOLLTE ein Bericht an die Nutzenden von Outsourcing versendet\ + \ werden, wenn \xC4nderungen am Prozess durch die Anbietenden von Outsourcing\ + \ oder Sub-Dienstleistenden stattfanden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a15 + ref_id: OPS.3.2.A15.3 + description: Dazu SOLLTEN standardisierte Protokolle zur Berichterstattung etabliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A16 + name: "Transparenz \xFCber die Outsourcing-Kette der ausgelagerten Kundenprozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + ref_id: OPS.3.2.A16.1 + description: "Die Anbietenden von Outsourcing SOLLTEN ein Auslagerungsregister\ + \ f\xFCr die in Kundenprozessen eingesetzten Sub-Dienstleistenden f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + ref_id: OPS.3.2.A16.2 + description: "Dieses SOLLTE Informationen zu den Sub-Dienstleistenden, Leistungskennzahlen,\ + \ Kritikalit\xE4t der Prozesse, abgeschlossenen Vertr\xE4gen und Vereinbarung\ + \ sowie \xC4nderungen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + ref_id: OPS.3.2.A16.3 + description: "\xC4nderungen am Auslagerungsregister SOLLTEN nachgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + ref_id: OPS.3.2.A16.4 + description: Das Auslagerungsregister SOLLTE auch die Weiterverlagerungen durch + die Sub-Dienstleistenden behandeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a16 + ref_id: OPS.3.2.A16.5 + description: "Die Anbietenden von Outsourcing SOLLTEN das Auslagerungsregister\ + \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A17 + name: Zutritts-, Zugangs- und Zugriffskontrolle + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17 + ref_id: OPS.3.2.A17.1 + description: "Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN sowohl\ + \ f\xFCr das Personal der Anbietenden von Outsourcing als auch f\xFCr das\ + \ Personal der Nutzenden von Outsourcing geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17 + ref_id: OPS.3.2.A17.2 + description: "Ebenfalls SOLLTEN Zutritts-, Zugangs- und Zugriffsberechtigungen\ + \ f\xFCr Auditoren und andere Pr\xFCfer festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a17 + ref_id: OPS.3.2.A17.3 + description: "Dabei SOLLTEN nur so viele Rechte vergeben werden, wie f\xFCr\ + \ die T\xE4tigkeit notwendig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A18 + name: "Regelungen f\xFCr den Einsatz von Sub-Dienstleistenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18 + ref_id: OPS.3.2.A18.1 + description: "Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ + \ SOLLTEN in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur\ + \ Informationssicherheit der Anbietenden von Outsourcing unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18 + ref_id: OPS.3.2.A18.2 + description: "Soweit es gefordert ist, SOLLTEN das Personal der Anbietenden\ + \ von Outsourcing sowie der Sub-Dienstleistenden nach Vorgaben der Nutzenden\ + \ von Outsourcing \xFCberpr\xFCft werden, z. B. durch ein F\xFChrungszeugnis." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18 + ref_id: OPS.3.2.A18.3 + description: "Das Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ + \ SOLLTEN schriftlich dazu verpflichtet werden, einschl\xE4gige Gesetze und\ + \ Vorschriften, Vertraulichkeitsvereinbarungen sowie interne Regelungen einzuhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a18 + ref_id: OPS.3.2.A18.4 + description: Es SOLLTEN Vertretungsregelungen in allen Bereichen existieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A19 + name: "Sicherheits\xFCberpr\xFCfung von Besch\xE4ftigten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a19 + ref_id: OPS.3.2.A19.1 + description: "Die Vertrauensw\xFCrdigkeit des Personals der Anbietenden von\ + \ Outsourcing SOLLTE durch geeignete Nachweise \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a19 + ref_id: OPS.3.2.A19.2 + description: Es SOLLTEN mit den Nutzenden von Outsourcing vertragliche Kriterien + vereinbart werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A20 + name: "Verschl\xFCsselte Daten\xFCbertragung und -speicherung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20 + ref_id: OPS.3.2.A20.1 + description: "F\xFCr die \xDCbertragung von Daten von und zu den Nutzenden von\ + \ Outsourcing sowie die Speicherung SOLLTE mit den Nutzenden von Outsourcing\ + \ eine sicheres Verschl\xFCsselungsverfahren festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20 + ref_id: OPS.3.2.A20.2 + description: "Dabei SOLLTE sich die eingesetzte Verschl\xFCsselungsmethode am\ + \ Schutzbedarf der Daten orientieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a20 + ref_id: OPS.3.2.A20.3 + description: "Die Verschl\xFCsselungsmethode SOLLTE regelm\xE4\xDFig und anlassbezogen\ + \ auf ihre Funktionsf\xE4higkeit hin \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2 + ref_id: OPS.3.2.A21 + name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21 + ref_id: OPS.3.2.A21.1 + description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Nutzenden von\ + \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ + \ Notfallmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21 + ref_id: OPS.3.2.A21.2 + description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ + \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-ops-betrieb:ops.3.2.a21 + ref_id: OPS.3.2.A21.3 + description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ + \ anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - E diff --git a/backend/library/libraries/bs-it-gs-2023-orp-organisation-und-personal.yaml b/backend/library/libraries/bs-it-gs-2023-orp-organisation-und-personal.yaml new file mode 100644 index 000000000..0d10434ef --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-orp-organisation-und-personal.yaml @@ -0,0 +1,2500 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-orp-organisation-und-personal +locale: de +ref_id: bs-it-gs-2023-orp-organisation-und-personal +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - ORP:\ + \ Organisation und Personal" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-orp-organisation-und-personal + ref_id: bs-it-gs-2023-orp-organisation-und-personal + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - ORP: Organisation und Personal" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + assessable: false + depth: 1 + ref_id: ORP.1 + name: Organisation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A1 + name: Festlegung von Verantwortlichkeiten und Regelungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1 + ref_id: ORP.1.A1.1 + description: "Innerhalb einer Institution M\xDCSSEN alle relevanten Aufgaben\ + \ und Funktionen klar definiert und voneinander abgegrenzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1 + ref_id: ORP.1.A1.2 + description: "Es M\xDCSSEN verbindliche Regelungen f\xFCr die Informationssicherheit\ + \ f\xFCr die verschiedenen betrieblichen Aspekte \xFCbergreifend festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1 + ref_id: ORP.1.A1.3 + description: "Die Organisationsstrukturen sowie verbindliche Regelungen M\xDC\ + SSEN anlassbezogen \xFCberarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a1 + ref_id: ORP.1.A1.4 + description: "Die \xC4nderungen M\xDCSSEN allen Mitarbeitenden bekannt gegeben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A2 + name: "Zuweisung der Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a2 + ref_id: ORP.1.A2.1 + description: "F\xFCr alle Gesch\xE4ftsprozesse, Anwendungen, IT-Systeme, R\xE4\ + ume und Geb\xE4ude sowie Kommunikationsverbindungen MUSS festgelegt werden,\ + \ wer f\xFCr diese und deren Sicherheit zust\xE4ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a2 + ref_id: ORP.1.A2.2 + description: "Alle Mitarbeitenden M\xDCSSEN dar\xFCber informiert sein, insbesondere\ + \ wof\xFCr sie zust\xE4ndig sind und welche damit verbundenen Aufgaben sie\ + \ wahrnehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A3 + name: Beaufsichtigung oder Begleitung von Fremdpersonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3 + ref_id: ORP.1.A3.1 + description: "Institutionsfremde Personen M\xDCSSEN von Mitarbeitenden zu den\ + \ R\xE4umen begleitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3 + ref_id: ORP.1.A3.2 + description: "Die Mitarbeitenden der Institution M\xDCSSEN institutionsfremde\ + \ Personen in sensiblen Bereichen beaufsichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a3 + ref_id: ORP.1.A3.3 + description: "Die Mitarbeitenden SOLLTEN dazu angehalten werden, institutionsfremde\ + \ Personen in den R\xE4umen der Institution nicht unbeaufsichtigt zu lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A4 + name: Funktionstrennung zwischen unvereinbaren Aufgaben + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4 + ref_id: ORP.1.A4.1 + description: "Die Aufgaben und die hierf\xFCr erforderlichen Rollen und Funktionen\ + \ M\xDCSSEN so strukturiert sein, dass unvereinbare Aufgaben wie operative\ + \ und kontrollierende Funktionen auf verschiedene Personen verteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4 + ref_id: ORP.1.A4.2 + description: "F\xFCr unvereinbare Funktionen MUSS eine Funktionstrennung festgelegt\ + \ und dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a4 + ref_id: ORP.1.A4.3 + description: "Auch Vertreter M\xDCSSEN der Funktionstrennung unterliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A8 + name: "Betriebsmittel- und Ger\xE4teverwaltung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8 + ref_id: ORP.1.A8.1 + description: "Alle Ger\xE4te und Betriebsmittel, die Einfluss auf die Informationssicherheit\ + \ haben und die zur Aufgabenerf\xFCllung und zur Einhaltung der Sicherheitsanforderungen\ + \ erforderlich sind, SOLLTEN in ausreichender Menge vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8 + ref_id: ORP.1.A8.2 + description: "Es SOLLTE geeignete Pr\xFCf- und Genehmigungsverfahren vor Einsatz\ + \ der Ger\xE4te und Betriebsmittel geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8 + ref_id: ORP.1.A8.3 + description: "Ger\xE4te und Betriebsmittel SOLLTEN in geeigneten Bestandsverzeichnissen\ + \ aufgelistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a8 + ref_id: ORP.1.A8.4 + description: "Um den Missbrauch von Daten zu verhindern, SOLLTE die zuverl\xE4\ + ssige L\xF6schung oder Vernichtung von Ger\xE4ten und Betriebsmitteln geregelt\ + \ sein (siehe hierzu CON.6 L\xF6schen und Vernichten)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A13 + name: "Sicherheit bei Umz\xFCgen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13 + ref_id: ORP.1.A13.1 + description: "Vor einem Umzug SOLLTEN fr\xFChzeitig Sicherheitsrichtlinien erarbeitet\ + \ bzw. aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13 + ref_id: ORP.1.A13.2 + description: "Alle Mitarbeitenden SOLLTEN \xFCber die vor, w\xE4hrend und nach\ + \ dem Umzug relevanten Sicherheitsma\xDFnahmen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a13 + ref_id: ORP.1.A13.3 + description: "Nach dem Umzug SOLLTE \xFCberpr\xFCft werden, ob das transportierte\ + \ Umzugsgut vollst\xE4ndig und unbesch\xE4digt bzw. unver\xE4ndert angekommen\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A15 + name: Ansprechperson zu Informationssicherheitsfragen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15 + ref_id: ORP.1.A15.1 + description: "In jeder Institution MUSS es Ansprechpersonen f\xFCr Sicherheitsfragen\ + \ geben, die sowohl scheinbar einfache wie auch komplexe oder technische Fragen\ + \ beantworten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15 + ref_id: ORP.1.A15.2 + description: "Die Ansprechpersonen M\xDCSSEN allen Mitarbeitenden der Institution\ + \ bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a15 + ref_id: ORP.1.A15.3 + description: "Diesbez\xFCgliche Informationen M\xDCSSEN in der Institution f\xFC\ + r alle verf\xFCgbar und leicht zug\xE4nglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A16 + name: Richtlinie zur sicheren IT-Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.1 + description: "Es SOLLTE eine Richtlinie erstellt werden, in der f\xFCr alle\ + \ Mitarbeitenden transparent beschrieben wird, welche Rahmenbedingungen bei\ + \ der IT-Nutzung eingehalten werden m\xFCssen und welche Sicherheitsma\xDF\ + nahmen zu ergreifen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.2 + description: 'Die Richtlinie SOLLTE folgende Punkte abdecken:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.3 + description: "\u2022 Sicherheitsziele der Institution," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.4 + description: "\u2022 wichtige Begriffe," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.5 + description: "\u2022 Aufgaben und Rollen mit Bezug zur Informationssicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.6 + description: "\u2022 Ansprechperson zu Fragen der Informationssicherheit sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.7 + description: "\u2022 von den Mitarbeitenden umzusetzende und einzuhaltende Sicherheitsma\xDF\ + nahmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.8 + description: Die Richtlinie SOLLTE allen Benutzenden zur Kenntnis gegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.9 + description: "Jeder neue Benutzende SOLLTE die Kenntnisnahme und Beachtung der\ + \ Richtlinie schriftlich best\xE4tigen, bevor er die Informationstechnik nutzen\ + \ darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.10 + description: "Benutzende SOLLTEN die Richtlinie regelm\xE4\xDFig oder nach gr\xF6\ + \xDFeren \xC4nderungen erneut best\xE4tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a16 + ref_id: ORP.1.A16.11 + description: "Die Richtlinie sollte zum Nachlesen f\xFCr alle Mitarbeitenden\ + \ frei zug\xE4nglich abgelegt werden, beispielsweise im Intranet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1 + ref_id: ORP.1.A17 + name: "Mitf\xFChrverbot von Mobiltelefonen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a17 + ref_id: ORP.1.A17.1 + description: "Mobiltelefone SOLLTEN NICHT zu vertraulichen Besprechungen und\ + \ Gespr\xE4chen mitgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.1.a17 + ref_id: ORP.1.A17.2 + description: "Falls erforderlich, SOLLTE dies durch Mobilfunk-Detektoren \xFC\ + berpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + assessable: false + depth: 1 + ref_id: ORP.2 + name: Personal + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A1 + name: Geregelte Einarbeitung neuer Mitarbeitender + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1 + ref_id: ORP.2.A1.1 + description: "Die Personalabteilung sowie die Vorgesetzten M\xDCSSEN daf\xFC\ + r sorgen, dass Mitarbeitende zu Beginn ihrer Besch\xE4ftigung in ihre neuen\ + \ Aufgaben eingearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1 + ref_id: ORP.2.A1.2 + description: "Die Mitarbeitenden M\xDCSSEN \xFCber bestehende Regelungen, Handlungsanweisungen\ + \ und Verfahrensweisen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a1 + ref_id: ORP.2.A1.3 + description: "Eine Checkliste und ein direkter Ansprechpartner oder Ansprechpartnerin\ + \ (\u201EPate oder Patin\u201C) kann hierbei hilfreich sein und SOLLTE etabliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A2 + name: Geregelte Verfahrensweise beim Weggang von Mitarbeitenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.1 + description: Verlassen Mitarbeitende die Institution, MUSS der oder die Nachfolgende + rechtzeitig eingewiesen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.2 + description: Dies SOLLTE idealerweise durch den oder die ausscheidenden Mitarbeitenden + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.3 + description: "Ist eine direkte \xDCbergabe nicht m\xF6glich, MUSS von den ausscheidenden\ + \ Mitarbeitenden eine ausf\xFChrliche Dokumentation angefertigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.4 + description: "Au\xDFerdem M\xDCSSEN von ausscheidenden Mitarbeitenden alle im\ + \ Rahmen ihrer T\xE4tigkeit erhaltenen Unterlagen, Schl\xFCssel und Ger\xE4\ + te sowie Ausweise und Zutrittsberechtigungen eingezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.5 + description: Vor der Verabschiedung MUSS noch einmal auf Verschwiegenheitsverpflichtungen + hingewiesen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.6 + description: Es SOLLTE besonders darauf geachtet werden, dass keine Interessenkonflikte + auftreten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.7 + description: Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden, + SOLLTEN Konkurrenzverbote und Karenzzeiten vereinbart werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.8 + description: "Weiterhin M\xDCSSEN Notfall- und andere Ablaufpl\xE4ne aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.9 + description: "Alle betroffenen Stellen innerhalb der Institution, wie z. B.\ + \ das Sicherheitspersonal oder die IT-Abteilung, M\xDCSSEN \xFCber das Ausscheiden\ + \ des oder der Mitarbeitenden informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.10 + description: Damit alle verbundenen Aufgaben, die beim Ausscheiden des oder + der Mitarbeitenden anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste + angelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a2 + ref_id: ORP.2.A2.11 + description: Zudem SOLLTE es einen festen Ansprechpartner oder Ansprechpartnerin + der Personalabteilung geben, der den Weggang von Mitarbeitenden begleitet. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A3 + name: Festlegung von Vertretungsregelungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.1 + description: "Die Vorgesetzten M\xDCSSEN daf\xFCr sorgen, dass im laufenden\ + \ Betrieb Vertretungsregelungen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.2 + description: "Daf\xFCr MUSS sichergestellt werden, dass es f\xFCr alle wesentlichen\ + \ Gesch\xE4ftsprozesse und Aufgaben praktikable Vertretungsregelungen gibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.3 + description: Bei diesen Regelungen MUSS der Aufgabenumfang der Vertretung im + Vorfeld klar definiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.4 + description: "Es MUSS sichergestellt werden, dass die Vertretung \xFCber das\ + \ daf\xFCr n\xF6tige Wissen verf\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.5 + description: "Ist dies nicht der Fall, MUSS \xFCberpr\xFCft werden, wie der\ + \ Vertretenden zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens-\ + \ oder Projektstand ausreichend zu dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a3 + ref_id: ORP.2.A3.6 + description: "Ist es im Ausnahmefall nicht m\xF6glich, f\xFCr einzelne Mitarbeitende\ + \ einen kompetenten Vertretenden zu benennen oder zu schulen, MUSS fr\xFC\ + hzeitig entschieden werden, ob externes Personal daf\xFCr hinzugezogen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A4 + name: "Festlegung von Regelungen f\xFCr den Einsatz von Fremdpersonal" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + ref_id: ORP.2.A4.1 + description: "Wird externes Personal besch\xE4ftigt, MUSS dieses wie alle eigenen\ + \ Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften\ + \ und interne Regelungen einzuhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + ref_id: ORP.2.A4.2 + description: Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS + in sicherheitsrelevanten Bereichen beaufsichtigt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + ref_id: ORP.2.A4.3 + description: "Bei l\xE4ngerfristig besch\xE4ftigtem Fremdpersonal MUSS dieses\ + \ wie die eigenen Mitarbeitenden in seine Aufgaben eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + ref_id: ORP.2.A4.4 + description: "Auch f\xFCr diese Mitarbeitende MUSS eine Vertretungsregelung\ + \ eingef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a4 + ref_id: ORP.2.A4.5 + description: "Verl\xE4sst das Fremdpersonal die Institution, M\xDCSSEN Arbeitsergebnisse\ + \ wie bei eigenem Personal geregelt \xFCbergeben und eventuell ausgeh\xE4\ + ndigte Zugangsberechtigungen zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A5 + name: "Vertraulichkeitsvereinbarungen f\xFCr den Einsatz von Fremdpersonal" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a5 + ref_id: ORP.2.A5.1 + description: "Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen\ + \ erhalten, M\xDCSSEN mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher\ + \ Form geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a5 + ref_id: ORP.2.A5.2 + description: "In diesen Vertraulichkeitsvereinbarungen M\xDCSSEN alle wichtigen\ + \ Aspekte zum Schutz von institutionsinternen Informationen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A7 + name: "\xDCberpr\xFCfung der Vertrauensw\xFCrdigkeit von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7 + ref_id: ORP.2.A7.1 + description: "Neue Mitarbeitende SOLLTEN auf ihre Vertrauensw\xFCrdigkeit hin\ + \ \xFCberpr\xFCft werden, bevor sie eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7 + ref_id: ORP.2.A7.2 + description: "Soweit m\xF6glich, SOLLTEN alle an der Personalauswahl Beteiligten\ + \ kontrollieren, ob die Angaben der Bewerbenden, die relevant f\xFCr die Einsch\xE4\ + tzung ihrer Vertrauensw\xFCrdigkeit sind, glaubhaft sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7 + ref_id: ORP.2.A7.3 + description: "Insbesondere SOLLTE sorgf\xE4ltig gepr\xFCft werden, ob der vorgelegte\ + \ Lebenslauf korrekt, plausibel und vollst\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a7 + ref_id: ORP.2.A7.4 + description: "Dabei SOLLTEN auff\xE4llig erscheinende Angaben \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A13 + name: "Sicherheits\xFCberpr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13 + ref_id: ORP.2.A13.1 + description: "Im Hochsicherheitsbereich SOLLTE eine zus\xE4tzliche Sicherheits\xFC\ + berpr\xFCfung zus\xE4tzlich zur grundlegenden \xDCberpr\xFCfung der Vertrauensw\xFC\ + rdigkeit von Mitarbeitenden durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13 + ref_id: ORP.2.A13.2 + description: "Arbeiten Mitarbeitende mit nach dem Geheimschutz klassifizierten\ + \ Verschlusssachen, SOLLTEN sich die entsprechenden Mitarbeitenden einer Sicherheits\xFC\ + berpr\xFCfung nach dem Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a13 + ref_id: ORP.2.A13.3 + description: "Diesbez\xFCglich SOLLTE der oder die Informationssicherheitsbeauftragte\ + \ den Geheimschutzbeauftragten oder die Geheimschutzbeauftragte bzw. Sicherheitsbevollm\xE4\ + chtigten oder Sicherheitsbevollm\xE4chtigte der Institution einbeziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A14 + name: "Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + ref_id: ORP.2.A14.1 + description: "Alle Mitarbeitenden M\xDCSSEN dazu verpflichtet werden, geltende\ + \ Gesetze, Vorschriften und interne Regelungen einzuhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + ref_id: ORP.2.A14.2 + description: "Den Mitarbeitenden MUSS der rechtliche Rahmen ihre T\xE4tigkeit\ + \ bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + ref_id: ORP.2.A14.3 + description: "Die Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden M\xDCSSEN\ + \ in geeigneter Weise dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + ref_id: ORP.2.A14.4 + description: "Au\xDFerdem M\xDCSSEN alle Mitarbeitenden darauf hingewiesen werden,\ + \ dass alle w\xE4hrend der Arbeit erhaltenen Informationen ausschlie\xDFlich\ + \ zum internen Gebrauch bestimmt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a14 + ref_id: ORP.2.A14.5 + description: "Den Mitarbeitenden MUSS bewusst gemacht werden, die Informationssicherheit\ + \ der Institution auch au\xDFerhalb der Arbeitszeit und au\xDFerhalb des Betriebsgel\xE4\ + ndes zu sch\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2 + ref_id: ORP.2.A15 + name: Qualifikation des Personals + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.1 + description: "Mitarbeitende M\xDCSSEN regelm\xE4\xDFig geschult bzw. weitergebildet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.2 + description: In allen Bereichen MUSS sichergestellt werden, dass kein Mitarbeitende + mit veralteten Wissensstand arbeitet. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.3 + description: "Weiterhin SOLLTE den Mitarbeitenden w\xE4hrend ihrer Besch\xE4\ + ftigung die M\xF6glichkeit gegeben werden, sich im Rahmen ihres T\xE4tigkeitsfeldes\ + \ weiterzubilden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.4 + description: "Werden Stellen besetzt, M\xDCSSEN die erforderlichen Qualifikationen\ + \ und F\xE4higkeiten genau formuliert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.5 + description: "Anschlie\xDFend SOLLTE gepr\xFCft werden, ob diese bei den Bewerbenden\ + \ f\xFCr die Stelle tats\xE4chlich vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.2.a15 + ref_id: ORP.2.A15.6 + description: "Es MUSS sichergestellt sein, dass Stellen nur von Mitarbeitenden\ + \ besetzt werden, f\xFCr die sie qualifiziert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + assessable: false + depth: 1 + ref_id: ORP.3 + name: Sensibilisierung und Schulung zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A1 + name: "Sensibilisierung der Institutionsleitung f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.1 + description: "Die Institutionsleitung MUSS ausreichend f\xFCr Sicherheitsfragen\ + \ sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.2 + description: "Die Sicherheitskampagnen und Schulungsma\xDFnahmen M\xDCSSEN von\ + \ der Institutionsleitung unterst\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.3 + description: "Vor dem Beginn eines Sensibilisierungs- und Schulungsprogramms\ + \ zur Informationssicherheit MUSS die Unterst\xFCtzung der Institutionsleitung\ + \ eingeholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.4 + description: "Alle Vorgesetzten M\xDCSSEN die Informationssicherheit unterst\xFC\ + tzen, indem sie mit gutem Beispiel vorangehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.5 + description: "F\xFChrungskr\xE4fte M\xDCSSEN die Sicherheitsvorgaben umsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a1 + ref_id: ORP.3.A1.6 + description: "Hier\xFCber hinaus M\xDCSSEN sie ihre Mitarbeitenden auf deren\ + \ Einhaltung hinweisen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A3 + name: Einweisung des Personals in den sicheren Umgang mit IT + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3 + ref_id: ORP.3.A3.1 + description: "Alle Mitarbeitenden und externen Benutzenden M\xDCSSEN in den\ + \ sicheren Umgang mit IT-, ICS- und IoT-Komponenten eingewiesen und sensibilisiert\ + \ werden, soweit dies f\xFCr ihre Arbeitszusammenh\xE4nge relevant ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3 + ref_id: ORP.3.A3.2 + description: "Daf\xFCr M\xDCSSEN verbindliche, verst\xE4ndliche und aktuelle\ + \ Richtlinien zur Nutzung der jeweiligen Komponenten zur Verf\xFCgung stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a3 + ref_id: ORP.3.A3.3 + description: Werden IT-, ICS- oder IoT-Systeme oder -Dienste in einer Weise + benutzt, die den Interessen der Institution widersprechen, MUSS dies kommuniziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A4 + name: Konzeption und Planung eines Sensibilisierungs- und Schulungsprogramms + zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.1 + description: Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit + SOLLTEN sich an den jeweiligen Zielgruppen orientieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.2 + description: "Dazu SOLLTE eine Zielgruppenanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.3 + description: "Hierbei SOLLTEN Schulungsma\xDFnahmen auf die speziellen Anforderungen\ + \ und unterschiedlichen Hintergr\xFCnde fokussiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.4 + description: Es SOLLTE ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm + zur Informationssicherheit erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.5 + description: "Dieses Schulungsprogramm SOLLTE den Mitarbeitenden alle Informationen\ + \ und F\xE4higkeiten vermitteln, die erforderlich sind, um in der Institution\ + \ geltende Sicherheitsregelungen und -ma\xDFnahmen umsetzen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a4 + ref_id: ORP.3.A4.6 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A6 + name: "Durchf\xFChrung von Sensibilisierungen und Schulungen zur Informationssicherheit" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a6 + ref_id: ORP.3.A6.1 + description: Alle Mitarbeitenden SOLLTEN entsprechend ihren Aufgaben und Verantwortlichkeiten + zu Informationssicherheitsthemen geschult werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A7 + name: Schulung zur Vorgehensweise nach IT-Grundschutz + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + ref_id: ORP.3.A7.1 + description: Informationssicherheitsbeauftragte SOLLTEN mit dem IT-Grundschutz + vertraut sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + ref_id: ORP.3.A7.2 + description: Wurde ein Schulungsbedarf identifiziert, SOLLTE eine geeignete + IT-Grundschutz-Schulung geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + ref_id: ORP.3.A7.3 + description: "F\xFCr die Planung einer Schulung SOLLTE der Online-Kurs des BSI\ + \ zum IT-Grundschutz ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + ref_id: ORP.3.A7.4 + description: "Innerhalb der Schulung SOLLTE die Vorgehensweise anhand praxisnaher\ + \ Beispiele ge\xFCbt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a7 + ref_id: ORP.3.A7.5 + description: "Es SOLLTE gepr\xFCft werden, ob der oder die Informationssicherheitsbeauftragte\ + \ sich zu einem BSI IT-Grundschutz-Praktiker qualifizieren lassen sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A8 + name: Messung und Auswertung des Lernerfolgs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8 + ref_id: ORP.3.A8.1 + description: Die Lernerfolge im Bereich Informationssicherheit SOLLTEN zielgruppenbezogen + gemessen und ausgewertet werden, um festzustellen, inwieweit die in den Sensibilisierungs- + und Schulungsprogrammen zur Informationssicherheit beschriebenen Ziele erreicht + sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8 + ref_id: ORP.3.A8.2 + description: "Die Messungen SOLLTEN sowohl quantitative als auch qualitative\ + \ Aspekte der Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8 + ref_id: ORP.3.A8.3 + description: "Die Ergebnisse SOLLTEN bei der Verbesserung des Sensibilisierungs-\ + \ und Schulungsangebots zur Informationssicherheit in geeigneter Weise einflie\xDF\ + en." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a8 + ref_id: ORP.3.A8.4 + description: "Der oder die Informationssicherheitsbeauftragte SOLLTE sich regelm\xE4\ + \xDFig mit der Personalabteilung und den anderen f\xFCr die Sicherheit relevanten\ + \ Ansprechpartnern (Datenschutz, Gesundheits- und Arbeitsschutz, Brandschutz\ + \ etc.) \xFCber die Effizienz der Aus- und Weiterbildung austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3 + ref_id: ORP.3.A9 + name: Spezielle Schulung von exponierten Personen und Institutionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.3.a9 + ref_id: ORP.3.A9.1 + description: "Besonders exponierte Personen SOLLTEN vertiefende Schulungen in\ + \ Hinblick auf m\xF6gliche Gef\xE4hrdungen sowie geeignete Verhaltensweisen\ + \ und Vorsichtsma\xDFnahmen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + assessable: false + depth: 1 + ref_id: ORP.4 + name: "Identit\xE4ts- und Berechtigungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A1 + name: "Regelung f\xFCr die Einrichtung und L\xF6schung von Benutzenden und Benutzendengruppen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + ref_id: ORP.4.A1.1 + description: "Es MUSS geregelt werden, wie Benutzendenkennungen und -gruppen\ + \ einzurichten und zu l\xF6schen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + ref_id: ORP.4.A1.2 + description: "Jede Benutzendenkennung MUSS eindeutig einer Person zugeordnet\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + ref_id: ORP.4.A1.3 + description: "Benutzendenkennungen, die l\xE4ngere Zeit inaktiv sind, SOLLTEN\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + ref_id: ORP.4.A1.4 + description: "Alle Benutzenden und Benutzendengruppen D\xDCRFEN NUR \xFCber\ + \ separate administrative Rollen eingerichtet und gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a1 + ref_id: ORP.4.A1.5 + description: "Nicht ben\xF6tigte Benutzendenkennungen, wie z. B. standardm\xE4\ + \xDFig eingerichtete Gastkonten oder Standard-Administrierendenkennungen,\ + \ M\xDCSSEN geeignet deaktiviert oder gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A2 + name: "Einrichtung, \xC4nderung und Entzug von Berechtigungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + ref_id: ORP.4.A2.1 + description: "Benutzendenkennungen und Berechtigungen D\xDCRFEN NUR aufgrund\ + \ des tats\xE4chlichen Bedarfs und der Notwendigkeit zur Aufgabenerf\xFCllung\ + \ vergeben werden (Prinzip der geringsten Berechtigungen, englisch Least Privileges\ + \ und Erforderlichkeitsprinzip, englisch Need-to-know)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + ref_id: ORP.4.A2.2 + description: "Bei personellen Ver\xE4nderungen M\xDCSSEN die nicht mehr ben\xF6\ + tigten Benutzendenkennungen und Berechtigungen entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + ref_id: ORP.4.A2.3 + description: "Beantragen Mitarbeitende Berechtigungen, die \xFCber den Standard\ + \ hinausgehen, D\xDCRFEN diese NUR nach zus\xE4tzlicher Begr\xFCndung und\ + \ Pr\xFCfung vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + ref_id: ORP.4.A2.4 + description: "Zugriffsberechtigungen auf Systemverzeichnisse und -dateien SOLLTEN\ + \ restriktiv eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a2 + ref_id: ORP.4.A2.5 + description: "Alle Berechtigungen M\xDCSSEN \xFCber separate administrative\ + \ Rollen eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A3 + name: Dokumentation der Benutzendenkennungen und Rechteprofile + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + ref_id: ORP.4.A3.1 + description: Es MUSS dokumentiert werden, welche Benutzendenkennungen, angelegte + Benutzendengruppen und Rechteprofile zugelassen und angelegt wurden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + ref_id: ORP.4.A3.2 + description: "Die Dokumentation der zugelassenen Benutzendenkennungen, angelegten\ + \ Benutzendengruppen und Rechteprofile MUSS regelm\xE4\xDFig daraufhin \xFC\ + berpr\xFCft werden, ob sie den tats\xE4chlichen Stand der Rechtevergabe widerspiegelt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + ref_id: ORP.4.A3.3 + description: "Dabei MUSS auch gepr\xFCft werden, ob die Rechtevergabe noch den\ + \ Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzenden entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + ref_id: ORP.4.A3.4 + description: "Die Dokumentation MUSS vor unberechtigtem Zugriff gesch\xFCtzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a3 + ref_id: ORP.4.A3.5 + description: Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren + einbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A4 + name: Aufgabenverteilung und Funktionstrennung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a4 + ref_id: ORP.4.A4.1 + description: "Die von der Institution definierten unvereinbaren Aufgaben und\ + \ Funktionen (siehe Baustein ORP.1 Organisation) M\xDCSSEN durch das Identit\xE4\ + ts- und Berechtigungsmanagement getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A5 + name: Vergabe von Zutrittsberechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + ref_id: ORP.4.A5.1 + description: Es MUSS festgelegt werden, welche Zutrittsberechtigungen an welche + Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + ref_id: ORP.4.A5.2 + description: Die Ausgabe bzw. der Entzug von verwendeten Zutrittsmittel wie + Chipkarten MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + ref_id: ORP.4.A5.3 + description: "Wenn Zutrittsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + ref_id: ORP.4.A5.4 + description: "Die Zutrittsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ + \ den Zutrittsmitteln geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a5 + ref_id: ORP.4.A5.5 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A6 + name: Vergabe von Zugangsberechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + ref_id: ORP.4.A6.1 + description: Es MUSS festgelegt werden, welche Zugangsberechtigungen an welche + Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + ref_id: ORP.4.A6.2 + description: Werden Zugangsmittel wie Chipkarten verwendet, so MUSS die Ausgabe + bzw. der Entzug dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + ref_id: ORP.4.A6.3 + description: "Wenn Zugangsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + ref_id: ORP.4.A6.4 + description: "Die Zugangsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ + \ den Zugangsmitteln geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a6 + ref_id: ORP.4.A6.5 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A7 + name: Vergabe von Zugriffsrechten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7 + ref_id: ORP.4.A7.1 + description: Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen + im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7 + ref_id: ORP.4.A7.2 + description: Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, + so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7 + ref_id: ORP.4.A7.3 + description: "Die Anwendenden SOLLTEN f\xFCr den korrekten Umgang mit Chipkarten\ + \ oder Token geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a7 + ref_id: ORP.4.A7.4 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A8 + name: Regelung des Passwortgebrauchs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.1 + description: "Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe\ + \ auch ORP.4.A22 Regelung zur Passwortqualit\xE4t und ORP.4.A23 Regelung f\xFC\ + r passwortverarbeitende Anwendungen und IT-Systeme)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.2 + description: "Dabei MUSS gepr\xFCft werden, ob Passw\xF6rter als alleiniges\ + \ Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale\ + \ bzw. -verfahren zus\xE4tzlich zu oder anstelle von Passw\xF6rtern verwendet\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.3 + description: "Passw\xF6rter D\xDCRFEN NICHT mehrfach verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.4 + description: "F\xFCr jedes IT-System bzw. jede Anwendung MUSS ein eigenst\xE4\ + ndiges Passwort verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.5 + description: "Passw\xF6rter, die leicht zu erraten sind oder in g\xE4ngigen\ + \ Passwortlisten gef\xFChrt werden, D\xDCRFEN NICHT verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.6 + description: "Passw\xF6rter M\xDCSSEN geheim gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.7 + description: "Sie D\xDCRFEN NUR den Benutzenden pers\xF6nlich bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.8 + description: "Passw\xF6rter D\xDCRFEN NUR unbeobachtet eingegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.9 + description: "Passw\xF6rter D\xDCRFEN NICHT auf programmierbaren Funktionstasten\ + \ von Tastaturen oder M\xE4usen gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.10 + description: "Ein Passwort DARF NUR f\xFCr eine Hinterlegung f\xFCr einen Notfall\ + \ schriftlich fixiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.11 + description: Es MUSS dann sicher aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.12 + description: "Die Nutzung eines Passwort-Managers SOLLTE gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.13 + description: "Bei Passwort-Managern mit Funktionen oder Plug-ins, mit denen\ + \ Passw\xF6rter \xFCber Onlinedienste Dritter synchronisiert oder anderweitig\ + \ an Dritte \xFCbertragen werden, M\xDCSSEN diese Funktionen und Plug-ins\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a8 + ref_id: ORP.4.A8.14 + description: Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen + bekannt geworden ist oder der Verdacht dazu besteht. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A9 + name: Identifikation und Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a9 + ref_id: ORP.4.A9.1 + description: Der Zugriff auf alle IT-Systeme und Dienste MUSS durch eine angemessene + Identifikation und Authentisierung der zugreifenden Benutzenden, Dienste oder + IT-Systeme abgesichert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a9 + ref_id: ORP.4.A9.2 + description: "Vorkonfigurierte Authentisierungsmittel M\xDCSSEN vor dem produktiven\ + \ Einsatz ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A10 + name: Schutz von Benutzendenkennungen mit weitreichenden Berechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a10 + ref_id: ORP.4.A10.1 + description: "Benutzendenkennungen mit weitreichenden Berechtigungen SOLLTEN\ + \ mit einer Mehr-Faktor-Authentisierung, z. B. mit kryptografischen Zertifikaten,\ + \ Chipkarten oder Token, gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A11 + name: "Zur\xFCcksetzen von Passw\xF6rtern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11 + ref_id: ORP.4.A11.1 + description: "F\xFCr das Zur\xFCcksetzen von Passw\xF6rtern SOLLTE ein angemessenes\ + \ sicheres Verfahren definiert und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11 + ref_id: ORP.4.A11.2 + description: "Die Mitarbeitenden des IT-Betriebs, die Passw\xF6rter zur\xFC\ + cksetzen k\xF6nnen, SOLLTEN entsprechend geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a11 + ref_id: ORP.4.A11.3 + description: "Bei h\xF6herem Schutzbedarf des Passwortes SOLLTE eine Strategie\ + \ definiert werden, falls Mitarbeitende des IT-Betriebs aufgrund fehlender\ + \ sicherer M\xF6glichkeiten der \xDCbermittlung des Passwortes die Verantwortung\ + \ nicht \xFCbernehmen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A12 + name: "Entwicklung eines Authentisierungskonzeptes f\xFCr IT-Systeme und Anwendungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12 + ref_id: ORP.4.A12.1 + description: Es SOLLTE ein Authentisierungskonzept erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12 + ref_id: ORP.4.A12.2 + description: "Darin SOLLTE f\xFCr jedes IT-System und jede Anwendung definiert\ + \ werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung\ + \ gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12 + ref_id: ORP.4.A12.3 + description: "Authentisierungsinformationen M\xDCSSEN kryptografisch sicher\ + \ gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a12 + ref_id: ORP.4.A12.4 + description: "Authentisierungsinformationen D\xDCRFEN NICHT unverschl\xFCsselt\ + \ \xFCber unsichere Netze \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A13 + name: Geeignete Auswahl von Authentisierungsmechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + ref_id: ORP.4.A13.1 + description: Es SOLLTEN dem Schutzbedarf angemessene Identifikations- und Authentisierungsmechanismen + verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + ref_id: ORP.4.A13.2 + description: "Authentisierungsdaten SOLLTEN durch das IT-System bzw. die IT-Anwendungen\ + \ bei der Verarbeitung jederzeit gegen Aussp\xE4hung, Ver\xE4nderung und Zerst\xF6\ + rung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + ref_id: ORP.4.A13.3 + description: "Das IT-System bzw. die IT-Anwendung SOLLTE nach jedem erfolglosen\ + \ Authentisierungsversuch weitere Anmeldeversuche zunehmend verz\xF6gern (Time\ + \ Delay)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + ref_id: ORP.4.A13.4 + description: "Die Gesamtdauer eines Anmeldeversuchs SOLLTE begrenzt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a13 + ref_id: ORP.4.A13.5 + description: "Nach \xDCberschreitung der vorgegebenen Anzahl erfolgloser Authentisierungsversuche\ + \ SOLLTE das IT-System bzw. die IT-Anwendung die Benutzendenkennung sperren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A14 + name: Kontrolle der Wirksamkeit der Benutzendentrennung am IT-System bzw. an + der Anwendung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a14 + ref_id: ORP.4.A14.1 + description: "In angemessenen Zeitabst\xE4nden SOLLTE \xFCberpr\xFCft werden,\ + \ ob die Benutzenden von IT-Systemen bzw. Anwendungen sich regelm\xE4\xDF\ + ig nach Aufgabenerf\xFCllung abmelden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a14 + ref_id: ORP.4.A14.2 + description: Ebenso SOLLTE kontrolliert werden, dass nicht mehrere Benutzende + unter der gleichen Kennung arbeiten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A15 + name: "Vorgehensweise und Konzeption der Prozesse beim Identit\xE4ts- und Berechtigungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.1 + description: "F\xFCr das Identit\xE4ts- und Berechtigungsmanagement SOLLTEN\ + \ folgenden Prozesse definiert und umgesetzt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.2 + description: "\u2022 Richtlinien verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.3 + description: "\u2022 Identit\xE4tsprofile verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.4 + description: "\u2022 Benutzendenkennungen verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.5 + description: "\u2022 Berechtigungsprofile verwalten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a15 + ref_id: ORP.4.A15.6 + description: "\u2022 Rollen verwalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A16 + name: "Richtlinien f\xFCr die Zugriffs- und Zugangskontrolle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16 + ref_id: ORP.4.A16.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Zugriffs- und Zugangskontrolle\ + \ von IT-Systemen, IT-Komponenten und Datennetzen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16 + ref_id: ORP.4.A16.2 + description: Es SOLLTEN Standard-Rechteprofile benutzt werden, die den Funktionen + und Aufgaben der Mitarbeitenden entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a16 + ref_id: ORP.4.A16.3 + description: "F\xFCr jedes IT-System und jede IT-Anwendung SOLLTE eine schriftliche\ + \ Zugriffsregelung existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A17 + name: "Geeignete Auswahl von Identit\xE4ts- und Berechtigungsmanagement-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17 + ref_id: ORP.4.A17.1 + description: "Beim Einsatz eines Identit\xE4ts- und Berechtigungsmanagement-Systems\ + \ SOLLTE dieses f\xFCr die Institution und deren jeweilige Gesch\xE4ftsprozesse,\ + \ Organisationsstrukturen und Abl\xE4ufe sowie deren Schutzbedarf geeignet\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17 + ref_id: ORP.4.A17.2 + description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE die\ + \ in der Institution vorhandenen Vorgaben zum Umgang mit Identit\xE4ten und\ + \ Berechtigungen abbilden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17 + ref_id: ORP.4.A17.3 + description: "Das ausgew\xE4hlte Identit\xE4ts- und Berechtigungsmanagement-System\ + \ SOLLTE den Grundsatz der Funktionstrennung unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a17 + ref_id: ORP.4.A17.4 + description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE angemessen\ + \ vor Angriffen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A18 + name: Einsatz eines zentralen Authentisierungsdienstes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18 + ref_id: ORP.4.A18.1 + description: "Um ein zentrales Identit\xE4ts- und Berechtigungsmanagement aufzubauen,\ + \ SOLLTE ein zentraler netzbasierter Authentisierungsdienst eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18 + ref_id: ORP.4.A18.2 + description: "Der Einsatz eines zentralen netzbasierten Authentisierungsdienstes\ + \ SOLLTE sorgf\xE4ltig geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a18 + ref_id: ORP.4.A18.3 + description: "Dazu SOLLTEN die Sicherheitsanforderungen dokumentiert werden,\ + \ die f\xFCr die Auswahl eines solchen Dienstes relevant sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A19 + name: Einweisung aller Mitarbeitenden in den Umgang mit Authentisierungsverfahren + und -mechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19 + ref_id: ORP.4.A19.1 + description: Alle Mitarbeitende SOLLTEN in den korrekten Umgang mit dem Authentisierungsverfahren + eingewiesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19 + ref_id: ORP.4.A19.2 + description: "Es SOLLTE verst\xE4ndliche Richtlinien f\xFCr den Umgang mit Authentisierungsverfahren\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a19 + ref_id: ORP.4.A19.3 + description: "Die Mitarbeitenden SOLLTEN \xFCber relevante Regelungen informiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A20 + name: "Notfallvorsorge f\xFCr das Identit\xE4ts- und Berechtigungsmanagement-System" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20 + ref_id: ORP.4.A20.1 + description: "Es SOLLTE gepr\xFCft werden, inwieweit ein ausgefallenes Identit\xE4\ + ts- und Berechtigungsmanagement-System sicherheitskritisch f\xFCr die Gesch\xE4\ + ftsprozesse ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20 + ref_id: ORP.4.A20.2 + description: "Es SOLLTEN Vorkehrungen getroffen werden, um bei einem ausgefallenen\ + \ Identit\xE4ts- und Berechtigungsmanagement-System weiterhin arbeitsf\xE4\ + hig zu sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a20 + ref_id: ORP.4.A20.3 + description: "Insbesondere SOLLTE das im Notfallkonzept vorgesehene Berechtigungskonzept\ + \ weiterhin anwendbar sein, wenn das Identit\xE4ts- und Berechtigungsmanagement-System\ + \ ausgefallen ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A21 + name: Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a21 + ref_id: ORP.4.A21.1 + description: Es SOLLTE eine sichere Mehr-Faktor-Authentisierung, z. B. mit kryptografischen + Zertifikaten, Chipkarten oder Token, zur Authentisierung verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A22 + name: "Regelung zur Passwortqualit\xE4t" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22 + ref_id: ORP.4.A22.1 + description: "In Abh\xE4ngigkeit von Einsatzzweck und Schutzbedarf M\xDCSSEN\ + \ sichere Passw\xF6rter geeigneter Qualit\xE4t gew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22 + ref_id: ORP.4.A22.2 + description: Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten + ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a22 + ref_id: ORP.4.A22.3 + description: "Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende\ + \ in der Lage sind, das Passwort mit vertretbarem Aufwand regelm\xE4\xDFig\ + \ zu verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A23 + name: "Regelung f\xFCr passwortverarbeitende Anwendungen und IT-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.1 + description: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund + zum Wechsel des Passworts auffordern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.2 + description: Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.3 + description: "Es M\xDCSSEN Ma\xDFnahmen ergriffen werden, um die Kompromittierung\ + \ von Passw\xF6rtern zu erkennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.4 + description: "Ist dies nicht m\xF6glich, so SOLLTE gepr\xFCft werden, ob die\ + \ Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden\ + \ k\xF6nnen und Passw\xF6rter in gewissen Abst\xE4nden gewechselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.5 + description: "Standardpassw\xF6rter M\xDCSSEN durch ausreichend starke Passw\xF6\ + rter ersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.6 + description: "Vordefinierte Kennungen M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.7 + description: "Es SOLLTE sichergestellt werden, dass die m\xF6gliche Passwortl\xE4\ + nge auch im vollen Umfang von verarbeitenden IT-Systemen gepr\xFCft wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.8 + description: "Nach einem Passwortwechsel D\xDCRFEN alte Passw\xF6rter NICHT\ + \ mehr genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.9 + description: "Passw\xF6rter M\xDCSSEN so sicher wie m\xF6glich gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.10 + description: "Bei Kennungen f\xFCr technische Konten, Dienstkonten, Schnittstellen\ + \ oder Vergleichbares SOLLTE ein Passwortwechsel sorgf\xE4ltig geplant und\ + \ gegebenenfalls mit den Anwendungsverantwortlichen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.11 + description: "Bei der Authentisierung in vernetzten Systemen D\xDCRFEN Passw\xF6\ + rter NICHT unverschl\xFCsselt \xFCber unsichere Netze \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.12 + description: "Wenn Passw\xF6rter in einem Intranet \xFCbertragen werden, SOLLTEN\ + \ sie verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a23 + ref_id: ORP.4.A23.13 + description: Bei erfolglosen Anmeldeversuchen SOLLTEN die passwortverarbeitenden + Anwendungen oder die IT-Systeme keinen Hinweis darauf geben, ob Passwort oder + Kennung falsch sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4 + ref_id: ORP.4.A24 + name: "Vier-Augen-Prinzip f\xFCr administrative T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24 + ref_id: ORP.4.A24.1 + description: "Administrative T\xE4tigkeiten SOLLTEN nur durch zwei Personen\ + \ durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24 + ref_id: ORP.4.A24.2 + description: Dazu SOLLTEN bei Mehr-Faktor-Authentisierung die Faktoren auf die + zwei Personen verteilt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.4.a24 + ref_id: ORP.4.A24.3 + description: "Bei der Nutzung von Passw\xF6rtern SOLLTEN diese in zwei Teile\ + \ zerlegt werden und jede der zwei Personen enth\xE4lt einen Teil." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + assessable: false + depth: 1 + ref_id: ORP.5 + name: Compliance Management (Anforderungsmanagement) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + ref_id: ORP.5.A1 + name: Identifikation der Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1 + ref_id: ORP.5.A1.1 + description: "Alle gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen\ + \ auf das Informationssicherheitsmanagement M\xDCSSEN identifiziert und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1 + ref_id: ORP.5.A1.2 + description: "Die f\xFCr die einzelnen Bereiche der Institution relevanten gesetzlichen,\ + \ vertraglichen und sonstigen Vorgaben SOLLTEN in einer strukturierten \xDC\ + bersicht herausgearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a1 + ref_id: ORP.5.A1.3 + description: Die Dokumentation MUSS auf dem aktuellen Stand gehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + ref_id: ORP.5.A2 + name: Beachtung der Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + ref_id: ORP.5.A2.1 + description: "Die als sicherheitsrelevant identifizierten Anforderungen M\xDC\ + SSEN bei der Planung und Konzeption von Gesch\xE4ftsprozessen, Anwendungen\ + \ und IT-Systemen oder bei der Beschaffung neuer Komponenten einflie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + ref_id: ORP.5.A2.2 + description: "F\xFChrungskr\xE4fte, die eine rechtliche Verantwortung f\xFC\ + r die Institution tragen, M\xDCSSEN f\xFCr die Einhaltung der gesetzlichen,\ + \ vertraglichen und sonstigen Vorgaben sorgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + ref_id: ORP.5.A2.3 + description: "Die Verantwortlichkeiten und Zust\xE4ndigkeiten f\xFCr die Einhaltung\ + \ dieser Vorgaben M\xDCSSEN festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + ref_id: ORP.5.A2.4 + description: "Es M\xDCSSEN geeignete Ma\xDFnahmen identifiziert und umgesetzt\ + \ werden, um Verst\xF6\xDFe gegen relevante Anforderungen zu vermeiden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a2 + ref_id: ORP.5.A2.5 + description: "Wenn solche Verst\xF6\xDFe erkannt werden, M\xDCSSEN sachgerechte\ + \ Korrekturma\xDFnahmen ergriffen werden, um die Abweichungen zu beheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + ref_id: ORP.5.A4 + name: Konzeption und Organisation des Compliance Managements + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + ref_id: ORP.5.A4.1 + description: In der Institution SOLLTE ein Prozess aufgebaut werden, um alle + relevanten gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen + auf das Informationssicherheitsmanagement zu identifizieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + ref_id: ORP.5.A4.2 + description: "Es SOLLTEN geeignete Prozesse und Organisationsstrukturen aufgebaut\ + \ werden, um basierend auf der Identifikation und Beachtung der rechtlichen\ + \ Rahmenbedingungen, den \xDCberblick \xFCber die verschiedenen rechtlichen\ + \ Anforderungen an die einzelnen Bereiche der Institution zu gew\xE4hrleisten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + ref_id: ORP.5.A4.3 + description: "Daf\xFCr SOLLTEN Zust\xE4ndige f\xFCr das Compliance Management\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + ref_id: ORP.5.A4.4 + description: "Compliance-Beauftragte und Informationssicherheitsbeauftragte\ + \ SOLLTEN sich regelm\xE4\xDFig austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a4 + ref_id: ORP.5.A4.5 + description: "Sie SOLLTEN gemeinsam Sicherheitsanforderungen ins Compliance\ + \ Management integrieren, sicherheitsrelevante Anforderungen in Sicherheitsma\xDF\ + nahmen \xFCberf\xFChren und deren Umsetzung kontrollieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + ref_id: ORP.5.A5 + name: Ausnahmegenehmigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + ref_id: ORP.5.A5.1 + description: "Ist es in Einzelf\xE4llen erforderlich, von getroffenen Regelungen\ + \ abzuweichen, SOLLTE die Ausnahme begr\xFCndet und durch eine autorisierte\ + \ Stelle nach einer Risikoabsch\xE4tzung genehmigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + ref_id: ORP.5.A5.2 + description: "Es SOLLTE ein Genehmigungsverfahren f\xFCr Ausnahmegenehmigungen\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + ref_id: ORP.5.A5.3 + description: "Es SOLLTE eine \xDCbersicht \xFCber alle erteilten Ausnahmegenehmigungen\ + \ erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + ref_id: ORP.5.A5.4 + description: "Ein entsprechendes Verfahren f\xFCr die Dokumentation und ein\ + \ \xDCberpr\xFCfungsprozess SOLLTE etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a5 + ref_id: ORP.5.A5.5 + description: Alle Ausnahmegenehmigungen SOLLTEN befristet sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5 + ref_id: ORP.5.A8 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfungen des Compliance Managements" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a8 + ref_id: ORP.5.A8.1 + description: "Es SOLLTE ein Verfahren etabliert sein, wie das Compliance Management\ + \ und die sich daraus ergebenden Anforderungen und Ma\xDFnahmen regelm\xE4\ + \xDFig auf ihre Effizienz und Effektivit\xE4t \xFCberpr\xFCft werden (siehe\ + \ auch DER.3.1 Audits und Revisionen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-orp-organisation-und-personal:orp.5.a8 + ref_id: ORP.5.A8.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ + \ und die Prozesse des Compliance Managements angemessen sind." + implementation_groups: + - S diff --git a/backend/library/libraries/bs-it-gs-2023-sys-it-systeme.yaml b/backend/library/libraries/bs-it-gs-2023-sys-it-systeme.yaml new file mode 100644 index 000000000..a7de289a0 --- /dev/null +++ b/backend/library/libraries/bs-it-gs-2023-sys-it-systeme.yaml @@ -0,0 +1,18006 @@ +urn: urn:intuitem:risk:library:bs-it-gs-2023-sys-it-systeme +locale: de +ref_id: bs-it-gs-2023-sys-it-systeme +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - SYS:\ + \ IT-Systeme" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen + ref_id: bs-it-gs-2023-sys-it-systeme + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\ + \ - SYS: IT-Systeme" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + assessable: false + depth: 1 + ref_id: SYS.1.1 + name: Allgemeiner Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A1 + name: Zugriffsschutz und Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.1 + description: "Physische Server M\xDCSSEN an Orten betrieben werden, zu denen\ + \ nur berechtigte Personen Zutritt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.2 + description: "Physische Server M\xDCSSEN daher in Rechenzentren, Serverr\xE4\ + umen oder abschlie\xDFbaren Serverschr\xE4nken aufgestellt beziehungsweise\ + \ eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht\ + \ INF Infrastruktur)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.3 + description: Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen + der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen + begrenzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.4 + description: "Server D\xDCRFEN NICHT als Arbeitsplatzrechner genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.5 + description: "Server D\xDCRFEN NICHT zur Erledigung von Aufgaben und T\xE4tigkeiten\ + \ verwendet werden, die grunds\xE4tzlich auf einem Client-System aus- und\ + \ durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.6 + description: "Insbesondere D\xDCRFEN vorhandene Anwendungen, wie Webbrowser,\ + \ auf dem Server NICHT f\xFCr das Abrufen von Informationen aus dem Internet\ + \ oder das Herunterladen von Software, Treibern und Updates verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a1 + ref_id: SYS.1.1.A1.7 + description: "Als Arbeitsplatz genutzte IT-Systeme D\xDCRFEN NICHT als Server\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A2 + name: Authentisierung an Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2 + ref_id: SYS.1.1.A2.1 + description: "F\xFCr die Anmeldung von Benutzenden und Diensten am Server M\xDC\ + SSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der\ + \ Server angemessen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2 + ref_id: SYS.1.1.A2.2 + description: "Dies SOLLTE in besonderem Ma\xDFe f\xFCr administrative Zug\xE4\ + nge ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a2 + ref_id: SYS.1.1.A2.3 + description: "Soweit m\xF6glich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste\ + \ zur\xFCckgegriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A5 + name: Schutz von Schnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a5 + ref_id: SYS.1.1.A5.1 + description: "Es MUSS gew\xE4hrleistet werden, dass nur daf\xFCr vorgesehene\ + \ Wechselspeicher und sonstige Ger\xE4te an die Server angeschlossen werden\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a5 + ref_id: SYS.1.1.A5.2 + description: "Alle Schnittstellen, die nicht verwendet werden, M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A6 + name: "Deaktivierung nicht ben\xF6tigter Dienste" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + ref_id: SYS.1.1.A6.1 + description: "Alle nicht ben\xF6tigten Serverrollen, Features und Funktionen,\ + \ sonstige Software und Dienste M\xDCSSEN deaktiviert oder deinstalliert werden,\ + \ vor allem Netzdienste." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + ref_id: SYS.1.1.A6.2 + description: "Auch alle nicht ben\xF6tigten Funktionen in der Firmware M\xDC\ + SSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + ref_id: SYS.1.1.A6.3 + description: "Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei\ + \ als Orientierung ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + ref_id: SYS.1.1.A6.4 + description: "Auf Servern SOLLTE der Speicherplatz f\xFCr die einzelnen Benutzenden,\ + \ aber auch f\xFCr Anwendungen, geeignet beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a6 + ref_id: SYS.1.1.A6.5 + description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ + \ dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung\ + \ f\xFCr die Server gew\xE4hlt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A9 + name: Einsatz von Virenschutz-Programmen auf Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a9 + ref_id: SYS.1.1.A9.1 + description: "Abh\xE4ngig vom installierten Betriebssystem, den bereitgestellten\ + \ Diensten und von anderen vorhandenen Schutzmechanismen des Servers MUSS\ + \ gepr\xFCft werden, ob Viren-Schutzprogramme eingesetzt werden sollen und\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a9 + ref_id: SYS.1.1.A9.2 + description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein Virenschutz\ + \ notwendig ist, aus den betreffenden Betriebssystem-Bausteinen des IT-Grundschutz-Kompendiums\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A10 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.1 + description: "Generell M\xDCSSEN alle sicherheitsrelevanten Systemereignisse\ + \ protokolliert werden, dazu geh\xF6ren mindestens:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.2 + description: "\u2022 Systemstarts und Reboots," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.3 + description: "\u2022 erfolgreiche und erfolglose Anmeldungen am IT-System (Betriebssystem\ + \ und Anwendungssoftware)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.4 + description: "\u2022 fehlgeschlagene Berechtigungspr\xFCfungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.5 + description: "\u2022 blockierte Datenstr\xF6me (Verst\xF6\xDFe gegen ACLs oder\ + \ Firewallregeln)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.6 + description: "\u2022 Einrichtung oder \xC4nderungen von Benutzenden, Gruppen\ + \ und Berechtigungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.7 + description: "\u2022 sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte,\ + \ \xDCberschreitung von Kapazit\xE4tsgrenzen) sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a10 + ref_id: SYS.1.1.A10.8 + description: "\u2022 Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A11 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11 + ref_id: SYS.1.1.A11.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie + konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11 + ref_id: SYS.1.1.A11.2 + description: "Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen,\ + \ die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt\ + \ und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11 + ref_id: SYS.1.1.A11.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a11 + ref_id: SYS.1.1.A11.4 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A12 + name: Planung des Server-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.1 + description: Jedes Server-System SOLLTE geeignet geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.2 + description: "Dabei SOLLTEN mindestens folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.3 + description: "\u2022 Auswahl der Plattform (Hardware oder virtualisierte Ressourcen),\ + \ des Betriebssystems und der Anwendungssoftware," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.4 + description: "\u2022 Dimensionierung der Hardware (Leistung, Speicher, Bandbreite\ + \ etc.)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.5 + description: "\u2022 Art und Anzahl der Kommunikationsschnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.6 + description: "\u2022 Leistungsaufnahme, W\xE4rmelast, Platzbedarf und Bauform," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.7 + description: "\u2022 administrative Zug\xE4nge (siehe SYS.1.1.A5 Schutz von\ + \ Schnittstellen)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.8 + description: "\u2022 Zugriffe von Benutzenden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.9 + description: "\u2022 Protokollierung (siehe SYS.1.1.A10 Protokollierung)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.10 + description: "\u2022 Aktualisierung von Betriebssystem und Anwendungen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.11 + description: "\u2022 Einbindung ins System- und Netzmanagement, in die Datensicherung\ + \ und die Schutzsysteme (Virenschutz, IDS etc.)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a12 + ref_id: SYS.1.1.A12.12 + description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ + \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ + \ nachvollzogen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A13 + name: Beschaffung von Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a13 + ref_id: SYS.1.1.A13.1 + description: "Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A15 + name: Unterbrechungsfreie und stabile Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a15 + ref_id: SYS.1.1.A15.1 + description: Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung + (USV) angeschlossen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A16 + name: Sichere Installation und Grundkonfiguration von Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.1 + description: "Der vollst\xE4ndige Installations- und Konfigurationsvorgang SOLLTE\ + \ soweit wie m\xF6glich innerhalb einer gesonderten und von Produktivsystemen\ + \ abgetrennten Installationsumgebung vorgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.2 + description: Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme + des Servers bereits vorgenommen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.3 + description: "Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch\ + \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.4 + description: "Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste\ + \ und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht ben\xF6tigter Dienste)\ + \ SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie f\xFCr Server\ + \ (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie f\xFCr Server)\ + \ konfiguriert, getestet und regelm\xE4\xDFig inhaltlich \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.5 + description: "Dabei SOLLTE der Server unter Ber\xFCcksichtigung der Empfehlungen\ + \ des Betriebssystemherstellers und des voreingestellten Standardverhaltens\ + \ konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz\ + \ oder der Organisation widerspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.6 + description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.7 + description: "Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch\ + \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a16 + ref_id: SYS.1.1.A16.8 + description: "Sofern der Server eine Verbindung in das Internet ben\xF6tigt\ + \ oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet\ + \ verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A19 + name: Einrichtung lokaler Paketfilter + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a19 + ref_id: SYS.1.1.A19.1 + description: "Vorhandene lokale Paketfilter SOLLTEN \xFCber ein Regelwerk so\ + \ ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf\ + \ die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie\ + \ Ports und Schnittstellen beschr\xE4nkt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a19 + ref_id: SYS.1.1.A19.2 + description: "Die Identit\xE4t von Remote-Systemen und die Integrit\xE4t der\ + \ Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A21 + name: "Betriebsdokumentation f\xFCr Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + ref_id: SYS.1.1.A21.1 + description: "Betriebliche Aufgaben, die an einem Server durchgef\xFChrt werden,\ + \ SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + ref_id: SYS.1.1.A21.2 + description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ + nderungen nachvollziehbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + ref_id: SYS.1.1.A21.3 + description: Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten + einzubauen, SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + ref_id: SYS.1.1.A21.4 + description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a21 + ref_id: SYS.1.1.A21.5 + description: "Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A22 + name: Einbindung in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a22 + ref_id: SYS.1.1.A22.1 + description: "Der Server SOLLTE im Notfallmanagementprozess ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a22 + ref_id: SYS.1.1.A22.2 + description: "Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt\ + \ und geeignete Notfallma\xDFnahmen umgesetzt werden, z. B. indem Wiederanlaufpl\xE4\ + ne erstellt oder Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A23 + name: "System\xFCberwachung und Monitoring von Servern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23 + ref_id: SYS.1.1.A23.1 + description: "Das Server-System SOLLTE in ein geeignetes System\xFCberwachungs-\ + \ oder Monitoringkonzept eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23 + ref_id: SYS.1.1.A23.2 + description: "Der Systemzustand sowie die Funktionsf\xE4higkeit des Servers\ + \ und der darauf betriebenen Dienste SOLLTEN laufend \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a23 + ref_id: SYS.1.1.A23.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN an das Betriebspersonal gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A24 + name: "Sicherheitspr\xFCfungen f\xFCr Server" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24 + ref_id: SYS.1.1.A24.1 + description: "Server SOLLTEN regelm\xE4\xDFigen Sicherheitstests unterzogen\ + \ werden, die \xFCberpr\xFCfen, ob alle Sicherheitsvorgaben eingehalten werden\ + \ und gegebenenfalls vorhandene Schwachstellen identifizieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24 + ref_id: SYS.1.1.A24.2 + description: "Diese Sicherheitspr\xFCfungen SOLLTEN insbesondere auf Servern\ + \ mit externen Schnittstellen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24 + ref_id: SYS.1.1.A24.3 + description: "Um mittelbare Angriffe \xFCber infizierte IT-Systeme im eigenen\ + \ Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen\ + \ entsprechend \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a24 + ref_id: SYS.1.1.A24.4 + description: "Es SOLLTE gepr\xFCft werden, ob die Sicherheitspr\xFCfungen automatisiert,\ + \ z. B. mittels geeigneter Skripte, realisiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A25 + name: "Geregelte Au\xDFerbetriebnahme eines Servers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + ref_id: SYS.1.1.A25.1 + description: "Bei der Au\xDFerbetriebnahme eines Servers SOLLTE sichergestellt\ + \ werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datentr\xE4\ + gern gespeichert sind, verloren gehen und dass keine schutzbed\xFCrftigen\ + \ Daten zur\xFCckbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + ref_id: SYS.1.1.A25.2 + description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ + \ auf dem Server gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + ref_id: SYS.1.1.A25.3 + description: "Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene\ + \ Dienste durch einen anderen Server \xFCbernommen werden, wenn dies erforderlich\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + ref_id: SYS.1.1.A25.4 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme eines Servers abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a25 + ref_id: SYS.1.1.A25.5 + description: "Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung,\ + \ Migration von Diensten und dem anschlie\xDFenden sicheren L\xF6schen aller\ + \ Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A27 + name: Hostbasierte Angriffserkennung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27 + ref_id: SYS.1.1.A27.1 + description: "Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection\ + \ Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden,\ + \ um das Systemverhalten auf Anomalien und Missbrauch hin zu \xFCberwachen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27 + ref_id: SYS.1.1.A27.2 + description: "Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgew\xE4\ + hlt, konfiguriert und ausf\xFChrlich getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27 + ref_id: SYS.1.1.A27.3 + description: Bei einer Angriffserkennung SOLLTE das Betriebspersonal in geeigneter + Weise alarmiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a27 + ref_id: SYS.1.1.A27.4 + description: "\xDCber Betriebssystem-Mechanismen oder geeignete Zusatzprodukte\ + \ SOLLTEN Ver\xE4nderungen an Systemdateien und Konfigurationseinstellungen\ + \ \xFCberpr\xFCft, eingeschr\xE4nkt und gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A28 + name: "Steigerung der Verf\xFCgbarkeit durch Redundanz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28 + ref_id: SYS.1.1.A28.1 + description: "Server mit hohen Verf\xFCgbarkeitsanforderungen SOLLTEN gegen\ + \ Ausf\xE4lle in geeigneter Weise gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28 + ref_id: SYS.1.1.A28.2 + description: "Hierzu SOLLTEN mindestens geeignete Redundanzen verf\xFCgbar sein\ + \ sowie Wartungsvertr\xE4ge mit den Lieferanten abgeschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a28 + ref_id: SYS.1.1.A28.3 + description: "Es SOLLTE gepr\xFCft werden, ob bei sehr hohen Anforderungen Hochverf\xFC\ + gbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls \xFCber\ + \ verschiedene Standorte hinweg, erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A30 + name: Ein Dienst pro Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a30 + ref_id: SYS.1.1.A30.1 + description: "Abh\xE4ngig von der Bedrohungslage und dem Schutzbedarf der Dienste\ + \ SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A31 + name: "Einsatz von Ausf\xFChrungskontrolle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31 + ref_id: SYS.1.1.A31.1 + description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ + \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31 + ref_id: SYS.1.1.A31.2 + description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a31 + ref_id: SYS.1.1.A31.3 + description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ + \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A33 + name: Aktive Verwaltung der Wurzelzertifikate + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33 + ref_id: SYS.1.1.A33.1 + description: "Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert\ + \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Servers notwendig\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33 + ref_id: SYS.1.1.A33.2 + description: "Auf dem Server SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ + \ und vorab dokumentierten Wurzelzertifikate enthalten sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33 + ref_id: SYS.1.1.A33.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ + \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a33 + ref_id: SYS.1.1.A33.4 + description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ + \ in die Pr\xFCfung einbezogen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A34 + name: "Festplattenverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + ref_id: SYS.1.1.A34.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN die Datentr\xE4ger des Servers\ + \ mit einem als sicher geltenden Produkt oder Verfahren verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + ref_id: SYS.1.1.A34.2 + description: "Dies SOLLTE auch f\xFCr virtuelle Maschinen mit produktiven Daten\ + \ gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + ref_id: SYS.1.1.A34.3 + description: "Es SOLLTE nicht nur ein TPM allein als Schl\xFCsselschutz dienen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + ref_id: SYS.1.1.A34.4 + description: Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren + Ort gespeichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a34 + ref_id: SYS.1.1.A34.5 + description: Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE + eine Full Volume oder Full Disk Encryption erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A35 + name: Erstellung und Pflege eines Betriebshandbuchs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.1 + description: Es SOLLTE ein Betriebshandbuch erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.2 + description: Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und + Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.3 + description: "F\xFCr jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.4 + description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.5 + description: "Das Betriebshandbuch SOLLTE vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a35 + ref_id: SYS.1.1.A35.6 + description: "Das Betriebshandbuch SOLLTE in Notf\xE4llen zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A36 + name: Absicherung des Bootvorgangs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a36 + ref_id: SYS.1.1.A36.1 + description: "Bootloader und Betriebssystem-Kern SOLLTEN durch selbstkontrolliertes\ + \ Schl\xFCsselmaterial signiert beim Systemstart in einer vertrauensw\xFC\ + rdigen Kette gepr\xFCft werden (Secure Boot)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a36.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a36 + ref_id: SYS.1.1.A36.2 + description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A37 + name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a37.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a37 + ref_id: SYS.1.1.A37.1 + description: "Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder\ + \ andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem\ + \ auf besonders sch\xFCtzenswerte Dateien zu verhindern, SOLLTEN Anwendungen\ + \ und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikats\xFC\ + berpr\xFCfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen\ + \ Anwendungen und Betriebssystemkomponenten gegen\xFCber isoliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a37.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a37 + ref_id: SYS.1.1.A37.2 + description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ + cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ + \ und B\xFCrokommunikations-Anwendungen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A38 + name: "H\xE4rtung des Host-Systems mittels Read-Only-Dateisystem" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a38.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a38 + ref_id: SYS.1.1.A38.1 + description: "Die Integrit\xE4t des Host-Systems SOLLTE durch ein Read-Only-Dateisystem\ + \ sichergestellt werden (Immutable OS)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a39 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1 + ref_id: SYS.1.1.A39 + name: Zentrale Verwaltung der Sicherheitsrichtlinien von Servern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a39.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a39 + ref_id: SYS.1.1.A39.1 + description: Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen + Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend + dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend + konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a39.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.1.a39 + ref_id: SYS.1.1.A39.2 + description: "Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert,\ + \ begr\xFCndet und mit dem Sicherheitsmanagement abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + assessable: false + depth: 1 + ref_id: SYS.1.2.2 + name: Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A1 + name: Planung von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.1 + description: "Der Einsatz von Windows Server 2012 MUSS vor der Installation\ + \ sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.2 + description: "Die Anforderungen an die Hardware M\xDCSSEN vor der Beschaffung\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.3 + description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ + r eine geeignete Edition des Windows Server 2012 getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.4 + description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ + \ M\xDCSSEN dabei spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.5 + description: "Die Nutzung von ins Betriebssystem integrierten Cloud-Diensten\ + \ MUSS grunds\xE4tzlich abgewogen und geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.6 + description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ + \ auf dem Server blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A2 + name: Sichere Installation von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.1 + description: "Es D\xDCRFEN KEINE anderen als die ben\xF6tigten Serverrollen\ + \ und Features bzw. Funktionen installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.2 + description: Wenn es vom Funktionsumfang her ausreichend ist, MUSS die Server-Core-Variante + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.3 + description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ + \ nicht gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.4 + description: "Der Server MUSS bereits w\xE4hrend der Installation auf einen\ + \ aktuellen Patch-Stand gebracht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A3 + name: Sichere Administration von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a3 + ref_id: SYS.1.2.2.A3.1 + description: "Alle Administrierenden, die f\xFCr das Server-System zust\xE4\ + ndig sind, M\xDCSSEN in den sicherheitsrelevanten Aspekten der Administration\ + \ von Windows Server 2012 geschult sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a3 + ref_id: SYS.1.2.2.A3.2 + description: "Webbrowser auf dem Server D\xDCRFEN NICHT zum Surfen im Web verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A4 + name: Sichere Konfiguration von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.1 + description: "Mehrere wesentliche Funktionen bzw. Rollen SOLLTEN NICHT durch\ + \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.2 + description: "Vor Inbetriebnahme SOLLTE das System grundlegend geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.3 + description: "Daf\xFCr SOLLTEN funktionsspezifische und institutionsweite Sicherheitsvorlagen\ + \ erstellt und gepflegt werden, die auf die Server ausgerollt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.4 + description: Der Internet Explorer SOLLTE auf dem Server nur in der Enhanced + Security Configuration und im Enhanced Protected Mode genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A5 + name: Schutz vor Schadsoftware auf Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.1 + description: "Au\xDFer bei IT-Systemen mit Windows Server 2012, die als Stand-alone-Ger\xE4\ + t ohne Netzanschluss und Wechselmedien betrieben werden, SOLLTE vor dem ersten\ + \ Verbinden mit dem Netz oder Wechselmedien ein Virenschutzprogramm installiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.2 + description: "Im Konzept zum Schutz vor Schadsoftware SOLLTE vorgesehen werden,\ + \ dass regelm\xE4\xDFig alle Festplatten vollst\xE4ndig gescannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.3 + description: "Es SOLLTEN Alarme f\xFCr Virenfunde konfiguriert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A6 + name: Sichere Authentisierung und Autorisierung in Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.1 + description: "In Windows Server 2012 R2 SOLLTEN alle Konten von Benutzenden\ + \ Mitglied der Sicherheitsgruppe \u201EGesch\xFCtzte Nutzer\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.2 + description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ + \ \u201EGesch\xFCtzte Nutzer\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.3 + description: "Dienste-Konten in Windows Server 2012 SOLLTEN Mitglied der Gruppe\ + \ \u201EManaged Service Account\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.4 + description: Der PPL-Schutz des Local Credential Store LSA SOLLTE aktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.5 + description: Der Einsatz dynamischer Zugriffsregeln auf Ressourcen SOLLTE bevorzugt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A8 + name: "Schutz der Systemintegrit\xE4t" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a8 + ref_id: SYS.1.2.2.A8.1 + description: "AppLocker SOLLTE aktiviert und m\xF6glichst strikt konfiguriert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A11 + name: Angriffserkennung bei Windows Server 2012 + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a11 + ref_id: SYS.1.2.2.A11.1 + description: Sicherheitsrelevante Ereignisse in Windows Server 2012 SOLLTEN + an einem zentralen Punkt gesammelt und ausgewertet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a11 + ref_id: SYS.1.2.2.A11.2 + description: "Verschl\xFCsselte Partitionen SOLLTEN nach einer definierten Anzahl\ + \ von Entschl\xFCsselungsversuchen gesperrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A12 + name: "Redundanz und Hochverf\xFCgbarkeit bei Windows Server 2012" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a12 + ref_id: SYS.1.2.2.A12.1 + description: "Es SOLLTE gepr\xFCft werden, welche Verf\xFCgbarkeitsanforderungen\ + \ durch Betriebssystemfunktionen wie Distributed File System (DFS), ReFS,\ + \ Failover Cluster und Network Load Balancing bzw. NIC-Teaming (LBFO) erf\xFC\ + llt oder unterst\xFCtzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a12 + ref_id: SYS.1.2.2.A12.2 + description: "F\xFCr Au\xDFenstellen SOLLTE BranchCache aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2 + ref_id: SYS.1.2.2.A14 + name: "Herunterfahren verschl\xFCsselter Server und virtueller Maschinen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.1 + description: "Um verschl\xFCsselte Daten zu sch\xFCtzen, SOLLTEN nicht ben\xF6\ + tigte Server (inklusive virtuelle Maschinen) immer heruntergefahren werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.2 + description: "Dies SOLLTE m\xF6glichst automatisiert erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.3 + description: "Die Entschl\xFCsselung der Daten SOLLTE einen interaktiven Schritt\ + \ erfordern oder zumindest im Sicherheitsprotokoll festgehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + assessable: false + depth: 1 + ref_id: SYS.1.2.3 + name: 'Windows Server ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A1 + name: Planung von Windows Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.1 + description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ + r eine geeignete Edition von Windows Server getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.2 + description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ + \ M\xDCSSEN dabei spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.3 + description: "Die Nutzung von mitgelieferten Cloud-Diensten im Betriebssystem\ + \ MUSS grunds\xE4tzlich abgewogen und gr\xFCndlich geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.4 + description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ + \ auf dem Server blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A2 + name: Sichere Installation von Windows Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a2 + ref_id: SYS.1.2.3.A2.1 + description: Wenn vom Funktionsumfang her ausreichend, MUSS die Server-Core-Variante + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a2 + ref_id: SYS.1.2.3.A2.2 + description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ + \ nicht gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A3 + name: Telemetrie- und Nutzungsdaten unter Windows Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a3 + ref_id: SYS.1.2.3.A3.1 + description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ + \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) auf dem Windows\ + \ Server konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a3 + ref_id: SYS.1.2.3.A3.2 + description: "Wenn diese Einstellung nicht wirksam umgesetzt wird, dann MUSS\ + \ durch geeignete Ma\xDFnahmen, etwa auf Netzebene, sichergestellt werden,\ + \ dass die Daten nicht an den Hersteller \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A4 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a4 + ref_id: SYS.1.2.3.A4.1 + description: "Ma\xDFnahmen zum Schutz vor Exploits SOLLTEN f\xFCr alle Programme\ + \ und Dienste aktiviert werden, die den Exploit-Schutz von Windows (vgl. Verweis\ + \ in Kapitel 4.1 Wissenswertes) unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A5 + name: Sichere Authentisierung und Autorisierung in Windows Server + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.1 + description: "In Windows Server SOLLTEN alle Konten von Benutzenden Mitglied\ + \ der Sicherheitsgruppe \u201EProtected Users\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.2 + description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ + \ \u201EProtected Users\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.3 + description: "Dienste-Konten in Windows Server SOLLTEN Mitglied der Gruppe \u201E\ + Managed Service Account\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A6 + name: "Sicherheit beim Fernzugriff \xFCber RDP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.2 + description: "Die Gruppe der Berechtigten und IT-Systeme f\xFCr den Remote-Desktopzugriff\ + \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.3 + description: "Es SOLLTEN Mechanismen des Betriebssystems ber\xFCcksichtigt werden,\ + \ um die \xFCbertragenen Anmeldeinformationen zu sch\xFCtzen (z. B. Remote\ + \ Credential Guard oder RestrictedAdmin)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.4 + description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ + \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.5 + description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ + \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ + \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.6 + description: "\u2022 die Verwendung der Zwischenablage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.7 + description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.8 + description: "\u2022 die Nutzung der Dateiablagen, von weiteren Ger\xE4ten und\ + \ Ressourcen, wie z. B. Smartcard-Leseger\xE4ten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.9 + description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN + den internen Vorgaben der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.10 + description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ + \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A7 + name: Verwendung der Windows PowerShell + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.1 + description: "Die PowerShell-Ausf\xFChrung SOLLTE zentral protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.2 + description: "Die erzeugten Protokolle SOLLTEN geeignet \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.3 + description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ + \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ + \ dass unsignierte Skripte (versehentlich) ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.4 + description: "\xC4ltere Windows PowerShell-Versionen SOLLTEN deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.5 + description: "Der Einsatz des PowerShell Constrained Language Mode SOLLTE gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.6 + description: "Zur Einschr\xE4nkung der Windows PowerShell SOLLTE bei Windows\ + \ Server mithilfe von Just Enough Administration (JEA) eine rollenbasierte\ + \ Administration implementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3 + ref_id: SYS.1.2.3.A8 + name: Nutzung des Virtual Secure Mode (VSM) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.2.3.a8 + ref_id: SYS.1.2.3.A8.1 + description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ + \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ + \ eingeschr\xE4nkt oder erschwert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + assessable: false + depth: 1 + ref_id: SYS.1.3 + name: Server unter Linux und Unix + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A2 + name: "Sorgf\xE4ltige Vergabe von IDs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + ref_id: SYS.1.3.A2.1 + description: Jeder Login-Name, jede User-ID (UID) und jede Gruppen-ID (GID) + DARF NUR einmal vorkommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + ref_id: SYS.1.3.A2.2 + description: Jedes Konto von Benutzenden MUSS Mitglied mindestens einer Gruppe + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + ref_id: SYS.1.3.A2.3 + description: Jede in der Datei /etc/passwd vorkommende GID MUSS in der Datei + /etc/group definiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + ref_id: SYS.1.3.A2.4 + description: Jede Gruppe SOLLTE nur die Konten enthalten, die unbedingt notwendig + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a2 + ref_id: SYS.1.3.A2.5 + description: "Bei vernetzten Systemen MUSS au\xDFerdem darauf geachtet werden,\ + \ dass die Vergabe von Benutzenden- und Gruppennamen, UID und GID im Systemverbund\ + \ konsistent erfolgt, wenn beim system\xFCbergreifenden Zugriff die M\xF6\ + glichkeit besteht, dass gleiche UIDs bzw. GIDs auf den Systemen unterschiedlichen\ + \ Benutzenden- bzw. Gruppennamen zugeordnet werden k\xF6nnten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A3 + name: Kein automatisches Einbinden von Wechsellaufwerken + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a3 + ref_id: SYS.1.3.A3.1 + description: "Wechseldatentr\xE4ger wie z. B. USB-Sticks oder CDs/DVDs D\xDC\ + RFEN NICHT automatisch eingebunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A4 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a4 + ref_id: SYS.1.3.A4.1 + description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, + MUSS ASLR und DEP/NX im Kernel aktiviert und von den Anwendungen genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a4 + ref_id: SYS.1.3.A4.2 + description: "Sicherheitsfunktionen des Kernels und der Standardbibliotheken,\ + \ wie z. B. Heap- und Stackschutz, D\xDCRFEN NICHT deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A5 + name: Sichere Installation von Software-Paketen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + ref_id: SYS.1.3.A5.1 + description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ + \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ + \ und \xFCbersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + ref_id: SYS.1.3.A5.2 + description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ + \ in das Wurzeldateisystem des Betriebssystems installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + ref_id: SYS.1.3.A5.3 + description: "Wird die Software aus dem Quelltext \xFCbersetzt, SOLLTEN die\ + \ gew\xE4hlten Parameter geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + ref_id: SYS.1.3.A5.4 + description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ + \ und reproduzierbar kompiliert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a5 + ref_id: SYS.1.3.A5.5 + description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A6 + name: Verwaltung von Benutzenden und Gruppen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a6 + ref_id: SYS.1.3.A6.1 + description: Zur Verwaltung von Benutzenden und Gruppen SOLLTEN die entsprechenden + Verwaltungswerkzeuge genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a6 + ref_id: SYS.1.3.A6.2 + description: Von einer direkten Bearbeitung der Konfigurationsdateien /etc/passwd, + /etc/shadow, /etc/group und /etc/sudoers SOLLTE abgesehen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A8 + name: "Verschl\xFCsselter Zugriff \xFCber Secure Shell" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8 + ref_id: SYS.1.3.A8.1 + description: "Um eine verschl\xFCsselte und authentisierte, interaktive Verbindung\ + \ zwischen zwei IT-Systemen aufzubauen, SOLLTE ausschlie\xDFlich Secure Shell\ + \ (SSH) verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8 + ref_id: SYS.1.3.A8.2 + description: "Alle anderen Protokolle, deren Funktionalit\xE4t durch Secure\ + \ Shell abgedeckt wird, SOLLTEN vollst\xE4ndig abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a8 + ref_id: SYS.1.3.A8.3 + description: "F\xFCr die Authentifizierung SOLLTEN vorrangig Zertifikate anstatt\ + \ eines Passworts verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A10 + name: Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10 + ref_id: SYS.1.3.A10.1 + description: "Dienste und Anwendungen SOLLTEN mit einer individuellen Sicherheitsarchitektur\ + \ gesch\xFCtzt werden (z. B. mit AppArmor oder SELinux)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10 + ref_id: SYS.1.3.A10.2 + description: "Auch chroot-Umgebungen sowie LXC- oder Docker-Container SOLLTEN\ + \ dabei ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a10 + ref_id: SYS.1.3.A10.3 + description: Es SOLLTE sichergestellt sein, dass mitgelieferte Standardprofile + bzw. -regeln aktiviert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A14 + name: "Verhinderung des Aussp\xE4hens von Informationen \xFCber das System und\ + \ \xFCber Benutzende" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a14 + ref_id: SYS.1.3.A14.1 + description: "Die Ausgabe von Informationen \xFCber das Betriebssystem und der\ + \ Zugriff auf Protokoll- und Konfigurationsdateien SOLLTE f\xFCr Benutzende\ + \ auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a14 + ref_id: SYS.1.3.A14.2 + description: "Au\xDFerdem SOLLTEN bei Befehlsaufrufen keine vertraulichen Informationen\ + \ als Parameter \xFCbergeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A16 + name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16 + ref_id: SYS.1.3.A16.1 + description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ + \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16 + ref_id: SYS.1.3.A16.2 + description: "Die Standardprofile bzw. -regeln von z. B. SELinux, AppArmor SOLLTEN\ + \ manuell \xFCberpr\xFCft und unter Umst\xE4nden an die eigenen Sicherheitsrichtlinien\ + \ angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a16 + ref_id: SYS.1.3.A16.3 + description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3 + ref_id: SYS.1.3.A17 + name: "Zus\xE4tzlicher Schutz des Kernels" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.3.a17 + ref_id: SYS.1.3.A17.1 + description: "Es SOLLTEN speziell geh\xE4rtete Kernels (z. B. grsecurity, PaX)\ + \ und geeignete Schutzma\xDFnahmen wie Speicherschutz oder Dateisystemabsicherung\ + \ umgesetzt werden, die eine Ausnutzung von Schwachstellen und die Ausbreitung\ + \ im Betriebssystem verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + assessable: false + depth: 1 + ref_id: SYS.1.5 + name: Virtualisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A2 + name: Sicherer Einsatz virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.1 + description: Jede Person, die virtuelle IT-Systeme administriert, MUSS wissen, + wie sich eine Virtualisierung auf die betriebenen IT-Systeme und Anwendungen + auswirkt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.2 + description: "Die Zugriffsrechte f\xFCr Administrierende auf virtuelle IT-Systeme\ + \ M\xDCSSEN auf das tats\xE4chlich notwendige Ma\xDF reduziert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.3 + description: "Es MUSS gew\xE4hrleistet sein, dass die f\xFCr die virtuellen\ + \ IT-Systeme notwendigen Netzverbindungen in der virtuellen Infrastruktur\ + \ verf\xFCgbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.4 + description: "Auch MUSS gepr\xFCft werden, ob die Anforderungen an die Isolation\ + \ und Kapselung der virtuellen IT-Systeme sowie der darauf betriebenen Anwendungen\ + \ hinreichend erf\xFCllt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.5 + description: "Weiterhin M\xDCSSEN die eingesetzten virtuellen IT-Systeme den\ + \ Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a2 + ref_id: SYS.1.5.A2.6 + description: "Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme\ + \ \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A3 + name: Sichere Konfiguration virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + ref_id: SYS.1.5.A3.1 + description: "Gast-Systeme D\xDCRFEN NICHT auf Ger\xE4te und Schnittstellen\ + \ des Virtualisierungsservers zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + ref_id: SYS.1.5.A3.2 + description: Ist eine solche Verbindung jedoch notwendig, MUSS diese exklusiv + zugeteilt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + ref_id: SYS.1.5.A3.3 + description: "Sie DARF NUR f\xFCr die notwendige Dauer von den Administrierenden\ + \ des Host-Systems hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + ref_id: SYS.1.5.A3.4 + description: "Daf\xFCr M\xDCSSEN verbindliche Regelungen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a3 + ref_id: SYS.1.5.A3.5 + description: "Virtuelle IT-Systeme SOLLTEN nach den Sicherheitsrichtlinien der\ + \ Institution konfiguriert und gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A4 + name: "Sichere Konfiguration eines Netzes f\xFCr virtuelle Infrastrukturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4 + ref_id: SYS.1.5.A4.1 + description: "Es MUSS sichergestellt werden, dass bestehende Sicherheitsmechanismen\ + \ (z. B. Firewalls) und Monitoring-Systeme nicht \xFCber virtuelle Netze umgangen\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4 + ref_id: SYS.1.5.A4.2 + description: "Auch MUSS ausgeschlossen sein, dass \xFCber virtuelle IT-Systeme,\ + \ die mit mehreren Netzen verbunden sind, unerw\xFCnschte Netzverbindungen\ + \ aufgebaut werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a4 + ref_id: SYS.1.5.A4.3 + description: "Netzverbindungen zwischen virtuellen IT-Systemen und physischen\ + \ IT-Systemen sowie f\xFCr virtuelle Firewalls SOLLTEN gem\xE4\xDF den Sicherheitsrichtlinien\ + \ der Institution konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A5 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5 + ref_id: SYS.1.5.A5.1 + description: "Alle Administrations- und Management-Zug\xE4nge zum Managementsystem\ + \ und zu den Host-Systemen M\xDCSSEN eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5 + ref_id: SYS.1.5.A5.2 + description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5 + ref_id: SYS.1.5.A5.3 + description: "Um die Virtualisierungsserver oder die Managementsysteme zu administrieren\ + \ bzw. zu \xFCberwachen, SOLLTEN als sicher geltende Protokolle eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a5 + ref_id: SYS.1.5.A5.4 + description: "Sollte dennoch auf unsichere Protokolle zur\xFCckgegriffen werden,\ + \ MUSS f\xFCr die Administration ein eigenes Administrationsnetz genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A6 + name: Protokollierung in der virtuellen Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6 + ref_id: SYS.1.5.A6.1 + description: "Betriebszustand, Auslastung und Netzanbindungen der virtuellen\ + \ Infrastruktur M\xDCSSEN laufend protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6 + ref_id: SYS.1.5.A6.2 + description: "Werden Kapazit\xE4tsgrenzen erreicht, SOLLTEN virtuelle Maschinen\ + \ verschoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6 + ref_id: SYS.1.5.A6.3 + description: Zudem SOLLTE eventuell die Hardware erweitert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a6 + ref_id: SYS.1.5.A6.4 + description: "Auch MUSS \xFCberwacht werden, ob die virtuellen Netze den jeweiligen\ + \ virtuellen IT-Systemen korrekt zugeordnet sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A7 + name: Zeitsynchronisation in virtuellen IT-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a7 + ref_id: SYS.1.5.A7.1 + description: Die Systemzeit aller produktiv eingesetzten virtuellen IT-Systeme + MUSS immer synchron sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A8 + name: Planung einer virtuellen Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + ref_id: SYS.1.5.A8.1 + description: Der Aufbau der virtuellen Infrastruktur SOLLTE detailliert geplant + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + ref_id: SYS.1.5.A8.2 + description: "Dabei SOLLTEN die geltenden Regelungen und Richtlinien f\xFCr\ + \ den Betrieb von IT-Systemen, Anwendungen und Netzen (inklusive Speichernetzen)\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + ref_id: SYS.1.5.A8.3 + description: Wenn mehrere virtuelle IT-Systeme auf einem Virtualisierungsserver + betrieben werden, SOLLTEN KEINE Konflikte hinsichtlich des Schutzbedarfs der + IT-Systeme auftreten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + ref_id: SYS.1.5.A8.4 + description: "Weiterhin SOLLTEN die Aufgaben der einzelnen Gruppen, die f\xFC\ + r die Administration zust\xE4ndig sind, festgelegt und klar voneinander abgegrenzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a8 + ref_id: SYS.1.5.A8.5 + description: "Es SOLLTE auch geregelt werden, wer f\xFCr den Betrieb welcher\ + \ Komponente verantwortlich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A9 + name: "Netzplanung f\xFCr virtuelle Infrastrukturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.1 + description: "Der Aufbau des Netzes f\xFCr virtuelle Infrastrukturen SOLLTE\ + \ detailliert geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.2 + description: "Auch SOLLTE gepr\xFCft werden, ob f\xFCr bestimmte Virtualisierungsfunktionen\ + \ (wie z. B. die Live-Migration) ein eigenes Netz aufgebaut und genutzt werden\ + \ muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.3 + description: "Es SOLLTE geplant werden, welche Netzsegmente aufgebaut werden\ + \ m\xFCssen (z. B. Managementnetz, Speichernetz)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.4 + description: "Es SOLLTE festgelegt werden, wie die Netzsegmente sich sicher\ + \ voneinander trennen und sch\xFCtzen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.5 + description: "Dabei SOLLTE sichergestellt werden, dass das produktive Netz vom\ + \ Managementnetz getrennt ist (siehe SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur\ + \ \xFCber ein gesondertes Managementnetz)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a9 + ref_id: SYS.1.5.A9.6 + description: "Auch die Verf\xFCgbarkeitsanforderungen an das Netz SOLLTEN erf\xFC\ + llt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A10 + name: "Einf\xFChrung von Verwaltungsprozessen f\xFCr virtuelle IT-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10 + ref_id: SYS.1.5.A10.1 + description: "F\xFCr Virtualisierungsserver und virtuelle IT-Systeme SOLLTEN\ + \ Prozesse f\xFCr die Inbetriebnahme, die Inventarisierung, den Betrieb und\ + \ die Au\xDFerbetriebnahme definiert und etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10 + ref_id: SYS.1.5.A10.2 + description: "Die Prozesse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10 + ref_id: SYS.1.5.A10.3 + description: "Wenn der Einsatz von virtuellen IT-Systemen geplant wird, SOLLTE\ + \ festgelegt werden, welche Virtualisierungsfunktionen die virtuellen IT-Systeme\ + \ benutzen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a10 + ref_id: SYS.1.5.A10.4 + description: Test- und Entwicklungsumgebungen SOLLTEN NICHT auf demselben Virtualisierungsserver + betrieben werden wie produktive virtuelle IT-Systeme. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A11 + name: "Administration der Virtualisierungsinfrastruktur \xFCber ein gesondertes\ + \ Managementnetz" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11 + ref_id: SYS.1.5.A11.1 + description: "Die Virtualisierungsinfrastruktur SOLLTE ausschlie\xDFlich \xFC\ + ber ein separates Managementnetz administriert werden (siehe NET.1.1 Netzarchitektur\ + \ und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11 + ref_id: SYS.1.5.A11.2 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a11 + ref_id: SYS.1.5.A11.3 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden + (siehe NET.1.2 Netzmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A12 + name: "Rechte- und Rollenkonzept f\xFCr die Administration einer virtuellen\ + \ Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.1 + description: "Anhand der in der Planung definierten Aufgaben und Rollen (siehe\ + \ SYS.1.5.A8 Planung einer virtuellen Infrastruktur) SOLLTE f\xFCr die Administration\ + \ der virtuellen IT-Systeme und Netze sowie der Virtualisierungsserver und\ + \ der Managementumgebung ein Rechte- und Rollenkonzept erstellt und umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.2 + description: "Alle Komponenten der virtuellen Infrastruktur SOLLTEN in ein zentrales\ + \ Identit\xE4ts- und Berechtigungsmanagement eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.3 + description: Administrierende von virtuellen Maschinen und Administrierende + der Virtualisierungsumgebung SOLLTEN unterschieden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.4 + description: Sie SOLLTEN mit unterschiedlichen Zugriffsrechten ausgestattet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.5 + description: "Weiterhin SOLLTE die Managementumgebung virtuelle Maschinen zur\ + \ geeigneten Strukturierung gruppieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a12 + ref_id: SYS.1.5.A12.6 + description: Die Rollen der Administrierenden SOLLTEN entsprechend zugeteilt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A13 + name: "Auswahl geeigneter Hardware f\xFCr Virtualisierungsumgebungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a13 + ref_id: SYS.1.5.A13.1 + description: "Die verwendete Hardware SOLLTE kompatibel mit der eingesetzten\ + \ Virtualisierungsl\xF6sung sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a13 + ref_id: SYS.1.5.A13.2 + description: "Dabei SOLLTE darauf geachtet werden, dass das herstellende Unternehmen\ + \ der Virtualisierungsl\xF6sung \xFCber den geplanten Einsatzzeitraum auch\ + \ Support f\xFCr die betriebene Hardware anbietet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A14 + name: "Einheitliche Konfigurationsstandards f\xFCr virtuelle IT-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14 + ref_id: SYS.1.5.A14.1 + description: "F\xFCr die eingesetzten virtuellen IT-Systeme SOLLTEN einheitliche\ + \ Konfigurationsstandards definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14 + ref_id: SYS.1.5.A14.2 + description: Die virtuellen IT-Systeme SOLLTEN nach diesen Standards konfiguriert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14 + ref_id: SYS.1.5.A14.3 + description: "Die Konfigurationsstandards SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a14 + ref_id: SYS.1.5.A14.4 + description: Sie SOLLTEN, falls erforderlich, angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A15 + name: Betrieb von Gast-Betriebssystemen mit unterschiedlichem Schutzbedarf + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15 + ref_id: SYS.1.5.A15.1 + description: Falls virtuelle IT-Systeme mit unterschiedlichem Schutzbedarf gemeinsam + auf einem Virtualisierungsserver betrieben werden, SOLLTE dabei sichergestellt + sein, dass die virtuellen IT-Systeme ausreichend gekapselt und voneinander + isoliert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15 + ref_id: SYS.1.5.A15.2 + description: "Auch SOLLTE dann die Netztrennung in der eingesetzten Virtualisierungsl\xF6\ + sung ausreichend sicher sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a15 + ref_id: SYS.1.5.A15.3 + description: "Ist das nicht der Fall, SOLLTEN weitergehende Sicherheitsma\xDF\ + nahmen identifiziert und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A16 + name: Kapselung der virtuellen Maschinen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a16 + ref_id: SYS.1.5.A16.1 + description: "Die Funktionen \u201EKopieren\u201C und \u201EEinf\xFCgen\u201C\ + \ von Informationen zwischen virtuellen Maschinen SOLLTEN deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A17 + name: "\xDCberwachung des Betriebszustands und der Konfiguration der virtuellen\ + \ Infrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + ref_id: SYS.1.5.A17.1 + description: "Der Betriebszustand der virtuellen Infrastruktur SOLLTE \xFCberwacht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + ref_id: SYS.1.5.A17.2 + description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob noch ausreichend\ + \ Ressourcen verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + ref_id: SYS.1.5.A17.3 + description: "Es SOLLTE auch gepr\xFCft werden, ob es eventuell Konflikte bei\ + \ gemeinsam genutzten Ressourcen eines Virtualisierungsservers gibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + ref_id: SYS.1.5.A17.4 + description: "Weiterhin SOLLTEN die Konfigurationsdateien der virtuellen IT-Systeme\ + \ regelm\xE4\xDFig auf unautorisierte \xC4nderungen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a17 + ref_id: SYS.1.5.A17.5 + description: "Wird die Konfiguration der Virtualisierungsinfrastruktur ge\xE4\ + ndert, SOLLTEN die \xC4nderungen gepr\xFCft und getestet werden, bevor sie\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A19 + name: "Regelm\xE4\xDFige Audits der Virtualisierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19 + ref_id: SYS.1.5.A19.1 + description: "Es SOLLTE regelm\xE4\xDFig auditiert werden, ob der Ist-Zustand\ + \ der virtuellen Infrastruktur dem in der Planung festgelegten Zustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19 + ref_id: SYS.1.5.A19.2 + description: "Auch SOLLTE regelm\xE4\xDFig auditiert werden, ob die Konfiguration\ + \ der virtuellen Komponenten die vorgegebene Standardkonfiguration einh\xE4\ + lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19 + ref_id: SYS.1.5.A19.3 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a19 + ref_id: SYS.1.5.A19.4 + description: Abweichungen SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A20 + name: "Verwendung von hochverf\xFCgbaren Architekturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a20 + ref_id: SYS.1.5.A20.1 + description: "Die virtuelle Infrastruktur SOLLTE hochverf\xFCgbar ausgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a20 + ref_id: SYS.1.5.A20.2 + description: Alle Virtualisierungsserver SOLLTEN in Clustern zusammengeschlossen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A21 + name: "Sichere Konfiguration virtueller IT-Systeme bei erh\xF6htem Schutzbedarf" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a21 + ref_id: SYS.1.5.A21.1 + description: "F\xFCr virtuelle IT-Systeme SOLLTEN \xDCberbuchungsfunktionen\ + \ f\xFCr Ressourcen deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A22 + name: "H\xE4rtung des Virtualisierungsservers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22 + ref_id: SYS.1.5.A22.1 + description: "Der Virtualisierungsserver SOLLTE geh\xE4rtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22 + ref_id: SYS.1.5.A22.2 + description: "Um virtuelle IT-Systeme voreinander und gegen\xFCber dem Virtualisierungsserver\ + \ zus\xE4tzlich zu isolieren und zu kapseln, SOLLTEN Mandatory Access Controls\ + \ (MACs) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a22 + ref_id: SYS.1.5.A22.3 + description: "Ebenso SOLLTE das IT-System, auf dem die Management-Software installiert\ + \ ist, geh\xE4rtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A23 + name: "Rechte-Einschr\xE4nkung der virtuellen Maschinen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23 + ref_id: SYS.1.5.A23.1 + description: "Alle Schnittstellen und Kommunikationskan\xE4le, die es einem\ + \ virtuellen IT-System erlauben, Informationen \xFCber das Host-System auszulesen\ + \ und abzufragen, SOLLTEN deaktiviert sein oder unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23 + ref_id: SYS.1.5.A23.2 + description: "Weiterhin SOLLTE ausschlie\xDFlich der Virtualisierungsserver\ + \ auf seine Ressourcen zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a23 + ref_id: SYS.1.5.A23.3 + description: Virtuelle IT-Systeme SOLLTEN NICHT die sogenannten Pages des Arbeitsspeichers + teilen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A24 + name: Deaktivierung von Snapshots virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a24 + ref_id: SYS.1.5.A24.1 + description: "F\xFCr alle virtuellen IT-Systeme SOLLTE die Snapshot-Funktion\ + \ deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A25 + name: Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a25 + ref_id: SYS.1.5.A25.1 + description: "Direkte Zugriffe auf die emulierten Konsolen virtueller IT-Systeme\ + \ SOLLTEN auf ein Mindestma\xDF reduziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a25 + ref_id: SYS.1.5.A25.2 + description: "Die virtuellen IT-Systeme SOLLTEN m\xF6glichst \xFCber das Netz\ + \ gesteuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A26 + name: Einsatz einer PKI + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a26 + ref_id: SYS.1.5.A26.1 + description: "F\xFCr die mit Zertifikaten gesch\xFCtzte Kommunikation zwischen\ + \ den Komponenten der IT-Infrastruktur SOLLTE eine Public-Key-Infrastruktur\ + \ (PKI) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A27 + name: Einsatz zertifizierter Virtualisierungssoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a27 + ref_id: SYS.1.5.A27.1 + description: "Es SOLLTE zertifizierte Virtualisierungssoftware der Stufe EAL\ + \ 4 oder h\xF6her eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5 + ref_id: SYS.1.5.A28 + name: "Verschl\xFCsselung von virtuellen IT-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.5.a28 + ref_id: SYS.1.5.A28.1 + description: "Alle virtuellen IT-Systeme SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + assessable: false + depth: 1 + ref_id: SYS.1.6 + name: Containerisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A1 + name: Planung des Container-Einsatzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1 + ref_id: SYS.1.6.A1.1 + description: "Bevor Container eingesetzt werden, MUSS zun\xE4chst das Ziel des\ + \ Container-Einsatzes (z. B. Skalierung, Verf\xFCgbarkeit, Wegwerf-Container\ + \ zur Sicherheit oder CI/CD) festgelegt werden, damit alle sicherheitsrelevanten\ + \ Aspekte der Installation, des Betriebs und der Au\xDFerbetriebnahme geplant\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1 + ref_id: SYS.1.6.A1.2 + description: "Bei der Planung SOLLTE auch der Betriebsaufwand ber\xFCcksichtigt\ + \ werden, der durch Container-Einsatz oder Mischbetrieb entsteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a1 + ref_id: SYS.1.6.A1.3 + description: Die Planung MUSS angemessen dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A2 + name: Planung der Verwaltung von Containern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2 + ref_id: SYS.1.6.A2.1 + description: Die Verwaltung der Container DARF NUR nach einer geeigneten Planung + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2 + ref_id: SYS.1.6.A2.2 + description: "Diese Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ + \ Au\xDFerbetriebnahme inklusive Betrieb und Updates umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2 + ref_id: SYS.1.6.A2.3 + description: "Bei der Planung der Verwaltung MUSS ber\xFCcksichtigt werden,\ + \ dass Erstellende eines Containers aufgrund der Auswirkungen auf den Betrieb\ + \ in Teilen wie Administrierende zu betrachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a2 + ref_id: SYS.1.6.A2.4 + description: "Start, Stopp und \xDCberwachung der Container MUSS \xFCber die\ + \ eingesetzte Verwaltungssoftware erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A3 + name: Sicherer Einsatz containerisierter IT-Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.1 + description: "Bei containerisierten IT-Systemen MUSS ber\xFCcksichtigt werden,\ + \ wie sich eine Containerisierung auf die betriebenen IT-Systeme und Anwendungen\ + \ auswirkt, dies betrifft insbesondere die Verwaltung und Eignung der Anwendungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.2 + description: "Es MUSS anhand des Schutzbedarfs der Anwendungen gepr\xFCft werden,\ + \ ob die Anforderungen an die Isolation und Kapselung der containerisierten\ + \ IT-Systeme und der virtuellen Netze sowie der betriebenen Anwendungen hinreichend\ + \ erf\xFCllt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.3 + description: "In diese Pr\xFCfung SOLLTEN die betriebssystemeigenen Mechanismen\ + \ mit einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.4 + description: "F\xFCr die virtuellen Netze nimmt der Host die Funktion einer\ + \ Netzkomponente wahr, die Bausteine der Teilschichten NET.1 Netze und NET.3\ + \ Netzkomponenten M\xDCSSEN entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.5 + description: "Logische und Overlay-Netze M\xDCSSEN ebenfalls betrachtet und\ + \ modelliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.6 + description: "Weiterhin M\xDCSSEN die eingesetzten containerisierten IT-Systeme\ + \ den Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFC\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a3 + ref_id: SYS.1.6.A3.7 + description: "Im laufenden Betrieb SOLLTEN die Performance und der Zustand der\ + \ containerisierten IT-Systeme \xFCberwacht werden (sogenannte Health Checks)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A4 + name: Planung der Bereitstellung und Verteilung von Images + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a4 + ref_id: SYS.1.6.A4.1 + description: Der Prozess zur Bereitstellung und Verteilung von Images MUSS geplant + und angemessen dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A5 + name: Separierung der Administrations- und Zugangsnetze bei Containern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5 + ref_id: SYS.1.6.A5.1 + description: "Die Netze f\xFCr die Administration des Hosts, die Administration\ + \ der Container und deren Zugangsnetze M\xDCSSEN dem Schutzbedarf angemessen\ + \ separiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5 + ref_id: SYS.1.6.A5.2 + description: "Grunds\xE4tzlich SOLLTE mindestens die Administration des Hosts\ + \ nur aus dem Administrationsnetz m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a5 + ref_id: SYS.1.6.A5.3 + description: "Es SOLLTEN nur die f\xFCr den Betrieb notwendigen Kommunikationsbeziehungen\ + \ erlaubt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A6 + name: Verwendung sicherer Images + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.1 + description: "Es MUSS sichergestellt sein, dass s\xE4mtliche verwendeten Images\ + \ nur aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.2 + description: Es MUSS eindeutig identifizierbar sein, wer das Image erstellt + hat. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.3 + description: "Die Quelle MUSS danach ausgew\xE4hlt werden, dass die im Image\ + \ enthaltene Software regelm\xE4\xDFig auf Sicherheitsprobleme gepr\xFCft\ + \ wird und diese behoben sowie dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.4 + description: Die Quelle MUSS diesen Umgang mit Sicherheitsproblemen zusichern + und einhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.5 + description: "Die verwendete Version von Basis-Images DARF NICHT abgek\xFCndigt\ + \ (\u201Edeprecated\") sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.6 + description: "Es M\xDCSSEN eindeutige Versionsnummern angegeben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a6 + ref_id: SYS.1.6.A6.7 + description: "Wenn ein Image mit einer neueren Versionsnummer verf\xFCgbar ist,\ + \ MUSS im Rahmen des Patch- und \xC4nderungsmanagement gepr\xFCft werden,\ + \ ob und wie dieses ausgerollt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A7 + name: Persistenz von Protokollierungsdaten der Container + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a7 + ref_id: SYS.1.6.A7.1 + description: "Die Speicherung der Protokollierungsdaten der Container MUSS au\xDF\ + erhalb des Containers, mindestens auf dem Container-Host, erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A8 + name: Sichere Speicherung von Zugangsdaten bei Containern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.1 + description: "Zugangsdaten M\xDCSSEN so gespeichert und verwaltet werden, dass\ + \ nur berechtigte Personen und Container darauf zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.2 + description: "Insbesondere MUSS sichergestellt sein, dass Zugangsdaten nur an\ + \ besonders gesch\xFCtzten Orten und nicht in den Images liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.3 + description: "Die von der Verwaltungssoftware des Container-Dienstes bereitgestellten\ + \ Verwaltungsmechanismen f\xFCr Zugangsdaten SOLLTEN eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.4 + description: "Mindestens die folgenden Zugangsdaten M\xDCSSEN sicher gespeichert\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.5 + description: "\u2022 Passw\xF6rter jeglicher Accounts," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.6 + description: "\u2022 API-Keys f\xFCr von der Anwendung genutzte Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.7 + description: "\u2022 Schl\xFCssel f\xFCr symmetrische Verschl\xFCsselungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a8 + ref_id: SYS.1.6.A8.8 + description: "\u2022 private Schl\xFCssel bei Public-Key-Authentisierung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A9 + name: "Eignung f\xFCr Container-Betrieb" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9 + ref_id: SYS.1.6.A9.1 + description: "Die Anwendung oder der Dienst, die oder der im Container betrieben\ + \ werden soll, SOLLTE f\xFCr den Container-Betrieb geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9 + ref_id: SYS.1.6.A9.2 + description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass Container h\xE4ufiger\ + \ f\xFCr die darin ausgef\xFChrte Anwendung unvorhergesehen beendet werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a9 + ref_id: SYS.1.6.A9.3 + description: "Die Ergebnisse der Pr\xFCfung nach SYS.1.6.A3 Sicherer Einsatz\ + \ containerisierter IT-Systeme SOLLTE nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A10 + name: "Richtlinie f\xFCr Images und Container-Betrieb" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a10 + ref_id: SYS.1.6.A10.1 + description: Es SOLLTE eine Richtlinie erstellt und angewendet werden, die die + Anforderungen an den Betrieb der Container und die erlaubten Images festlegt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a10 + ref_id: SYS.1.6.A10.2 + description: Die Richtlinie SOLLTE auch Anforderungen an den Betrieb und die + Bereitstellung der Images enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A11 + name: Nur ein Dienst pro Container + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a11 + ref_id: SYS.1.6.A11.1 + description: Jeder Container SOLLTE jeweils nur einen Dienst bereitstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A12 + name: Verteilung sicherer Images + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12 + ref_id: SYS.1.6.A12.1 + description: "Es SOLLTE angemessen dokumentiert werden, welche Quellen f\xFC\ + r Images als vertrauensw\xFCrdig klassifiziert wurden und warum." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12 + ref_id: SYS.1.6.A12.2 + description: "Zus\xE4tzlich SOLLTE der Prozess angemessen dokumentiert werden,\ + \ wie Images bzw. die im Image enthaltenen Softwarebestandteile aus vertrauensw\xFC\ + rdigen Quellen bezogen und schlie\xDFlich f\xFCr den produktiven Betrieb bereitgestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12 + ref_id: SYS.1.6.A12.3 + description: "Die verwendeten Images SOLLTEN \xFCber Metadaten verf\xFCgen,\ + \ die die Funktion und die Historie des Images nachvollziehbar machen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a12 + ref_id: SYS.1.6.A12.4 + description: "Digitale Signaturen SOLLTEN jedes Image gegen Ver\xE4nderung absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A13 + name: Freigabe von Images + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a13 + ref_id: SYS.1.6.A13.1 + description: "Alle Images f\xFCr den produktiven Betrieb SOLLTEN wie Softwareprodukte\ + \ einen Test- und Freigabeprozess gem\xE4\xDF dem Baustein OPS.1.1.6 Software-Test\ + \ und Freigaben durchlaufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A14 + name: Aktualisierung von Images + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a14 + ref_id: SYS.1.6.A14.1 + description: "Bei der Erstellung des Konzeptes f\xFCr das Patch- und \xC4nderungsmanagement\ + \ gem\xE4\xDF OPS.1.1.3 Patch- und \xC4nderungsmanagement SOLLTE entschieden\ + \ werden, wann und wie die Updates der Images bzw. der betriebenen Software\ + \ oder des betriebenen Dienstes ausgerollt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a14 + ref_id: SYS.1.6.A14.2 + description: "Bei persistenten Containern SOLLTE gepr\xFCft werden, ob in Ausnahmef\xE4\ + llen ein Update des jeweiligen Containers geeigneter ist, als den Container\ + \ vollst\xE4ndig neu zu provisionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A15 + name: Limitierung der Ressourcen pro Container + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a15 + ref_id: SYS.1.6.A15.1 + description: "F\xFCr jeden Container SOLLTEN Ressourcen auf dem Host-System,\ + \ wie CPU, fl\xFCchtiger und persistenter Speicher sowie Netzbandbreite, angemessen\ + \ reserviert und limitiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a15 + ref_id: SYS.1.6.A15.2 + description: "Es SOLLTE definiert und dokumentiert sein, wie das System im Fall\ + \ einer \xDCberschreitung dieser Limitierungen reagiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A16 + name: Administrativer Fernzugriff auf Container + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16 + ref_id: SYS.1.6.A16.1 + description: Administrative Zugriffe von einem Container auf den Container-Host + und umgekehrt SOLLTEN prinzipiell wie administrative Fernzugriffe betrachtet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16 + ref_id: SYS.1.6.A16.2 + description: Aus einem Container SOLLTEN KEINE administrativen Fernzugriffe + auf den Container-Host erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16 + ref_id: SYS.1.6.A16.3 + description: "Applikations-Container SOLLTEN keine Fernwartungszug\xE4nge enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a16 + ref_id: SYS.1.6.A16.4 + description: "Administrative Zugriffe auf Applikations-Container SOLLTEN immer\ + \ \xFCber die Container-Runtime erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A17 + name: "Ausf\xFChrung von Containern ohne Privilegien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17 + ref_id: SYS.1.6.A17.1 + description: "Die Container-Runtime und alle instanziierten Container SOLLTEN\ + \ nur von einem nicht-privilegierten System-Account ausgef\xFChrt werden,\ + \ der \xFCber keine erweiterten Rechte f\xFCr den Container-Dienst und das\ + \ Betriebssystem des Host-Systems verf\xFCgt oder diese Rechte erlangen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17 + ref_id: SYS.1.6.A17.2 + description: "Die Container-Runtime SOLLTE durch zus\xE4tzliche Ma\xDFnahmen\ + \ gekapselt werden, etwa durch Verwendung der Virtualisierungserweiterungen\ + \ von CPUs." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17 + ref_id: SYS.1.6.A17.3 + description: "Sofern Container ausnahmsweise Aufgaben des Host-Systems \xFC\ + bernehmen sollen, SOLLTEN die Privilegien auf dem Host-System auf das erforderliche\ + \ Minimum begrenzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a17 + ref_id: SYS.1.6.A17.4 + description: Ausnahmen SOLLTEN angemessen dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A18 + name: Accounts der Anwendungsdienste + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18 + ref_id: SYS.1.6.A18.1 + description: Die System-Accounts innerhalb eines Containers SOLLTEN keine Berechtigungen + auf dem Host-System haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18 + ref_id: SYS.1.6.A18.2 + description: "Wo aus betrieblichen Gr\xFCnden diese Berechtigung notwendig ist,\ + \ SOLLTE diese nur f\xFCr unbedingt notwendige Daten und Systemzugriffe gelten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a18 + ref_id: SYS.1.6.A18.3 + description: "Der Account im Container, der f\xFCr diesen Datenaustausch notwendig\ + \ ist, SOLLTE im Host-System bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A19 + name: Einbinden von Datenspeichern in Container + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19 + ref_id: SYS.1.6.A19.1 + description: "Die Container SOLLTEN NUR auf die f\xFCr den Betrieb notwendigen\ + \ Massenspeicher und Verzeichnisse zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19 + ref_id: SYS.1.6.A19.2 + description: "Nur wenn Berechtigungen ben\xF6tigt werden, SOLLTEN diese explizit\ + \ vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19 + ref_id: SYS.1.6.A19.3 + description: "Sofern die Container-Runtime f\xFCr einen Container lokalen Speicher\ + \ einbindet, SOLLTEN die Zugriffsrechte im Dateisystem auf den Service-Account\ + \ des Containers eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a19 + ref_id: SYS.1.6.A19.4 + description: Werden Netzspeicher verwendet, so SOLLTEN die Berechtigungen auf + dem Netzspeicher selbst gesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A20 + name: Absicherung von Konfigurationsdaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a20 + ref_id: SYS.1.6.A20.1 + description: Die Beschreibung der Container-Konfigurationsdaten SOLLTE versioniert + erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a20 + ref_id: SYS.1.6.A20.2 + description: "\xC4nderungen SOLLTEN nachvollziehbar dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A21 + name: Erweiterte Sicherheitsrichtlinien + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.1 + description: "Erweiterte Richtlinien SOLLTEN die Berechtigungen der Container\ + \ einschr\xE4nken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.2 + description: Mandatory Access Control (MAC) oder eine vergleichbare Technik + SOLLTE diese Richtlinien erzwingen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.3 + description: "Die Richtlinien SOLLTEN mindestens folgende Zugriffe einschr\xE4\ + nken:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.4 + description: "\u2022 eingehende und ausgehende Netzverbindungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.5 + description: "\u2022 Dateisystem-Zugriffe und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.6 + description: "\u2022 Kernel-Anfragen (Syscalls)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a21 + ref_id: SYS.1.6.A21.7 + description: "Die Runtime SOLLTE die Container so starten, dass der Kernel des\ + \ Host-Systems alle nicht von der Richtlinie erlaubten Aktivit\xE4ten der\ + \ Container verhindert (z. B. durch die Einrichtung lokaler Paketfilter oder\ + \ durch Entzug von Berechtigungen) oder zumindest Verst\xF6\xDFe geeignet\ + \ meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A22 + name: "Vorsorge f\xFCr Untersuchungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a22 + ref_id: SYS.1.6.A22.1 + description: "Um Container im Bedarfsfall f\xFCr eine sp\xE4tere Untersuchung\ + \ verf\xFCgbar zu haben, SOLLTE ein Abbild des Zustands nach festgelegten\ + \ Regeln erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A23 + name: "Unver\xE4nderlichkeit der Container" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a23 + ref_id: SYS.1.6.A23.1 + description: "Container SOLLTEN ihr Dateisystem w\xE4hrend der Laufzeit nicht\ + \ ver\xE4ndern k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a23 + ref_id: SYS.1.6.A23.2 + description: Dateisysteme SOLLTEN nicht mit Schreibrechten eingebunden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A24 + name: Hostbasierte Angriffserkennung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.1 + description: "Das Verhalten der Container und der darin betriebenen Anwendungen\ + \ und Dienste SOLLTE \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.2 + description: Abweichungen von einem normalen Verhalten SOLLTEN bemerkt und gemeldet + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.3 + description: "Die Meldungen SOLLTEN im zentralen Prozess zur Behandlung von\ + \ Sicherheitsvorf\xE4llen angemessen behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.4 + description: "Das zu \xFCberwachende Verhalten SOLLTE mindestens umfassen:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.5 + description: "\u2022 Netzverbindungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.6 + description: "\u2022 erstellte Prozesse," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.7 + description: "\u2022 Dateisystem-Zugriffe und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a24 + ref_id: SYS.1.6.A24.8 + description: "\u2022 Kernel-Anfragen (Syscalls)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A25 + name: "Hochverf\xFCgbarkeit von containerisierten Anwendungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a25 + ref_id: SYS.1.6.A25.1 + description: "Bei hohen Verf\xFCgbarkeitsanforderungen der containerisierten\ + \ Anwendungen SOLLTE entschieden werden, auf welcher Ebene die Verf\xFCgbarkeit\ + \ realisiert werden soll (z. B. redundant auf der Ebene des Hosts)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6 + ref_id: SYS.1.6.A26 + name: Weitergehende Isolation und Kapselung von Containern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26 + ref_id: SYS.1.6.A26.1 + description: "Wird eine weitergehende Isolation und Kapselung von Containern\ + \ ben\xF6tigt, dann SOLLTEN folgende Ma\xDFnahmen nach steigender Wirksamkeit\ + \ gepr\xFCft werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26 + ref_id: SYS.1.6.A26.2 + description: "\u2022 feste Zuordnung von Containern zu Container-Hosts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26 + ref_id: SYS.1.6.A26.3 + description: "\u2022 Ausf\xFChrung der einzelnen Container und/oder des Container-Hosts\ + \ mit Hypervisoren," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.6.a26 + ref_id: SYS.1.6.A26.4 + description: "\u2022 feste Zuordnung eines einzelnen Containers zu einem einzelnen\ + \ Container-Host." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + assessable: false + depth: 1 + ref_id: SYS.1.7 + name: IBM Z + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A1 + name: Einsatz restriktiver z/OS-Kennungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.1 + description: "Berechtigungen mit hoher Autorisierung D\xDCRFEN NUR an Benutzende\ + \ vergeben werden, die diese Rechte f\xFCr ihre T\xE4tigkeiten ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.2 + description: "Insbesondere die RACF-Attribute SPECIAL, OPERATIONS, AUDITOR und\ + \ die entsprechenden GROUP-Attribute sowie die User-ID 0 unter den Unix System\ + \ Services (USS) M\xDCSSEN restriktiv gehandhabt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.3 + description: "Die Vergabe und der Einsatz dieser Berechtigungen M\xDCSSEN nachvollziehbar\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.4 + description: Die besondere Kennung IBMUSER DARF NUR bei der Neuinstallation + zur Erzeugung von Kennungen mit Attribut SPECIAL benutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.5 + description: Diese Kennung MUSS danach dauerhaft gesperrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a1 + ref_id: SYS.1.7.A1.6 + description: Um zu vermeiden, dass Administrierende sich dauerhaft aussperren, + MUSS ein Notfall-User-Verfahren eingerichtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A2 + name: Absicherung sicherheitskritischer z/OS-Dienstprogramme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2 + ref_id: SYS.1.7.A2.1 + description: "Sicherheitskritische (Dienst-)Programme und Kommandos sowie deren\ + \ Alias-Namen M\xDCSSEN mit Rechten auf entsprechende RACF-Profile so gesch\xFC\ + tzt werden, dass sie nur von den daf\xFCr vorgesehenen und autorisierten Personen\ + \ benutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2 + ref_id: SYS.1.7.A2.2 + description: "Es MUSS sichergestellt sein, dass (Fremd-)Programme nicht unerlaubt\ + \ installiert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a2 + ref_id: SYS.1.7.A2.3 + description: "Au\xDFerdem D\xDCRFEN Programme NUR von gesicherten Quellen und\ + \ \xFCber nachvollziehbare Methoden (z. B. SMP/E) installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A3 + name: Wartung von Z-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3 + ref_id: SYS.1.7.A3.1 + description: "Die Z-Hardware und -Firmware, das Betriebssystem sowie die verschiedenen\ + \ Programme M\xDCSSEN regelm\xE4\xDFig und bei Bedarf gepflegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3 + ref_id: SYS.1.7.A3.2 + description: "Die hierf\xFCr notwendigen Wartungsaktivit\xE4ten M\xDCSSEN geplant\ + \ und in das \xC4nderungsmanagement (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)\ + \ integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a3 + ref_id: SYS.1.7.A3.3 + description: "Insbesondere D\xDCRFEN Updates durch das herstellende Unternehmen\ + \ NUR unter Kontrolle der Betreibenden durchgef\xFChrt werden, lokal \xFC\ + ber SE (Support Elements) bzw. HMC (Hardware Management Console) oder remote\ + \ \xFCber die RSF (Remote Support Facility)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A4 + name: Schulung des z/OS-Bedienungspersonals + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a4 + ref_id: SYS.1.7.A4.1 + description: "Administrierende, Bedienende und Pr\xFCfende im z/OS-Bereich M\xDC\ + SSEN entsprechend ihren Aufgaben ausgebildet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a4 + ref_id: SYS.1.7.A4.2 + description: "Insbesondere M\xDCSSEN RACF-Administrierende mit dem Sicherheitssystem\ + \ selbst sowie gegebenenfalls mit den weiteren f\xFCr sie relevanten Funktionen\ + \ vertraut sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A5 + name: Einsatz und Sicherung systemnaher z/OS-Terminals + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + ref_id: SYS.1.7.A5.1 + description: "Systemnahe z/OS-Terminals M\xDCSSEN physisch gegen unbefugten\ + \ Zutritt und logisch gegen unbefugten Zugang gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + ref_id: SYS.1.7.A5.2 + description: "Insbesondere die Support-Elemente sowie die HMC-, MCS-, SMCS-,\ + \ Extended MCS- und Monitor-Konsolen M\xDCSSEN dabei ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + ref_id: SYS.1.7.A5.3 + description: "Voreingestellte Passw\xF6rter M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + ref_id: SYS.1.7.A5.4 + description: "Zug\xE4nge \xFCber Webserver und andere Fernzug\xE4nge M\xDCSSEN\ + \ durch Verschl\xFCsselung gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a5 + ref_id: SYS.1.7.A5.5 + description: "Nicht ben\xF6tigte Webserver und Fernzug\xE4nge M\xDCSSEN deaktiviert\ + \ werden, wenn sie nicht ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A6 + name: Einsatz und Sicherung der Remote Support Facility + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + ref_id: SYS.1.7.A6.1 + description: Es MUSS entschieden werden, ob und gegebenenfalls wie RSF eingesetzt + wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + ref_id: SYS.1.7.A6.2 + description: Der Einsatz MUSS im Wartungsvertrag vorgesehen und mit dem Hardware-Support + abgestimmt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + ref_id: SYS.1.7.A6.3 + description: "Es MUSS sichergestellt werden, dass die RSF-Konfiguration nur\ + \ von hierzu autorisierten Personen ge\xE4ndert werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + ref_id: SYS.1.7.A6.4 + description: "Wartungszugriffe f\xFCr Firmware-Modifikationen durch das herstellende\ + \ Unternehmen M\xDCSSEN von Betreibenden explizit freigegeben und nach Beendigung\ + \ wieder deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a6 + ref_id: SYS.1.7.A6.5 + description: "Die RSF-Kommunikation MUSS \xFCber Proxy-Server und zus\xE4tzlich\ + \ \xFCber gesicherte Verbindungen (wie TLS) stattfinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A7 + name: Restriktive Autorisierung unter z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a7 + ref_id: SYS.1.7.A7.1 + description: "Im Rahmen der Grundkonfiguration M\xDCSSEN die Autorisierungsmechanismen\ + \ so konfiguriert werden, dass alle Personen (definierte User-IDs in Gruppen\ + \ gem\xE4\xDF Rolle) nur die Zugriffsm\xF6glichkeiten erhalten, die sie f\xFC\ + r ihre jeweiligen T\xE4tigkeiten ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a7 + ref_id: SYS.1.7.A7.2 + description: "Hierf\xFCr M\xDCSSEN insbesondere APF-Autorisierungen (Authorized\ + \ Program Facility), SVCs (SuperVisor Calls), Ressourcen des z/OS-Betriebssystems,\ + \ IPL-Parameter, Parmlib-Definitionen, Started Tasks und JES2/3-Definitionen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A8 + name: Einsatz des z/OS-Sicherheitssystems RACF + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.1 + description: "Der Einsatz von RACF f\xFCr z/OS MUSS sorgf\xE4ltig geplant werden,\ + \ dazu geh\xF6ren auch die Auswahl des Zeichensatzes, die Festlegung von Regeln\ + \ f\xFCr User-ID und Passwort sowie die Aktivierung der KDFAES-Verschl\xFC\ + sselung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.2 + description: Falls RACF PassTickets verwendet werden, MUSS der Enhanced PassTicket + Algorithmus aktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.3 + description: "Voreingestellte Passw\xF6rter f\xFCr das RVARY-Kommando und f\xFC\ + r neu angelegte User-IDs M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.4 + description: "Falls RACF-Exits eingesetzt werden sollen, MUSS deren Einsatz\ + \ begr\xFCndet, dokumentiert und regelm\xE4\xDFig \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.5 + description: "F\xFCr das Anlegen, Sperren, Freischalten und L\xF6schen von RACF-Kennungen\ + \ M\xDCSSEN geeignete Vorgehensweisen festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.6 + description: 'Nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche + MUSS eine RACF-Kennung gesperrt werden (Ausnahme: Notfall-User-Verfahren).' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.7 + description: "Kennungen von Benutzenden M\xDCSSEN au\xDFerdem nach l\xE4ngerer\ + \ Inaktivit\xE4t gesperrt werden, Kennungen von Verfahren hingegen nicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.8 + description: "Dateien, Started Tasks und sicherheitskritische Programme M\xDC\ + SSEN mittels RACF-Profilen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.9 + description: "Benutzende D\xDCRFEN dar\xFCber NUR die Zugriffsm\xF6glichkeiten\ + \ erhalten, die sie gem\xE4\xDF ihrer Rolle ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a8 + ref_id: SYS.1.7.A8.10 + description: "Es MUSS au\xDFerdem sichergestellt sein, dass Benutzende ihre\ + \ Zugriffsm\xF6glichkeiten nicht unerlaubt erweitern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A9 + name: "Mandantenf\xE4higkeit unter z/OS" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9 + ref_id: SYS.1.7.A9.1 + description: Falls ein z/OS-System von Mandanten genutzt werden soll, MUSS ein + RACF-Konzept zur Mandantentrennung erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9 + ref_id: SYS.1.7.A9.2 + description: "Die Daten und Anwendungen der Mandanten M\xDCSSEN durch RACF-Profile\ + \ getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9 + ref_id: SYS.1.7.A9.3 + description: "Hohe Berechtigungen im RACF (SPECIAL, OPERATIONS, AUDITOR) und\ + \ \xE4ndernden Zugriff auf Dateien des z/OS-Betriebssystems D\xDCRFEN NUR\ + \ Mitarbeitende der Betreibenden haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a9 + ref_id: SYS.1.7.A9.4 + description: "Die Wartungsfenster, in denen das z/OS-System nicht zur Verf\xFC\ + gung steht, M\xDCSSEN mit allen Mandanten, die auf dem betroffenen System\ + \ arbeiten, abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A11 + name: Schutz der Session-Daten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a11 + ref_id: SYS.1.7.A11.1 + description: "Session-Daten f\xFCr die Verbindungen der RACF-Administrierenden\ + \ und m\xF6glichst auch der anderen Mitarbeitenden M\xDCSSEN verschl\xFCsselt\ + \ \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A14 + name: Berichtswesen zum sicheren Betrieb von z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14 + ref_id: SYS.1.7.A14.1 + description: "Zur \xDCberwachung aller sicherheitsrelevanten T\xE4tigkeiten\ + \ unter z/OS SOLLTE ein Prozess eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14 + ref_id: SYS.1.7.A14.2 + description: "In diesem SOLLTE festgelegt sein, welche Sicherheitsreports regelm\xE4\ + \xDFig erstellt werden, welche Tools und Datenquellen dabei herangezogen werden\ + \ (z. B. System Management Facility) und wie mit Abweichungen von den Vorgaben\ + \ umgegangen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a14 + ref_id: SYS.1.7.A14.3 + description: "Die Sicherheitsreports SOLLTEN bei \xDCberpr\xFCfungen als Information\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A16 + name: "\xDCberwachung von z/OS-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + ref_id: SYS.1.7.A16.1 + description: "W\xE4hrend des Betriebs SOLLTE das z/OS-System auf wichtige Meldungen,\ + \ Ereignisse und die Einhaltung von Grenzwerten \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + ref_id: SYS.1.7.A16.2 + description: "Insbesondere Fehlermeldungen auf der HMC-Konsole, WTOR- und wichtige\ + \ WTO-Nachrichten (Write To Operator/with Reply), System Tasks, Sicherheitsverletzungen,\ + \ Kapazit\xE4tsgrenzen sowie die Systemauslastung SOLLTEN ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + ref_id: SYS.1.7.A16.3 + description: "F\xFCr die \xDCberwachung SOLLTEN au\xDFerdem mindestens die MCS-Konsole,\ + \ die System Management Facility, das SYSLOG und die relevanten Protokolldaten\ + \ der Anwendungen herangezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + ref_id: SYS.1.7.A16.4 + description: "Es SOLLTE gew\xE4hrleistet sein, dass alle wichtigen Meldungen\ + \ zeitnah erkannt werden und, falls notwendig, in geeigneter Weise darauf\ + \ reagiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a16 + ref_id: SYS.1.7.A16.5 + description: Systemnachrichten SOLLTEN dabei so gefiltert werden, dass nur die + wichtigen Nachrichten dargestellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A17 + name: "Synchronisierung von z/OS-Passw\xF6rtern und RACF-Kommandos" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17 + ref_id: SYS.1.7.A17.1 + description: "Falls z/OS-Passw\xF6rter oder RACF-Kommandos \xFCber mehrere z/OS-Systeme\ + \ automatisch synchronisiert werden sollen, SOLLTEN die jeweiligen Systeme\ + \ m\xF6glichst weitgehend standardisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17 + ref_id: SYS.1.7.A17.2 + description: "Die Sperrung von Kennungen durch Fehleingaben von Passw\xF6rtern\ + \ SOLLTE NICHT synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17 + ref_id: SYS.1.7.A17.3 + description: "Das Risiko durch Synchronisation sicherheitskritischer RACF-Kommandos\ + \ SOLLTE ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a17 + ref_id: SYS.1.7.A17.4 + description: "Die Verwaltungsfunktion des Synchronisationsprogramms SOLLTE nur\ + \ autorisierten Mitarbeitenden im Rahmen ihrer T\xE4tigkeit zur Verf\xFCgung\ + \ stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A18 + name: "Rollenkonzept f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18 + ref_id: SYS.1.7.A18.1 + description: "Mindestens f\xFCr die Systemverwaltung von z/OS-Systemen SOLLTE\ + \ ein Rollenkonzept eingef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18 + ref_id: SYS.1.7.A18.2 + description: "F\xFCr alle wichtigen Rollen der Systemverwaltung SOLLTEN au\xDF\ + erdem Stellvertretungsregelungen vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a18 + ref_id: SYS.1.7.A18.3 + description: Die RACF-Attribute SPECIAL, OPERATIONS und AUDITOR SOLLTEN verschiedenen + Personen zugeordnet werden (Rollentrennung). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A19 + name: Absicherung von z/OS-Transaktionsmonitoren + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19 + ref_id: SYS.1.7.A19.1 + description: Falls Transaktionsmonitore oder Datenbanken unter z/OS eingesetzt + werden, wie beispielsweise IMS, CICS oder Db2, SOLLTEN diese mittels RACF + abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19 + ref_id: SYS.1.7.A19.2 + description: "Dies gilt auch f\xFCr die zugeh\xF6rigen System-Kommandos und\ + \ -Dateien." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19 + ref_id: SYS.1.7.A19.3 + description: Interne Sicherheitsmechanismen der Transaktionsmonitore und Datenbanken + SOLLTEN hingegen nur dort angewandt werden, wo es keine entsprechenden RACF-Funktionen + gibt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a19 + ref_id: SYS.1.7.A19.4 + description: "Benutzende und Administrierende SOLLTEN nur die Zugriffsrechte\ + \ erhalten, die sie f\xFCr ihre jeweilige T\xE4tigkeit ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A20 + name: Stilllegung von z/OS-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20 + ref_id: SYS.1.7.A20.1 + description: "Bei der Stilllegung von z/OS-Systemen SOLLTEN andere z/OS-Systeme,\ + \ Verb\xFCnde und Verwaltungssysteme so angepasst werden, dass sie nicht mehr\ + \ auf das stillgelegte System verweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20 + ref_id: SYS.1.7.A20.2 + description: "Auch die Auswirkungen auf die Software-Lizenzen SOLLTEN ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20 + ref_id: SYS.1.7.A20.3 + description: "Datentr\xE4ger, die vertrauliche Daten enthalten, SOLLTEN so gel\xF6\ + scht werden, dass ihr Inhalt nicht mehr reproduziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a20 + ref_id: SYS.1.7.A20.4 + description: "F\xFCr den Fall, dass defekte Datentr\xE4ger durch das herstellende\ + \ Unternehmen ausgetauscht werden, SOLLTE vertraglich vereinbart sein, dass\ + \ diese Festplatten sicher vernichtet oder so gel\xF6scht werden, dass ihr\ + \ Inhalt nicht mehr reproduziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A21 + name: Absicherung des Startvorgangs von z/OS-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + ref_id: SYS.1.7.A21.1 + description: "Die f\xFCr den Startvorgang eines z/OS-Systems notwendigen Parameter\ + \ SOLLTEN dokumentiert und dem Operating-Personal bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + ref_id: SYS.1.7.A21.2 + description: "Au\xDFerdem SOLLTEN die erforderlichen Hardware-Konfigurationen\ + \ vorliegen, wie die IOCDS-Datei (Input/Output Configuration Data Set) und\ + \ die LPARs (Logical Partitions)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + ref_id: SYS.1.7.A21.3 + description: "Eine z/OS-Master-Konsole und eine Backup-Konsole SOLLTEN definiert\ + \ sein, um Nachrichten kontrollieren zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + ref_id: SYS.1.7.A21.4 + description: "Nach dem Startvorgang SOLLTE anhand einer Pr\xFCfliste kontrolliert\ + \ werden, ob der Systemstatus den Soll-Vorgaben entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a21 + ref_id: SYS.1.7.A21.5 + description: "Dar\xFCber hinaus SOLLTE eine Fallback-Konfiguration vorgehalten\ + \ werden, mit der das System vor der letzten \xC4nderung erfolgreich gestartet\ + \ worden ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A22 + name: Absicherung der Betriebsfunktionen von z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22 + ref_id: SYS.1.7.A22.1 + description: "Alle die Produktion beeinflussenden Wartungsarbeiten sowie dynamische\ + \ und sonstige \xC4nderungen SOLLTEN nur im Rahmen des \xC4nderungsmanagements\ + \ durchgef\xFChrt werden (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22 + ref_id: SYS.1.7.A22.2 + description: "SDSF (System Display and Search Facility) und \xE4hnliche Funktionen\ + \ sowie die Priorit\xE4ten-Steuerung f\xFCr Jobs SOLLTEN mittels RACF vor\ + \ unberechtigtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22 + ref_id: SYS.1.7.A22.3 + description: "z/OS-System-Kommandos und besonders sicherheitsrelevante Befehle\ + \ f\xFCr dynamische \xC4nderungen SOLLTEN \xFCber RACF gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a22 + ref_id: SYS.1.7.A22.4 + description: "Bei der dynamischen Definition von Hardware SOLLTE sichergestellt\ + \ werden, dass eine Ressource im Wirkbetrieb nicht mehreren Einzelsystemen\ + \ au\xDFerhalb eines Parallel Sysplex zugeordnet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A23 + name: Absicherung von z/VM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.1 + description: Falls z/VM eingesetzt wird, SOLLTE das Produkt in das Patch-Management + integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.2 + description: "Alle voreingestellten Passw\xF6rter SOLLTEN ge\xE4ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.3 + description: "Die Rolle des z/VM-Systemadministrierenden SOLLTE nur an Personen\ + \ vergeben werden, die diese Berechtigungen ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.4 + description: "Die Sicherheitsadministration von z/VM SOLLTE \xFCber RACF f\xFC\ + r z/VM erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.5 + description: "Passw\xF6rter von realen Usern und Guest-Usern SOLLTEN mittels\ + \ RACF f\xFCr z/VM verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.6 + description: "Die sicherheitskritischen Systemkommandos von z/VM SOLLTEN \xFC\ + ber RACF gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.7 + description: "Unter z/VM definierte virtuelle Maschinen SOLLTEN nur die f\xFC\ + r die jeweiligen Aufgaben notwendigen Ressourcen erhalten und strikt voneinander\ + \ getrennt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.8 + description: "Unter z/VM SOLLTEN nur die ben\xF6tigten Dienste gestartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a23 + ref_id: SYS.1.7.A23.9 + description: "Wenn \xDCberpr\xFCfungen durchgef\xFChrt werden, SOLLTEN die Journaling-Funktion\ + \ von z/VM und die Audit-Funktionen von RACF eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A24 + name: "Datentr\xE4gerverwaltung unter z/OS-Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.1 + description: "Dateien, Programme und Funktionen zur Verwaltung von Datentr\xE4\ + gern sowie die Datentr\xE4ger selbst (Festplatten und B\xE4nder) einschlie\xDF\ + lich Master-Katalog SOLLTEN mittels RACF-Profilen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.2 + description: "Es SOLLTEN Sicherungskopien aller wichtigen Dateien zur Verf\xFC\ + gung stehen, die in einer Notfallsituation zur\xFCckgespielt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.3 + description: "Die Zuordnung von Datentr\xE4gern zu den Z-Systemen SOLLTE nachvollziehbar\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.4 + description: "Es SOLLTE gew\xE4hrleistet werden, dass je nach Volumen und Zeitfenster\ + \ gen\xFCgend Bandstationen zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.5 + description: Beim Einsatz des HSM (Hierarchical Storage Manager) SOLLTE festgelegt + werden, welche Festplatten gesichert werden sollen und wie die Sicherung erfolgen + soll. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a24 + ref_id: SYS.1.7.A24.6 + description: "B\xE4nder, die vom HSM verwaltet werden, SOLLTEN NICHT anderweitig\ + \ bearbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A25 + name: Festlegung der Systemdimensionierung von z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25 + ref_id: SYS.1.7.A25.1 + description: "Die Grenzen f\xFCr die maximale Belastung der Ressourcen (Anzahl\ + \ der CPUs, Speicher, Bandbreite etc.) SOLLTEN den Hardware-Voraussetzungen\ + \ entsprechend festgelegt und den zust\xE4ndigen Administrierenden und Anwendungszust\xE4\ + ndigen bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25 + ref_id: SYS.1.7.A25.2 + description: "Die Anzahl der zur Verf\xFCgung stehenden Magnetband-Stationen,\ + \ die Zeiten, zu denen Anwendungen auf Magnetband-Stationen zugreifen und\ + \ die ben\xF6tigten Festplattenkapazit\xE4ten SOLLTEN mit den Anwendungszust\xE4\ + ndigen abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a25 + ref_id: SYS.1.7.A25.3 + description: "Die Festplattenkapazit\xE4ten SOLLTEN au\xDFerdem vom Space-Management\ + \ \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A26 + name: "WorkLoad Management f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a26 + ref_id: SYS.1.7.A26.1 + description: "Die Programme, Dateien und Kommandos des WorkLoad Managers (WLM)\ + \ sowie die daf\xFCr notwendigen Couple Data Sets SOLLTEN mittels RACF gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a26 + ref_id: SYS.1.7.A26.2 + description: "Dabei SOLLTE sichergestellt sein, dass die Berechtigungen zum\ + \ \xC4ndern des WLM \xFCber z/OS-Kommandos und \xFCber die SDSF-Schnittstelle\ + \ gleich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A27 + name: Zeichensatzkonvertierung bei z/OS-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27 + ref_id: SYS.1.7.A27.1 + description: "Wenn Textdateien zwischen z/OS-Systemen und anderen Systemen \xFC\ + bertragen werden, SOLLTE darauf geachtet werden, dass eventuell eine Zeichensatzkonvertierung\ + \ erforderlich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27 + ref_id: SYS.1.7.A27.2 + description: Dabei SOLLTE die korrekte Umsetzungstabelle verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27 + ref_id: SYS.1.7.A27.3 + description: "Bei der \xDCbertragung von Programm-Quellcode SOLLTE gepr\xFC\ + ft werden, ob alle Zeichen richtig \xFCbersetzt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a27 + ref_id: SYS.1.7.A27.4 + description: "Bei der \xDCbertragung von Bin\xE4rdaten SOLLTE hingegen sichergestellt\ + \ sein, dass keine Zeichensatzkonvertierung stattfindet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A28 + name: "Lizenzschl\xFCssel-Management f\xFCr z/OS-Software" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28 + ref_id: SYS.1.7.A28.1 + description: "F\xFCr Lizenzschl\xFCssel, deren G\xFCltigkeit zeitlich begrenzt\ + \ ist, SOLLTE ein Verfahren zur rechtzeitigen Erneuerung eingerichtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28 + ref_id: SYS.1.7.A28.2 + description: "Die Laufzeiten der Lizenzschl\xFCssel SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a28 + ref_id: SYS.1.7.A28.3 + description: "Die Dokumentation SOLLTE allen betroffenen Administrierenden zur\ + \ Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A29 + name: Absicherung von Unix System Services bei z/OS-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.1 + description: "Die Parameter der Unix System Services (USS) SOLLTEN entsprechend\ + \ der funktionalen und sicherheitstechnischen Vorgaben sowie unter Ber\xFC\ + cksichtigung der verf\xFCgbaren Ressourcen eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.2 + description: "HFS- und zFS-Dateien, die USS-Dateisysteme enthalten, SOLLTEN\ + \ \xFCber RACF-Profile abgesichert und in das Datensicherungskonzept einbezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.3 + description: "Au\xDFerdem SOLLTE das Root-Dateisystem mit der Option Read-Only\ + \ gemounted werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.4 + description: "Es SOLLTE im USS-Dateisystem KEINE APF-Autorisierung (Authorized\ + \ Program Facility) \xFCber das File Security Packet (FSP) geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.5 + description: Stattdessen SOLLTEN die Module von APF-Dateien des z/OS-Betriebssystems + geladen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.6 + description: Zwischen USS-User-IDs und z/OS-User-IDs SOLLTE es eine eindeutige + Zuordnung geben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.7 + description: "Berechtigungen unter USS SOLLTEN \xFCber die RACF-Klasse UNIXPRIV\ + \ vergeben werden und NICHT durch Vergabe der UID 0." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a29 + ref_id: SYS.1.7.A29.8 + description: "F\xFCr \xDCberpr\xFCfungen und das Monitoring der USS SOLLTEN\ + \ die gleichen Mechanismen wie f\xFCr z/OS genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A30 + name: Absicherung der z/OS-Trace-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a30 + ref_id: SYS.1.7.A30.1 + description: "Die Trace-Funktionen von z/OS wie GTF (Generalized Trace Facility),\ + \ NetView oder ACF/TAP (Advanced Communication Function/Trace Analysis Program)\ + \ und die entsprechenden Dateien SOLLTEN so gesch\xFCtzt werden, dass nur\ + \ die zust\xE4ndigen und autorisierten Mitarbeitenden darauf Zugriff haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a30 + ref_id: SYS.1.7.A30.2 + description: Die Trace-Funktion von NetView SOLLTE deaktiviert sein und nur + im Bedarfsfall aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A31 + name: "Notfallvorsorge f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a31 + ref_id: SYS.1.7.A31.1 + description: Es SOLLTE ein Verfahren zur Wiederherstellung einer funktionierenden + RACF-Datenbank vorgesehen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a31 + ref_id: SYS.1.7.A31.2 + description: "Weiterhin SOLLTEN eine Kopie des z/OS-Betriebssystems als z/OS-Backup-System\ + \ und, unabh\xE4ngig von Produktivsystem, ein z/OS-Notfallsystem vorgehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A32 + name: "Festlegung von Standards f\xFCr z/OS-Systemdefinitionen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32 + ref_id: SYS.1.7.A32.1 + description: "Es SOLLTEN Standards und Namenskonventionen f\xFCr z/OS-Systemdefinitionen\ + \ festgelegt und dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32 + ref_id: SYS.1.7.A32.2 + description: "Die Dokumentationen SOLLTEN den Administrierenden zur Verf\xFC\ + gung stehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32 + ref_id: SYS.1.7.A32.3 + description: "Die Einhaltung der Standards SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a32 + ref_id: SYS.1.7.A32.4 + description: "Standards SOLLTEN insbesondere f\xFCr Datei-, Datenbank-, Job-\ + \ und Volume-Namen sowie f\xFCr Application-, System- und User-IDs definiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A33 + name: Trennung von Test- und Produktionssystemen unter z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a33 + ref_id: SYS.1.7.A33.1 + description: "Es SOLLTEN technische Ma\xDFnahmen ergriffen werden, um Entwicklungs-\ + \ und Testsysteme von Produktionssystemen unter z/OS zu trennen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a33.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a33 + ref_id: SYS.1.7.A33.2 + description: "Dabei SOLLTEN eventuelle Zugriffsm\xF6glichkeiten \xFCber gemeinsame\ + \ Festplatten und den Parallel Sysplex beachtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A34 + name: "Batch-Job-Planung f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a34 + ref_id: SYS.1.7.A34.1 + description: "Wenn ein z/OS-System eine gr\xF6\xDFere Anzahl von Batch-Jobs\ + \ verarbeitet, SOLLTE f\xFCr die Ablaufsteuerung der Batch-Jobs ein Job-Scheduler\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a34 + ref_id: SYS.1.7.A34.2 + description: "Der Job-Scheduler sowie die zugeh\xF6rigen Dateien und Tools SOLLTEN\ + \ mittels RACF geeignet gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A35 + name: Einsatz von RACF-Exits + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a35 + ref_id: SYS.1.7.A35.1 + description: Falls RACF-Exits eingesetzt werden, SOLLTEN die sicherheitstechnischen + und betrieblichen Auswirkungen analysiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a35.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a35 + ref_id: SYS.1.7.A35.2 + description: "Die RACF-Exits SOLLTEN au\xDFerdem \xFCber das SMP/E (System Modification\ + \ Program/Enhanced) als USERMOD installiert und \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A36 + name: Interne Kommunikation von Betriebssystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a36 + ref_id: SYS.1.7.A36.1 + description: "Die Kommunikation von Betriebssystemen, z/OS oder Linux, die entweder\ + \ im LPAR-Mode oder unter z/VM auf derselben Z-Hardware installiert sind,\ + \ SOLLTE \xFCber interne Kan\xE4le erfolgen, d. h. \xFCber HiperSockets oder\ + \ virtuelle CTC-Verbindungen (Channel-to-Channel)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A37 + name: Parallel Sysplex unter z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.1 + description: "Anhand der Verf\xFCgbarkeits- und Skalierbarkeitsanforderungen\ + \ SOLLTE entschieden werden, ob ein Parallel Sysplex (Cluster von z/OS-Systemen)\ + \ eingesetzt wird und gegebenenfalls welche Redundanzen dabei vorgesehen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.2 + description: "Bei der Dimensionierung der Ressourcen SOLLTEN die Anforderungen\ + \ der Anwendungen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.3 + description: "Die Software und die Definitionen der LPARs des Sysplex, einschlie\xDF\ + lich RACF, SOLLTEN synchronisiert oder als gemeinsam benutzte Dateien bereitgestellt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.4 + description: "Es SOLLTE sichergestellt sein, dass alle LPARs des Sysplex auf\ + \ die Couple Data Sets zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.5 + description: "Die Couple Data Sets sowie alle sicherheitskritischen Programme\ + \ und Kommandos zur Verwaltung des Sysplex SOLLTEN mittels RACF gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.6 + description: "Au\xDFerdem SOLLTE ein GRS-Verbund (Global Resource Serialization)\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.7 + description: Die Festplatten des Sysplexes SOLLTEN strikt von den Festplatten + anderer Systeme getrennt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a37 + ref_id: SYS.1.7.A37.8 + description: Der System Logger SOLLTE mit Staging Data Set eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7 + ref_id: SYS.1.7.A38 + name: Einsatz des VTAM Session Management Exit unter z/OS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38 + ref_id: SYS.1.7.A38.1 + description: "Falls ein VTAM Session Management Exit eingesetzt werden soll,\ + \ SOLLTE gew\xE4hrleistet werden, dass dadurch der sichere und performante\ + \ Betrieb nicht beeintr\xE4chtigt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38 + ref_id: SYS.1.7.A38.2 + description: "Der Exit SOLLTE mindestens eine nachtr\xE4gliche Kontrolle der\ + \ abgewiesenen Login-Versuche erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38 + ref_id: SYS.1.7.A38.3 + description: "Au\xDFerdem SOLLTE sich der Exit dynamisch konfigurieren lassen\ + \ und das Regelwerk von einer externen Datei nachladen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.7.a38 + ref_id: SYS.1.7.A38.4 + description: "Funktionen, Kommandos und Dateien im Zusammenhang mit dem Exit\ + \ SOLLTEN durch RACF gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + assessable: false + depth: 1 + ref_id: SYS.1.8 + name: "Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A1 + name: Geeignete Aufstellung von Speichersystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1 + ref_id: SYS.1.8.A1.1 + description: "Die IT-Komponenten von Speicherl\xF6sungen M\xDCSSEN in verschlossenen\ + \ R\xE4umen aufgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1 + ref_id: SYS.1.8.A1.2 + description: "Zu diesen R\xE4umen D\xDCRFEN NUR Berechtigte Zutritt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1 + ref_id: SYS.1.8.A1.3 + description: Zudem MUSS eine sichere Stromversorgung sichergestellt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a1 + ref_id: SYS.1.8.A1.4 + description: "Die Vorgaben des herstellenden Unternehmens zur empfohlenen Umgebungstemperatur\ + \ und Luftfeuchte M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A2 + name: "Sichere Grundkonfiguration von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2 + ref_id: SYS.1.8.A2.1 + description: "Bevor eine Speicherl\xF6sung produktiv eingesetzt wird, MUSS sichergestellt\ + \ sein, dass alle eingesetzten Softwarekomponenten und die Firmware aktuell\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2 + ref_id: SYS.1.8.A2.2 + description: Danach MUSS eine sichere Grundkonfiguration hergestellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2 + ref_id: SYS.1.8.A2.3 + description: "Nicht genutzte Schnittstellen des Speichersystems M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a2 + ref_id: SYS.1.8.A2.4 + description: "Die Dateien zur Default-Konfiguration, zur vorgenommenen Grundkonfiguration\ + \ und zur aktuellen Konfiguration SOLLTEN redundant und gesch\xFCtzt aufbewahrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A4 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4 + ref_id: SYS.1.8.A4.1 + description: "Alle Administrations- und Management-Zug\xE4nge der Speichersysteme\ + \ M\xDCSSEN eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4 + ref_id: SYS.1.8.A4.2 + description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4 + ref_id: SYS.1.8.A4.3 + description: Es SOLLTEN als sicher geltende Protokolle eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a4 + ref_id: SYS.1.8.A4.4 + description: "Sollten dennoch unsichere Protokolle verwendet werden, MUSS f\xFC\ + r die Administration ein eigenes Administrationsnetz (siehe NET.1.1 Netzarchitektur\ + \ und -design) genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A6 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ SOLLTE eine spezifische Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.2 + description: "Darin SOLLTEN nachvollziehbar Vorgaben beschrieben sein, wie Speicherl\xF6\ + sungen sicher geplant, administriert, installiert, konfiguriert und betrieben\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.3 + description: "Die Richtlinie SOLLTE allen f\xFCr Speicherl\xF6sungen zust\xE4\ + ndigen Administrierenden bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Vorgaben abgewichen,\ + \ SOLLTE dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.6 + description: Gegebenenfalls SOLLTE sie aktualisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a6 + ref_id: SYS.1.8.A6.7 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A7 + name: "Planung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.1 + description: "Bevor Speicherl\xF6sungen in einer Institution eingesetzt werden,\ + \ SOLLTE eine Anforderungsanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.2 + description: "In der Anforderungsanalyse SOLLTEN unter anderem die Themen Performance\ + \ und Kapazit\xE4t betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.3 + description: "Auf Basis der ermittelten Anforderungen SOLLTE dann eine detaillierte\ + \ Planung f\xFCr Speicherl\xF6sungen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.4 + description: "Darin SOLLTEN folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.5 + description: "\u2022 Auswahl von herstellenden Unternehmen und Liefernden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.6 + description: "\u2022 Entscheidung f\xFCr oder gegen zentrale Verwaltungssysteme\ + \ (Management-Systeme)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.7 + description: "\u2022 Planung des Netzanschlusses," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.8 + description: "\u2022 Planung der Infrastruktur sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a7 + ref_id: SYS.1.8.A7.9 + description: "\u2022 Integration in bestehende Prozesse." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A8 + name: "Auswahl einer geeigneten Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + ref_id: SYS.1.8.A8.1 + description: "Die technischen Grundlagen unterschiedlicher Speicherl\xF6sungen\ + \ SOLLTEN detailliert beleuchtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + ref_id: SYS.1.8.A8.2 + description: "Die Auswirkungen dieser technischen Grundlagen auf den m\xF6glichen\ + \ Einsatz in der Institution SOLLTEN gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + ref_id: SYS.1.8.A8.3 + description: "Die M\xF6glichkeiten und Grenzen der verschiedenen Speichersystemarten\ + \ SOLLTEN f\xFCr die Verantwortlichen der Institution transparent dargestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + ref_id: SYS.1.8.A8.4 + description: "Die Entscheidungskriterien f\xFCr eine Speicherl\xF6sung SOLLTEN\ + \ nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a8 + ref_id: SYS.1.8.A8.5 + description: "Ebenso SOLLTE die Entscheidung f\xFCr die Auswahl einer Speicherl\xF6\ + sung nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A9 + name: "Auswahl von Liefernden f\xFCr eine Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + ref_id: SYS.1.8.A9.1 + description: "Anhand der spezifizierten Anforderungen an eine Speicherl\xF6\ + sung SOLLTEN geeignete Liefernde ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + ref_id: SYS.1.8.A9.2 + description: Die Auswahlkriterien und die Entscheidung SOLLTEN nachvollziehbar + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + ref_id: SYS.1.8.A9.3 + description: "Au\xDFerdem SOLLTEN Aspekte der Wartung und Instandhaltung schriftlich\ + \ in sogenannten Service-Level-Agreements (SLAs) festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + ref_id: SYS.1.8.A9.4 + description: Die SLAs SOLLTEN eindeutig und quantifizierbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a9 + ref_id: SYS.1.8.A9.5 + description: Es SOLLTE genau geregelt werden, wann der Vertrag mit den Liefernden + endet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A10 + name: Erstellung und Pflege eines Betriebshandbuchs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10 + ref_id: SYS.1.8.A10.1 + description: Es SOLLTE ein Betriebshandbuch erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10 + ref_id: SYS.1.8.A10.2 + description: "Darin SOLLTEN alle Regelungen, Anforderungen und Einstellungen\ + \ dokumentiert werden, die erforderlich sind, um Speicherl\xF6sungen zu betreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a10 + ref_id: SYS.1.8.A10.3 + description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A11 + name: "Sicherer Betrieb einer Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11 + ref_id: SYS.1.8.A11.1 + description: "Das Speichersystem SOLLTE hinsichtlich der Verf\xFCgbarkeit der\ + \ internen Anwendungen, der Systemauslastung sowie kritischer Ereignisse \xFC\ + berwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11 + ref_id: SYS.1.8.A11.2 + description: "Weiterhin SOLLTEN f\xFCr Speicherl\xF6sungen feste Wartungsfenster\ + \ definiert werden, in denen \xC4nderungen durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a11 + ref_id: SYS.1.8.A11.3 + description: "Insbesondere Firmware- oder Betriebssystemupdates von Speichersystemen\ + \ oder den Netzkomponenten einer Speicherl\xF6sung SOLLTEN ausschlie\xDFlich\ + \ innerhalb eines solchen Wartungsfensters durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A13 + name: "\xDCberwachung und Verwaltung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13 + ref_id: SYS.1.8.A13.1 + description: "Speicherl\xF6sungen SOLLTEN \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13 + ref_id: SYS.1.8.A13.2 + description: "Dabei SOLLTEN alle erhobenen Daten (Nachrichten) vorrangig daraufhin\ + \ gepr\xFCft werden, ob die Vorgaben des Betriebshandbuchs eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13 + ref_id: SYS.1.8.A13.3 + description: Die wesentlichen Nachrichten SOLLTEN mit Nachrichtenfilter herausgefiltert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a13 + ref_id: SYS.1.8.A13.4 + description: "Einzelne Komponenten der Speicherl\xF6sung und des Gesamtsystems\ + \ SOLLTEN zentral verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A14 + name: Absicherung eines SANs durch Segmentierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.1 + description: Ein SAN SOLLTE segmentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.2 + description: Es SOLLTE ein Konzept erarbeitet werden, das die SAN-Ressourcen + den jeweiligen Servern zuordnet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.3 + description: "Hierf\xFCr SOLLTE anhand der Sicherheitsanforderungen und des\ + \ Administrationsaufwands entschieden werden, welche Segmentierung in welcher\ + \ Implementierung (z. B. FC-SANs oder iSCSI-Speichernetze) eingesetzt werden\ + \ soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.4 + description: "Die aktuelle Ressourcenzuordnung SOLLTE mithilfe von Verwaltungswerkzeugen\ + \ einfach und \xFCbersichtlich erkennbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.5 + description: Weiterhin SOLLTE die aktuelle Zoning-Konfiguration dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a14 + ref_id: SYS.1.8.A14.6 + description: "Die Dokumentation SOLLTE auch in Notf\xE4llen verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A15 + name: "Sichere Trennung von Mandanten in Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.1 + description: "Es SOLLTE definiert und nachvollziehbar dokumentiert werden, welche\ + \ Anforderungen die Institution an die Mandantenf\xE4higkeit einer Speicherl\xF6\ + sung stellt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.2 + description: "Die eingesetzten Speicherl\xF6sungen SOLLTEN diese dokumentierten\ + \ Anforderungen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.3 + description: Im Block-Storage-Umfeld SOLLTE LUN Masking eingesetzt werden, um + Mandanten voneinander zu trennen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.4 + description: "In Fileservice-Umgebungen SOLLTE es m\xF6glich sein, mit virtuellen\ + \ Fileservern zu agieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.5 + description: Dabei SOLLTE jedem Mandanten ein eigener Fileservice zugeordnet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.6 + description: "Beim Einsatz von IP oder iSCSI SOLLTEN die Mandanten \xFCber eine\ + \ Segmentierung im Netz voneinander getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a15 + ref_id: SYS.1.8.A15.7 + description: Wird Fibre Channel eingesetzt, SOLLTE mithilfe von VSANs und Soft-Zoning + separiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A16 + name: "Sicheres L\xF6schen in SAN-Umgebungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a16 + ref_id: SYS.1.8.A16.1 + description: "In mandantenf\xE4higen Speichersystemen SOLLTE sichergestellt\ + \ werden, dass Logical Unit Numbers (LUNs), die einem bestimmten Mandanten\ + \ zugeordnet sind, gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A17 + name: Dokumentation der Systemeinstellungen von Speichersystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + ref_id: SYS.1.8.A17.1 + description: Alle Systemeinstellungen von Speichersystemen SOLLTEN dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + ref_id: SYS.1.8.A17.2 + description: Die Dokumentation SOLLTE die technischen und organisatorischen + Vorgaben sowie alle spezifischen Konfigurationen der Speichersysteme der Institution + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + ref_id: SYS.1.8.A17.3 + description: "Sofern die Dokumentation der Systemeinstellungen vertrauliche\ + \ Informationen beinhaltet, SOLLTEN diese vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + ref_id: SYS.1.8.A17.4 + description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a17 + ref_id: SYS.1.8.A17.5 + description: Sie SOLLTE immer aktuell sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A18 + name: Sicherheitsaudits und Berichtswesen bei Speichersystemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18 + ref_id: SYS.1.8.A18.1 + description: "Alle eingesetzten Speichersysteme SOLLTEN regelm\xE4\xDFig auditiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18 + ref_id: SYS.1.8.A18.2 + description: "Daf\xFCr SOLLTE ein entsprechender Prozess eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18 + ref_id: SYS.1.8.A18.3 + description: "Es SOLLTE geregelt werden, welche Sicherheitsreports mit welchen\ + \ Inhalten regelm\xE4\xDFig zu erstellen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a18 + ref_id: SYS.1.8.A18.4 + description: "Zudem SOLLTE auch geregelt werden, wie mit Abweichungen von Vorgaben\ + \ umgegangen wird und wie oft und in welcher Tiefe Audits durchgef\xFChrt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A19 + name: "Aussonderung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19 + ref_id: SYS.1.8.A19.1 + description: "Werden ganze Speicherl\xF6sungen oder einzelne Komponenten einer\ + \ Speicherl\xF6sung nicht mehr ben\xF6tigt, SOLLTEN alle darauf vorhandenen\ + \ Daten auf andere Speicherl\xF6sungen \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19 + ref_id: SYS.1.8.A19.2 + description: "Hierf\xFCr SOLLTE eine \xDCbergangsphase eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19 + ref_id: SYS.1.8.A19.3 + description: "Anschlie\xDFend SOLLTEN alle Nutzdaten und Konfigurationsdaten\ + \ sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a19 + ref_id: SYS.1.8.A19.4 + description: "Aus allen relevanten Dokumenten SOLLTEN alle Verweise auf die\ + \ au\xDFer Betrieb genommene Speicherl\xF6sung entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A20 + name: "Notfallvorsorge und Notfallreaktion f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.1 + description: "Es SOLLTE ein Notfallplan f\xFCr die eingesetzte Speicherl\xF6\ + sung erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.2 + description: Der Notfallplan SOLLTE genau beschreiben, wie in bestimmten Notfallsituationen + vorzugehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.3 + description: "Auch SOLLTEN Handlungsanweisungen in Form von Ma\xDFnahmen und\ + \ Kommandos enthalten sein, die die Fehleranalyse und Fehlerkorrektur unterst\xFC\ + tzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.4 + description: Um Fehler zu beheben, SOLLTEN geeignete Werkzeuge eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.5 + description: "Regelm\xE4\xDFige \xDCbungen und Tests SOLLTEN anhand des Notfallplans\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a20 + ref_id: SYS.1.8.A20.6 + description: "Nach den \xDCbungen und Tests sowie nach einem tats\xE4chlichen\ + \ Notfall SOLLTEN die dabei erzeugten Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A21 + name: Einsatz von Speicherpools zur Trennung von Mandanten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21 + ref_id: SYS.1.8.A21.1 + description: Mandanten SOLLTEN Speicherressourcen aus unterschiedlichen sogenannten + Speicherpools zugewiesen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21 + ref_id: SYS.1.8.A21.2 + description: Dabei SOLLTE ein Speichermedium immer nur einem einzigen Pool zugewiesen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a21 + ref_id: SYS.1.8.A21.3 + description: Die logischen Festplatten (LUNs), die aus einem solchen Pool generiert + werden, SOLLTEN nur einem einzigen Mandanten zugeordnet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A22 + name: "Einsatz einer hochverf\xFCgbaren SAN-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22 + ref_id: SYS.1.8.A22.1 + description: "Eine hochverf\xFCgbare SAN-L\xF6sung SOLLTE eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22 + ref_id: SYS.1.8.A22.2 + description: "Die eingesetzten Replikationsmechanismen SOLLTEN den Verf\xFC\ + gbarkeitsanforderungen der Institution an die Speicherl\xF6sung entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22 + ref_id: SYS.1.8.A22.3 + description: "Auch die Konfiguration der Speicherl\xF6sung SOLLTE den Verf\xFC\ + gbarkeitsanforderungen gerecht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a22 + ref_id: SYS.1.8.A22.4 + description: "Au\xDFerdem SOLLTE ein Test- und Konsolidierungssystem vorhanden\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A23 + name: "Einsatz von Verschl\xFCsselung f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23 + ref_id: SYS.1.8.A23.1 + description: "Alle in Speicherl\xF6sungen abgelegten Daten SOLLTEN verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23 + ref_id: SYS.1.8.A23.2 + description: "Es SOLLTE festgelegt werden, auf welchen Ebenen (Data-in-Motion\ + \ und Data-at-Rest) verschl\xFCsselt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a23 + ref_id: SYS.1.8.A23.3 + description: "Dabei SOLLTE beachtet werden, dass die Verschl\xFCsselung auf\ + \ dem Transportweg auch bei Replikationen und Backup-Traffic relevant ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A24 + name: "Sicherstellung der Integrit\xE4t der SAN-Fabric" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + ref_id: SYS.1.8.A24.1 + description: "Um die Integrit\xE4t der SAN-Fabric sicherzustellen, SOLLTEN Protokolle\ + \ mit zus\xE4tzlichen Sicherheitsmerkmalen eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + ref_id: SYS.1.8.A24.2 + description: "Bei den folgenden Protokollen SOLLTEN deren Sicherheitseigenschaften\ + \ ber\xFCcksichtigt und entsprechende Konfigurationen verwendet werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + ref_id: SYS.1.8.A24.3 + description: "\u2022 Diffie Hellman Challenge Handshake Authentication Protocol\ + \ (DH-CHAP)," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + ref_id: SYS.1.8.A24.4 + description: "\u2022 Fibre Channel Authentication Protocol (FCAP) und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a24 + ref_id: SYS.1.8.A24.5 + description: "\u2022 Fibre Channel Password Authentication Protocol (FCPAP)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A25 + name: "Mehrfaches \xDCberschreiben der Daten einer LUN" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a25 + ref_id: SYS.1.8.A25.1 + description: "In SAN-Umgebungen SOLLTEN Daten gel\xF6scht werden, indem die\ + \ zugeh\xF6rigen Speichersegmente einer LUN mehrfach \xFCberschrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8 + ref_id: SYS.1.8.A26 + name: Absicherung eines SANs durch Hard-Zoning + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.8.a26 + ref_id: SYS.1.8.A26.1 + description: Um SANs zu segmentieren, SOLLTE Hard-Zoning eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + assessable: false + depth: 1 + ref_id: SYS.1.9 + name: 'Terminalserver ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Terminalservern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.1 + description: "F\xFCr den Einsatz von Terminalservern MUSS eine Sicherheitsrichtlinie\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.2 + description: "Bei der Erstellung der Sicherheitsrichtlinie M\xDCSSEN mindestens\ + \ folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.3 + description: "\u2022 Anwendungen, die auf Terminalservern bereitgestellt werden\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.4 + description: "\u2022 Anwendungen, die gemeinsam auf Terminalservern bereitgestellt\ + \ werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.5 + description: "\u2022 Anforderungen an die Sicherheit von Clients, auf denen\ + \ die Terminal-Client-Software ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.6 + description: "\u2022 physisches Umfeld, in dem die Clients eingesetzt werden\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.7 + description: "\u2022 Netze, aus denen heraus Kommunikationsverbindungen zu den\ + \ Terminalservern initiiert werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.8 + description: "\u2022 Netze, in die Anwendungen auf den Terminalservern kommunizieren\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.9 + description: "\u2022 Kommunikationsprotokolle, die zwischen Clients und Terminalservern\ + \ erlaubt sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.10 + description: "\u2022 Verschl\xFCsselungsmechanismen und Authentisierungsmethoden,\ + \ die zwischen Clients und Terminalservern zu benutzen sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.11 + description: "\u2022 M\xF6glichkeiten, wie Dateien und Anwendungsdaten zus\xE4\ + tzlich zur Bildschirmausgabe \xFCber das Terminalserver-Protokoll \xFCbertragen\ + \ werden d\xFCrfen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a1 + ref_id: SYS.1.9.A1.12 + description: "\u2022 Peripherieger\xE4te, die neben Ein- und Ausgabeger\xE4\ + ten zus\xE4tzlich an den Client angebunden werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A2 + name: Planung des Einsatzes von Terminalservern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.1 + description: "F\xFCr die Anwendungen, die auf einem Terminalserver bereitgestellt\ + \ werden sollen, M\xDCSSEN die Anforderungen an die Funktionalit\xE4t (Anforderungsprofil)\ + \ ermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.2 + description: "F\xFCr alle ben\xF6tigten Funktionen MUSS sichergestellt werden,\ + \ dass diese tats\xE4chlich auch \xFCber den Terminalserver abgerufen werden\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.3 + description: "Dar\xFCber hinaus MUSS getestet werden, ob die Anwendungen die\ + \ Anforderungen bei der Bereitstellung \xFCber den Terminalserver grundlegend\ + \ erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.4 + description: Die Gesamtzahl der einzurichtenden Benutzenden MUSS prognostiziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.5 + description: "Dabei M\xDCSSEN alle Anwendungen mitgez\xE4hlt werden, die auf\ + \ dem Terminalserver bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.6 + description: Die Anzahl der Benutzenden, die den Terminalserver potenziell gleichzeitig + benutzen, MUSS prognostiziert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.7 + description: "Diese Prognosen M\xDCSSEN den Einsatzzeitraum des Terminalservers\ + \ abdecken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.8 + description: "Abh\xE4ngig von der prognostizierten Anzahl der Benutzenden und\ + \ den Anforderungen der bereitgestellten Anwendungen M\xDCSSEN die Leistungsanforderungen\ + \ (z. B. hinsichtlich CPU und Arbeitsspeicher) an den Terminalserver ermittelt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.9 + description: Der Terminalserver MUSS anhand dieser Leistungsanforderungen dimensioniert + und ausgestattet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a2 + ref_id: SYS.1.9.A2.10 + description: "Das Lizenzschema der eingesetzten Anwendungen MUSS daraufhin gepr\xFC\ + ft werden, ob es daf\xFCr geeignet ist, diese Anwendungen auf Terminalservern\ + \ einzusetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A3 + name: "Festlegung der Rollen und Berechtigungen f\xFCr den Terminalserver" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.1 + description: "Auf Terminalservern D\xDCRFEN KEINE Sammelkonten verwendet werden,\ + \ wenn dies gegen interne Regelungen oder Lizenzbedingungen verst\xF6\xDF\ + t." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.2 + description: "Bei der Festlegung von Rollen und Berechtigungen f\xFCr die Benutzung\ + \ des Terminalservers M\xDCSSEN alle auf dem Terminalserver bereitgestellten\ + \ Anwendungen und deren Anforderungen mit ausreichenden Berechtigungen ausgestattet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.3 + description: "Die Rollen und Berechtigungen M\xDCSSEN so vergeben werden, dass\ + \ zwischen Terminalserver-Sitzungen nur in dem Umfang kommuniziert werden\ + \ kann, wie es f\xFCr die Funktionalit\xE4t der Anwendung erforderlich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.4 + description: "Mindestens M\xDCSSEN die Berechtigungen f\xFCr folgende T\xE4\ + tigkeiten festgelegt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.5 + description: "\u2022 Ausf\xFChren von Anwendungen in fremdem Kontext (insbesondere\ + \ als \u201Eroot\u201C)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.6 + description: "\u2022 Zugriff auf betriebssystemspezifische Funktionen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.7 + description: "\u2022 Zugriff auf das Dateisystem des Terminalservers," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.8 + description: "\u2022 Zugriff auf Schnittstellen und Dateisystem des verwendeten\ + \ zugreifenden Clients," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.9 + description: "\u2022 Zugriff der auf dem Terminalserver bereitgestellten Anwendungen\ + \ auf nachgelagerte Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.10 + description: "\u2022 Datei- und Objekttransfer zwischen Clients und Terminalservern\ + \ (z. B. zum Drucken am Client) sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a3 + ref_id: SYS.1.9.A3.11 + description: "\u2022 Anbindung von Peripherieger\xE4ten am Client." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A4 + name: Sichere Konfiguration des Terminalservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.1 + description: "Abh\xE4ngig von den Anforderungen an die Sicherheit und Funktionalit\xE4\ + t der bereitgestellten Anwendungen M\xDCSSEN Vorgaben f\xFCr die Konfiguration\ + \ von Terminalservern erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.2 + description: "Diese Vorgaben M\xDCSSEN vollst\xE4ndig umgesetzt und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.3 + description: "Es MUSS gepr\xFCft werden, ob das Unternehmen, das den Terminalserver\ + \ herstellt, Vorgaben oder Empfehlungen zur sicheren Konfiguration oder H\xE4\ + rtung bereitstellt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.4 + description: "Ist dies der Fall, M\xDCSSEN diese f\xFCr die Erstellung der Konfigurationsvorgaben\ + \ angemessen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.5 + description: "Sowohl die Konfigurationsvorgaben als auch deren Umsetzung M\xDC\ + SSEN regelm\xE4\xDFig gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.6 + description: "Es M\xDCSSEN mindestens folgende Punkte f\xFCr die Konfigurationsvorgaben\ + \ ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.7 + description: "\u2022 Rollen und Berechtigungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.8 + description: "\u2022 Umfang der Verschl\xFCsselung des Terminalserver-Protokolls" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.9 + description: "\u2022 ben\xF6tigte Authentisierungsfunktionen des Terminalserver-Protokolls" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.10 + description: "\u2022 M\xF6glichkeit zum Anzeigen der Ausgabe fremder Sitzungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.11 + description: "\u2022 Kommunikation zwischen Anwendungen in den Terminalserver-Sitzungen\ + \ und Anwendungen auf anderen Servern" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a4 + ref_id: SYS.1.9.A4.12 + description: "\u2022 Kommunikation zwischen Terminalserver und anderen Servern" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A5 + name: Planung der eingesetzten Clients und Terminal-Client-Software + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.1 + description: "Es MUSS festgelegt werden, \xFCber welche Terminal-Client-Software\ + \ auf den Terminalserver zugegriffen werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.2 + description: "Zus\xE4tzlich MUSS festgelegt werden, auf welchen Clients diese\ + \ Software ausgef\xFChrt werden darf, um sich mit dem Terminalserver zu verbinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.3 + description: "Hierbei M\xDCSSEN mindestens die folgenden Punkte ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.4 + description: "\u2022 Einsatz von Thin Clients oder Fat Clients," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.5 + description: "\u2022 Hardware-Konfiguration der zugreifenden Clients sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.6 + description: "\u2022 Betriebssystem der zugreifenden Clients." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.7 + description: "Es MUSS festgelegt werden, welche Software neben der Terminal-Client-Software\ + \ zus\xE4tzlich auf den Clients zugelassen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a5 + ref_id: SYS.1.9.A5.8 + description: "Zus\xE4tzlich MUSS festgelegt werden, ob ein Client parallel Anwendungen\ + \ auf unterschiedlichen Terminalservern benutzen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A6 + name: Planung der verwendeten Netze + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.1 + description: "Die Netze, \xFCber die Clients mit Terminalservern kommunizieren,\ + \ M\xDCSSEN anhand der Anforderungen der bereitgestellten Anwendungen geplant\ + \ und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.2 + description: "Hierbei M\xDCSSEN mindestens folgende Punkte ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.3 + description: "\u2022 zu erwartende Anzahl gleichzeitiger Terminalserver-Sitzungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.4 + description: "\u2022 ben\xF6tigte \xDCbertragungskapazit\xE4t," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.5 + description: "\u2022 maximal vertretbarer Paketverlust," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.6 + description: "\u2022 maximal vertretbarer Jitter sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a6 + ref_id: SYS.1.9.A6.7 + description: "\u2022 maximal tolerierbare Latenzzeit des Netzes." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A7 + name: Sicherer Zugriff auf den Terminalserver + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + ref_id: SYS.1.9.A7.1 + description: "Es MUSS festgelegt werden, \xFCber welche Netze zwischen zugreifendem\ + \ Client und Terminalserver kommuniziert werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + ref_id: SYS.1.9.A7.2 + description: "Zus\xE4tzlich MUSS festgelegt werden, wie die Kommunikation abgesichert\ + \ werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + ref_id: SYS.1.9.A7.3 + description: "Es MUSS festgelegt werden, ob und wie mit dem Terminalserver-Protokoll\ + \ verschl\xFCsselt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + ref_id: SYS.1.9.A7.4 + description: "Falls das Terminalserver-Protokoll in diesem Fall keine ausreichende\ + \ Verschl\xFCsselung bietet, MUSS die Kommunikation zus\xE4tzlich abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a7 + ref_id: SYS.1.9.A7.5 + description: "Falls die Clients und der Terminalserver \xFCber unzureichend\ + \ vertrauensw\xFCrdige Netze kommunizieren, M\xDCSSEN sich sowohl die Benutzenden\ + \ als auch der Terminalserver beim Kommunikationsaufbau authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A8 + name: Sichere Zuordnung des Terminalservers zu Netzsegmenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8 + ref_id: SYS.1.9.A8.1 + description: Der Terminalserver MUSS in dedizierten Netzsegmenten oder in Client-Netzsegmenten + positioniert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8 + ref_id: SYS.1.9.A8.2 + description: "Innerhalb von Client-Netzsegmenten M\xDCSSEN Terminalserver identifizierbar\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a8 + ref_id: SYS.1.9.A8.3 + description: "Eine bestehende Netztrennung DARF NICHT \xFCber einen Terminalserver\ + \ umgangen werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A9 + name: Sensibilisierung der Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.1 + description: "Alle Benutzenden von Terminalservern M\xDCSSEN \xFCber den sicheren\ + \ Umgang mit Terminalservern sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.2 + description: "Den Benutzenden M\xDCSSEN mindestens die folgenden Inhalte vermittelt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.3 + description: "\u2022 grunds\xE4tzliche Funktionsweise und die Auswirkungen von\ + \ Latenz und verf\xFCgbarer Bandbreite auf die Bedienbarkeit" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.4 + description: "\u2022 m\xF6gliche und erlaubte Speicherorte von Daten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.5 + description: "\u2022 zugelassene Austauschm\xF6glichkeiten von Informationen\ + \ zwischen dem Betriebssystem des Clients und dem Terminalserver (z. B. Zwischenablage)" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.6 + description: "\u2022 Auswirkung des eigenen Ressourcenverbrauchs auf die zur\ + \ Verf\xFCgung stehenden Ressourcen f\xFCr andere Benutzende" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.7 + description: "\u2022 eingerichtete Rollen und Berechtigungen f\xFCr Terminalserver-Zugriffe" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.8 + description: "\u2022 genutzte Authentisierung und Autorisierung der Benutzenden\ + \ f\xFCr die zur Verf\xFCgung gestellten Anwendungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a9 + ref_id: SYS.1.9.A9.9 + description: "\u2022 maximale Sitzungsdauer und automatische Abmeldevorg\xE4\ + nge" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A10 + name: "Einsatz eines zentralen Identit\xE4ts- und Berechtigungsmanagements f\xFC\ + r Terminalserver" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a10 + ref_id: SYS.1.9.A10.1 + description: "F\xFCr die Benutzung von Terminalservern SOLLTE ein zentrales\ + \ System zum Identit\xE4ts- und Berechtigungsmanagement eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A11 + name: Sichere Konfiguration von Profilen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11 + ref_id: SYS.1.9.A11.1 + description: "Benutzende SOLLTEN ihre spezifischen Einstellungen (Benutzendenprofile)\ + \ NICHT derart \xE4ndern d\xFCrfen, dass die Informationssicherheit oder die\ + \ Nutzung des Terminalservers eingeschr\xE4nkt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11 + ref_id: SYS.1.9.A11.2 + description: "F\xFCr die Benutzendenprofile SOLLTE eine geeignete maximale Gr\xF6\ + \xDFe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a11 + ref_id: SYS.1.9.A11.3 + description: "Wenn Verb\xFCnde aus Terminalservern eingesetzt werden, SOLLTEN\ + \ die Benutzendenprofile zentral abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A12 + name: Automatisches Beenden inaktiver Sitzungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12 + ref_id: SYS.1.9.A12.1 + description: Inaktive Sitzungen auf Terminalservern SOLLTEN nach einem vordefinierten + Zeitraum beendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12 + ref_id: SYS.1.9.A12.2 + description: "Der Zeitraum, w\xE4hrend dessen eine Sitzung maximal aktiv bleiben\ + \ soll, SOLLTE abh\xE4ngig von der jeweiligen Benutzendengruppe festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12 + ref_id: SYS.1.9.A12.3 + description: "Falls eine Sitzung automatisch beendet wird, SOLLTEN die Betroffenen\ + \ dar\xFCber benachrichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a12 + ref_id: SYS.1.9.A12.4 + description: "Wenn eine Sitzung beendet wird, SOLLTE auch der oder die Benutzende\ + \ automatisch vom Betriebssystem des Terminalservers abgemeldet werden, sofern\ + \ die Sitzung am Betriebssystem nicht weiterhin f\xFCr laufende Anwendungen\ + \ ben\xF6tigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A13 + name: Protokollierung bei Terminalservern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + ref_id: SYS.1.9.A13.1 + description: "F\xFCr die Terminalserver SOLLTE entschieden werden, welche Ereignisse\ + \ an eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ + \ \xFCbermittelt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + ref_id: SYS.1.9.A13.2 + description: 'Hierbei SOLLTEN mindestens die folgenden spezifischen Ereignisse + an Terminalservern protokolliert werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + ref_id: SYS.1.9.A13.3 + description: "\u2022 Anbindung von Peripherieger\xE4ten der zugreifenden Clients\ + \ \xFCber das Terminalserver-Protokoll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + ref_id: SYS.1.9.A13.4 + description: "\u2022 Aktionen auf dem Terminalserver durch zugreifende Clients,\ + \ die erweiterte Rechte ben\xF6tigen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a13 + ref_id: SYS.1.9.A13.5 + description: "\u2022 Konfigurations\xE4nderungen mit Auswirkungen auf den Terminalserver-Dienst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A14 + name: Monitoring des Terminalservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.1 + description: "Der Terminalserver SOLLTE zentral \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.2 + description: "Hierf\xFCr SOLLTEN mindestens folgende Parameter \xFCberwacht\ + \ werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.3 + description: "\u2022 Auslastung der Ressourcen des Terminalservers," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.4 + description: "\u2022 Auslastung der Netzschnittstellen des Terminalservers," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.5 + description: "\u2022 verf\xFCgbare und genutzte Bandbreite der verbundenen Clients\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.6 + description: "\u2022 Latenz an den verbundenen Clients unter Ber\xFCcksichtigung\ + \ der jeweiligen Anforderungsprofile." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.7 + description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ + \ ermittelt werden (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a14 + ref_id: SYS.1.9.A14.8 + description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A15 + name: "H\xE4rtung des Terminalservers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15 + ref_id: SYS.1.9.A15.1 + description: "Nicht ben\xF6tigte Anwendungen auf dem Terminalserver SOLLTEN\ + \ entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15 + ref_id: SYS.1.9.A15.2 + description: "Ist das nicht m\xF6glich, SOLLTE deren Ausf\xFChrung unterbunden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a15 + ref_id: SYS.1.9.A15.3 + description: "Der Zugriff aus einer Sitzung auf Peripherieger\xE4te SOLLTE auf\ + \ die ben\xF6tigten Ger\xE4te eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A16 + name: Optimierung der Kompression + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a16 + ref_id: SYS.1.9.A16.1 + description: "Der Grad der Kompression bei der \xDCbertragung der Daten von\ + \ und zum Terminalserver SOLLTE entsprechend der Anforderungen der jeweiligen\ + \ Anwendung an die grafische Qualit\xE4t optimiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a16 + ref_id: SYS.1.9.A16.2 + description: "Die Anforderungen der bereitgestellten Anwendungen an Genauigkeit\ + \ von grafischen Elementen, an Farbtreue und die f\xFCr die Nutzung notwendige\ + \ Bildrate SOLLTEN ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A17 + name: "Verschl\xFCsselung der \xDCbertragung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a17 + ref_id: SYS.1.9.A17.1 + description: "Jegliche Kommunikation zwischen Client und Terminalserver SOLLTE\ + \ geeignet verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a17 + ref_id: SYS.1.9.A17.2 + description: "Dabei SOLLTEN sichere Protokolle gem\xE4\xDF BSI TR-02102 verwendet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A18 + name: Nutzung von Thin Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a18 + ref_id: SYS.1.9.A18.1 + description: Physische Thin Clients SOLLTEN verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a18 + ref_id: SYS.1.9.A18.2 + description: Es SOLLTEN NUR Thin Clients eingesetzt werden, die das Unternehmen, + das die Terminal-Client-Software herstellt, als kompatibel ausgewiesen hat. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A19 + name: Erweitertes Monitoring des Terminalservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19 + ref_id: SYS.1.9.A19.1 + description: "F\xFCr den Terminalserver SOLLTE kontinuierlich \xFCberwacht werden,\ + \ ob die in SYS.1.9.A13 Protokollierung bei Terminalservern beschriebenen\ + \ Ereignisse auftreten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19 + ref_id: SYS.1.9.A19.2 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTE der Terminalserver darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19 + ref_id: SYS.1.9.A19.3 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse hinsichtlich Anomalien\ + \ inklusive Angriffsmustern automatisiert analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a19 + ref_id: SYS.1.9.A19.4 + description: "Der Terminalserver SOLLTE regelm\xE4\xDFig auf Schwachstellen\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A20 + name: "Unterschiedliche Terminalserver f\xFCr unterschiedliche Gruppen von Benutzenden\ + \ oder Gesch\xE4ftsprozesse" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20 + ref_id: SYS.1.9.A20.1 + description: "Die Benutzenden von Terminalservern SOLLTEN anhand \xE4hnlicher\ + \ Berechtigungen und ben\xF6tigter Anwendungen gruppiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20 + ref_id: SYS.1.9.A20.2 + description: "Ein Terminalserver SOLLTE NICHT mehreren Gruppen von Benutzenden\ + \ zur Verf\xFCgung gestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a20 + ref_id: SYS.1.9.A20.3 + description: "Ist dies nicht m\xF6glich, SOLLTEN dedizierte Terminalserver pro\ + \ Gesch\xE4ftsprozess eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A21 + name: "Nutzung hochverf\xFCgbarer IT-Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21 + ref_id: SYS.1.9.A21.1 + description: "Der Terminalserver SOLLTE hochverf\xFCgbar betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21 + ref_id: SYS.1.9.A21.2 + description: Dazu SOLLTEN der Terminalserver sowie dessen Netzanbindung redundant + ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21 + ref_id: SYS.1.9.A21.3 + description: Die verwendeten Terminalserver SOLLTEN im Verbund betrieben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a21 + ref_id: SYS.1.9.A21.4 + description: "F\xFCr die zugreifenden Clients SOLLTEN Ersatzger\xE4te bereitgehalten\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9 + ref_id: SYS.1.9.A22 + name: Unterbinden des Transfers von Anwendungsdaten zwischen Client und Terminalserver + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a22 + ref_id: SYS.1.9.A22.1 + description: Der Transfer von Anwendungsdaten zwischen dem Client und dem Terminalserver + SOLLTE deaktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.1.9.a22 + ref_id: SYS.1.9.A22.2 + description: Auch der Transfer der Zwischenablage SOLLTE deaktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + assessable: false + depth: 1 + ref_id: SYS.2.1 + name: Allgemeiner Client + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A1 + name: Sichere Authentisierung von Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + ref_id: SYS.2.1.A1.1 + description: "Um den Client zu nutzen, M\xDCSSEN sich die Benutzenden gegen\xFC\ + ber dem IT-System authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + ref_id: SYS.2.1.A1.2 + description: "Benutzende M\xDCSSEN eine Bildschirmsperre verwenden, wenn sie\ + \ den Client unbeaufsichtigt betreiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + ref_id: SYS.2.1.A1.3 + description: "Die Bildschirmsperre SOLLTE automatisch aktiviert werden, wenn\ + \ f\xFCr eine festgelegte Zeitspanne keine Aktion durch Benutzende durchgef\xFC\ + hrt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + ref_id: SYS.2.1.A1.4 + description: "Die Bildschirmsperre DARF NUR durch eine erfolgreiche Authentisierung\ + \ wieder deaktiviert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a1 + ref_id: SYS.2.1.A1.5 + description: "Benutzende SOLLTEN verpflichtet werden, sich nach Aufgabenerf\xFC\ + llung vom IT-System bzw. von der IT-Anwendung abzumelden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A3 + name: Aktivieren von Autoupdate-Mechanismen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a3 + ref_id: SYS.2.1.A3.1 + description: "Automatische Update-Mechanismen (Autoupdate) M\xDCSSEN aktiviert\ + \ werden, sofern nicht andere Mechanismen wie regelm\xE4\xDFige manuelle Wartung\ + \ oder ein zentrales Softwareverteilungssystem f\xFCr Updates eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a3 + ref_id: SYS.2.1.A3.2 + description: "Wenn f\xFCr Autoupdate-Mechanismen ein Zeitintervall vorgegeben\ + \ werden kann, SOLLTE mindestens t\xE4glich automatisch nach Updates gesucht\ + \ und diese installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A6 + name: Einsatz von Schutzprogrammen gegen Schadsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.1 + description: "Abh\xE4ngig vom installierten Betriebssystem und von anderen vorhandenen\ + \ Schutzmechanismen des Clients MUSS gepr\xFCft werden, ob Schutzprogramme\ + \ gegen Schadsoftware eingesetzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.2 + description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein solcher\ + \ Schutz notwendig ist, aus den spezifischen Betriebssystem-Bausteinen des\ + \ IT-Grundschutz-Kompendiums ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.3 + description: "Schutzprogramme auf den Clients M\xDCSSEN so konfiguriert sein,\ + \ dass Benutzende weder sicherheitsrelevante \xC4nderungen an den Einstellungen\ + \ vornehmen noch die Schutzprogramme deaktivieren k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.4 + description: "Das Schutzprogramm MUSS nach Schadsoftware suchen, wenn Dateien\ + \ ausgetauscht oder \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.5 + description: "Der gesamte Datenbestand eines Clients MUSS regelm\xE4\xDFig auf\ + \ Schadsoftware gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a6 + ref_id: SYS.2.1.A6.6 + description: Wenn ein Client infiziert ist, MUSS im Offlinebetrieb untersucht + werden, ob ein gefundenes Schadprogramm bereits vertrauliche Daten gesammelt, + Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A8 + name: Absicherung des Bootvorgangs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.1 + description: "Der Startvorgang des IT-Systems (\u201EBooten\u201C) MUSS gegen\ + \ Manipulation abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.2 + description: Es MUSS festgelegt werden, von welchen Medien gebootet werden darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.3 + description: "Es SOLLTE entschieden werden, ob und wie der Bootvorgang kryptografisch\ + \ gesch\xFCtzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.4 + description: "Es MUSS sichergestellt werden, dass nur Administrierende die Clients\ + \ von einem anderen als den voreingestellten Laufwerken oder externen Speichermedien\ + \ booten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.5 + description: "NUR Administrierende D\xDCRFEN von wechselbaren oder externen\ + \ Speichermedien booten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.6 + description: "Die Konfigurationseinstellungen des Bootvorgangs D\xDCRFEN NUR\ + \ durch Administrierende ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a8 + ref_id: SYS.2.1.A8.7 + description: "Alle nicht ben\xF6tigten Funktionen in der Firmware des Client-Systems\ + \ M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A9 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9 + ref_id: SYS.2.1.A9.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTEN die Anforderungen an allgemeine Clients konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9 + ref_id: SYS.2.1.A9.2 + description: "Die Richtlinie SOLLTE allen Benutzenden sowie allen Personen,\ + \ die an der Beschaffung und dem Betrieb der Clients beteiligt sind, bekannt\ + \ und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9 + ref_id: SYS.2.1.A9.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a9 + ref_id: SYS.2.1.A9.4 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A10 + name: Planung des Einsatzes von Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10 + ref_id: SYS.2.1.A10.1 + description: Es SOLLTE im Vorfeld geplant werden, wo und wie Clients eingesetzt + werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10 + ref_id: SYS.2.1.A10.2 + description: Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die typischerweise + direkt mit den Begriffen IT- oder Informationssicherheit in Verbindung gebracht + werden, sondern auch betriebliche Aspekte, die Anforderungen im Bereich der + Sicherheit nach sich ziehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a10 + ref_id: SYS.2.1.A10.3 + description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ + \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ + \ nachvollzogen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A11 + name: Beschaffung von Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11 + ref_id: SYS.2.1.A11.1 + description: "Bevor Clients beschafft werden, SOLLTE eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11 + ref_id: SYS.2.1.A11.2 + description: "Die jeweiligen herstellenden Unternehmen von IT- und Betriebssystem\ + \ SOLLTEN f\xFCr den gesamten geplanten Nutzungszeitraum Patches f\xFCr Schwachstellen\ + \ zeitnah zur Verf\xFCgung stellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11 + ref_id: SYS.2.1.A11.3 + description: "Auf Betriebssysteme, die \xFCber ein Rolling-Release-Modell aktualisiert\ + \ werden, SOLLTE verzichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a11 + ref_id: SYS.2.1.A11.4 + description: "Die zu beschaffenden Systeme SOLLTEN \xFCber eine Firmware-Konfigurationsoberfl\xE4\ + che f\xFCr UEFI SecureBoot und, sofern vorhanden, f\xFCr das TPM verf\xFC\ + gen, die eine Kontrolle durch die Institution gew\xE4hrleistet und so den\ + \ selbstverwalteten Betrieb von SecureBoot und des TPM erm\xF6glicht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A13 + name: "Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ + hrung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13 + ref_id: SYS.2.1.A13.1 + description: "Der Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ + hrung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche,\ + \ Firmwarebereiche etc.) SOLLTE nur mit administrativen Berechtigungen m\xF6\ + glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13 + ref_id: SYS.2.1.A13.2 + description: "Die entsprechenden Einstellungen im BIOS bzw. der UEFI-Firmware\ + \ SOLLTEN durch ein Passwort vor unberechtigten Ver\xE4nderungen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a13 + ref_id: SYS.2.1.A13.3 + description: "Wird die Kontrolle \xFCber die Funktionen an das Betriebssystem\ + \ delegiert, SOLLTEN auch dort nur mit administrativen Berechtigungen auf\ + \ die Funktionen zugegriffen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A15 + name: Sichere Installation und Konfiguration von Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + ref_id: SYS.2.1.A15.1 + description: Es SOLLTE festgelegt werden, welche Komponenten des Betriebssystems, + welche Fachanwendungen und welche weiteren Tools installiert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + ref_id: SYS.2.1.A15.2 + description: "Die Installation und Konfiguration der IT-Systeme SOLLTE nur von\ + \ autorisierten Personen (Administrierende oder vertraglich gebundene Dienstleistende)\ + \ nach einem definierten Prozess in einer Installationsumgebung durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + ref_id: SYS.2.1.A15.3 + description: "Nachdem die Installation und die Konfiguration abgeschlossen sind,\ + \ SOLLTEN die Grundeinstellungen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + ref_id: SYS.2.1.A15.4 + description: Sofern die Installation und Konfiguration den Vorgaben aus der + Sicherheitsrichtlinie entsprechen, SOLLTEN die Clients im Anschluss in der + Produktivumgebung in Betrieb genommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a15 + ref_id: SYS.2.1.A15.5 + description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ + \ werden, dass diese durch sachkundige Dritte nachvollzogen und wiederholt\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A16 + name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten und\ + \ Kennungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.1 + description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Komponenten\ + \ der Firmware sowie des Betriebssystems und welche Anwendungen und weiteren\ + \ Tools auf den Clients installiert und aktiviert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.2 + description: "Nicht ben\xF6tigte Module, Programme, Dienste, Aufgaben und Firmwarefunktionen\ + \ (wie Fernwartung) SOLLTEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.3 + description: "Nicht ben\xF6tigte Laufzeitumgebungen, Interpretersprachen und\ + \ Compiler SOLLTEN deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.4 + description: "Nicht ben\xF6tigte Kennungen SOLLTEN deaktiviert oder gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.5 + description: "Nicht ben\xF6tigte Schnittstellen und Hardware des IT-Systems\ + \ (wie z. B. Webcams) SOLLTEN deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.6 + description: "Es SOLLTE verhindert werden, dass diese Komponenten wieder reaktiviert\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a16 + ref_id: SYS.2.1.A16.7 + description: Die getroffenen Entscheidungen SOLLTEN nachvollziehbar dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A18 + name: "Nutzung von verschl\xFCsselten Kommunikationsverbindungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18 + ref_id: SYS.2.1.A18.1 + description: "Kommunikationsverbindungen SOLLTEN, soweit m\xF6glich, durch Verschl\xFC\ + sselung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18 + ref_id: SYS.2.1.A18.2 + description: "Die Clients SOLLTEN kryptografische Algorithmen und Schl\xFCssell\xE4\ + ngen verwenden, die dem Stand der Technik und den Sicherheitsanforderungen\ + \ der Institution entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a18 + ref_id: SYS.2.1.A18.3 + description: "Neue Zertifikate von Zertifikatsausstellern SOLLTEN erst nach\ + \ \xDCberpr\xFCfung des Fingerprints aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A20 + name: Schutz der Administrationsverfahren bei Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a20 + ref_id: SYS.2.1.A20.1 + description: "Abh\xE4ngig davon, ob Clients lokal oder \xFCber das Netz administriert\ + \ werden, SOLLTEN geeignete Sicherheitsvorkehrungen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a20 + ref_id: SYS.2.1.A20.2 + description: "Die zur Administration verwendeten Verfahren SOLLTEN \xFCber die\ + \ in der Sicherheitsrichtlinie festgelegten Vorgaben erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A21 + name: Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21 + ref_id: SYS.2.1.A21.1 + description: "Der Zugriff auf Mikrofon und Kamera eines Clients SOLLTE nur durch\ + \ Benutzende selbst m\xF6glich sein, solange sie lokal am IT-System arbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21 + ref_id: SYS.2.1.A21.2 + description: "Wenn vorhandene Mikrofone oder Kameras nicht genutzt und deren\ + \ Missbrauch verhindert werden soll, SOLLTEN diese, wenn m\xF6glich, ausgeschaltet,\ + \ abgedeckt (nur Kamera), deaktiviert oder physisch vom Ger\xE4t getrennt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a21 + ref_id: SYS.2.1.A21.3 + description: Es SOLLTE geregelt werden, wie Kameras und Mikrofone in Clients + genutzt und wie die Rechte vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A23 + name: Bevorzugung von Client-Server-Diensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + ref_id: SYS.2.1.A23.1 + description: "Wenn m\xF6glich, SOLLTEN zum Informationsaustausch dedizierte\ + \ Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + ref_id: SYS.2.1.A23.2 + description: "Falls dies nicht m\xF6glich ist, SOLLTE festgelegt werden, welche\ + \ Client-zu-Client-Dienste (oft auch als \u201EPeer-to-Peer\u201C bezeichnet)\ + \ genutzt und welche Informationen dar\xFCber ausgetauscht werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + ref_id: SYS.2.1.A23.3 + description: "Falls erforderlich, SOLLTEN Benutzende f\xFCr die Nutzung solcher\ + \ Dienste geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + ref_id: SYS.2.1.A23.4 + description: "Direkte Verbindungen zwischen Clients SOLLTEN sich nur auf das\ + \ LAN beschr\xE4nken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a23 + ref_id: SYS.2.1.A23.5 + description: "Auto-Discovery-Protokolle SOLLTEN auf das notwendige Ma\xDF beschr\xE4\ + nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A24 + name: "Umgang mit externen Medien und Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + ref_id: SYS.2.1.A24.1 + description: "Auf externe Schnittstellen SOLLTE nur restriktiv zugegriffen werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + ref_id: SYS.2.1.A24.2 + description: "Es SOLLTE untersagt werden, dass nicht zugelassene Ger\xE4te oder\ + \ Wechseldatentr\xE4ger mit den Clients verbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + ref_id: SYS.2.1.A24.3 + description: "Es SOLLTE verhindert werden, dass von den Clients auf Wechseldatentr\xE4\ + ger aus nicht vertrauensw\xFCrdigen Quellen zugegriffen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + ref_id: SYS.2.1.A24.4 + description: "Die unerlaubte Ausf\xFChrung von Programmen auf bzw. von externen\ + \ Datentr\xE4gern SOLLTE technisch unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a24 + ref_id: SYS.2.1.A24.5 + description: "Es SOLLTE verhindert werden, dass \xFCber Wechsellaufwerke oder\ + \ externe Schnittstellen unberechtigt Daten von den Clients kopiert werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A26 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a26 + ref_id: SYS.2.1.A26.1 + description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, + SOLLTEN ASLR und DEP/NX im Betriebssystem aktiviert und von den Anwendungen + genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a26 + ref_id: SYS.2.1.A26.2 + description: Sicherheitsfunktionen des Kernels und der Standardbibliotheken + wie z. B. Heap- und Stackschutz SOLLTEN aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A27 + name: "Geregelte Au\xDFerbetriebnahme eines Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27 + ref_id: SYS.2.1.A27.1 + description: "Bei der Au\xDFerbetriebnahme eines Clients SOLLTE sichergestellt\ + \ werden, dass keine Daten verloren gehen und dass keine schutzbed\xFCrftigen\ + \ Daten zur\xFCckbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27 + ref_id: SYS.2.1.A27.2 + description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ + \ auf den IT-Systemen gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27 + ref_id: SYS.2.1.A27.3 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme eines IT-Systems abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a27 + ref_id: SYS.2.1.A27.4 + description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ + \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ + \ aller Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A28 + name: "Verschl\xFCsselung der Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + ref_id: SYS.2.1.A28.1 + description: "Wenn vertrauliche Informationen auf den Clients gespeichert werden,\ + \ SOLLTEN mindestens die schutzbed\xFCrftigen Dateien sowie ausgew\xE4hlte\ + \ Dateisystembereiche oder besser die gesamten Datentr\xE4ger verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + ref_id: SYS.2.1.A28.2 + description: "Hierf\xFCr SOLLTE ein eigenes Konzept erstellt und die Details\ + \ der Konfiguration besonders sorgf\xE4ltig dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + ref_id: SYS.2.1.A28.3 + description: "In diesem Zusammenhang SOLLTEN die Authentisierung (z. B. Passwort,\ + \ PIN, Token), die Ablage der Wiederherstellungsinformationen, die zu verschl\xFC\ + sselnden Laufwerke und die Schreibrechte auf unverschl\xFCsselte Datentr\xE4\ + ger geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + ref_id: SYS.2.1.A28.4 + description: "Der Zugriff auf das genutzte Schl\xFCsselmaterial MUSS angemessen\ + \ gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a28 + ref_id: SYS.2.1.A28.5 + description: "Benutzende SOLLTEN dar\xFCber aufgekl\xE4rt werden, wie sie sich\ + \ bei Verlust eines Authentisierungsmittels zu verhalten haben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A29 + name: "System\xFCberwachung und Monitoring der Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a29 + ref_id: SYS.2.1.A29.1 + description: "Die Clients SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ + \ Monitoringkonzept eingebunden werden, das den Systemzustand und die Funktionsf\xE4\ + higkeit der Clients laufend \xFCberwacht und Fehlerzust\xE4nde sowie die \xDC\ + ber- bzw. Unterschreitung definierter Grenzwerte an das Betriebspersonal meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A30 + name: "Einrichten einer Referenzumgebung f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30 + ref_id: SYS.2.1.A30.1 + description: "F\xFCr Clients SOLLTE eine Referenzinstallation erstellt werden,\ + \ in der die Grundkonfiguration und alle Konfigurations\xE4nderungen, Updates\ + \ und Patches vor dem Einspielen auf den Client vorab getestet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30 + ref_id: SYS.2.1.A30.2 + description: "F\xFCr verschiedene, typische und h\xE4ufig wiederkehrende Testf\xE4\ + lle SOLLTEN Checklisten erstellt werden, die beim Testlauf m\xF6glichst automatisiert\ + \ abgearbeitet werden sollten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30 + ref_id: SYS.2.1.A30.3 + description: "Die Testf\xE4lle SOLLTEN sowohl die Perspektive der Benutzung\ + \ als auch die des Betriebs ber\xFCcksichtigen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a30 + ref_id: SYS.2.1.A30.4 + description: "Zus\xE4tzlich SOLLTEN alle Tests so dokumentiert werden, dass\ + \ sie zu einem sp\xE4teren Zeitpunkt nachvollzogen werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A31 + name: Einrichtung lokaler Paketfilter + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a31 + ref_id: SYS.2.1.A31.1 + description: "Auf jedem Client SOLLTEN, zus\xE4tzlich zu den eingesetzten zentralen\ + \ Sicherheitsgateways, lokale Paketfilter eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a31.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a31 + ref_id: SYS.2.1.A31.2 + description: "Es SOLLTE eine Strategie zur Implementierung gew\xE4hlt werden,\ + \ die nur ben\xF6tigte Netzkommunikation explizit erlaubt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A32 + name: "Einsatz zus\xE4tzlicher Ma\xDFnahmen zum Schutz vor Exploits" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32 + ref_id: SYS.2.1.A32.1 + description: "Auf den Clients SOLLTEN zus\xE4tzliche Ma\xDFnahmen zum expliziten\ + \ Schutz vor Exploits (Angriffe, um Systeml\xFCcken auszunutzen) getroffen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32 + ref_id: SYS.2.1.A32.2 + description: "Wenn notwendige Schutzma\xDFnahmen nicht \xFCber Funktionen des\ + \ Betriebssystems umgesetzt werden k\xF6nnen, SOLLTEN zus\xE4tzliche geeignete\ + \ Sicherheitsma\xDFnahmen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a32 + ref_id: SYS.2.1.A32.3 + description: "Sollte es nicht m\xF6glich sein, nachhaltige Ma\xDFnahmen umzusetzen,\ + \ SOLLTEN andere geeignete (in der Regel organisatorische) Sicherheitsma\xDF\ + nahmen ergriffen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A33 + name: "Einsatz von Ausf\xFChrungskontrolle" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33 + ref_id: SYS.2.1.A33.1 + description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ + \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33 + ref_id: SYS.2.1.A33.2 + description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a33 + ref_id: SYS.2.1.A33.3 + description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ + \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A34 + name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a34 + ref_id: SYS.2.1.A34.1 + description: "Um sowohl den Zugriff auf das Betriebssystem oder andere Anwendungen\ + \ bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders sch\xFC\ + tzenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten\ + \ (wie beispielsweise Authentisierung oder Zertifikats\xFCberpr\xFCfung) ihrem\ + \ Schutzbedarf entsprechend besonders gekapselt bzw. anderen Anwendungen und\ + \ Betriebssystemkomponenten gegen\xFCber isoliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a34 + ref_id: SYS.2.1.A34.2 + description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ + cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ + \ und B\xFCrokommunikations-Anwendungen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A35 + name: Aktive Verwaltung der Wurzelzertifikate + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35 + ref_id: SYS.2.1.A35.1 + description: "Im Zuge der Beschaffung und Installation des Clients SOLLTE dokumentiert\ + \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Clients notwendig\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35 + ref_id: SYS.2.1.A35.2 + description: "Auf dem Client SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ + \ und vorab dokumentierten Wurzelzertifikate enthalten sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35 + ref_id: SYS.2.1.A35.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ + \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a35 + ref_id: SYS.2.1.A35.4 + description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ + \ in die Pr\xFCfung einbezogen werden (z. B. UEFI-Zertifikatsspeicher, Zertifikatsspeicher\ + \ von Webbrowsern etc.)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A36 + name: Selbstverwalteter Einsatz von SecureBoot und TPM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36 + ref_id: SYS.2.1.A36.1 + description: "Auf UEFI-kompatiblen Systemen SOLLTEN Bootloader, Kernel sowie\ + \ alle ben\xF6tigten Firmware-Komponenten durch selbstkontrolliertes Schl\xFC\ + sselmaterial signiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36 + ref_id: SYS.2.1.A36.2 + description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a36 + ref_id: SYS.2.1.A36.3 + description: "Sofern das Trusted Platform Module (TPM) nicht ben\xF6tigt wird,\ + \ SOLLTE es deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A37 + name: Verwendung von Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a37.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a37 + ref_id: SYS.2.1.A37.1 + description: "Es SOLLTE eine sichere Mehr-Faktor-Authentisierung unter Einbeziehung\ + \ unterschiedlicher Faktoren (Wissen, Besitz, Eigenschaft) f\xFCr die lokale\ + \ Anmeldung am Client eingerichtet werden, z. B. Passwort mit Chipkarte oder\ + \ Token." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A38 + name: Einbindung in die Notfallplanung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38 + ref_id: SYS.2.1.A38.1 + description: "Die Clients SOLLTEN im Notfallmanagementprozess ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38 + ref_id: SYS.2.1.A38.2 + description: "Die Clients SOLLTEN hinsichtlich der Gesch\xE4ftsprozesse oder\ + \ Fachaufgaben, f\xFCr die sie ben\xF6tigt werden, f\xFCr den Wiederanlauf\ + \ priorisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a38 + ref_id: SYS.2.1.A38.3 + description: "Es SOLLTEN geeignete Notfallma\xDFnahmen vorgesehen werden, indem\ + \ mindestens Wiederanlaufpl\xE4ne erstellt, Bootmedien zur Systemwiederherstellung\ + \ generiert sowie Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A39 + name: Unterbrechungsfreie und stabile Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39 + ref_id: SYS.2.1.A39.1 + description: Clients SOLLTEN an eine unterbrechungsfreie Stromversorgung (USV) + angeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39 + ref_id: SYS.2.1.A39.2 + description: "Die USV SOLLTE hinsichtlich Leistung und St\xFCtzzeit ausreichend\ + \ dimensioniert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a39 + ref_id: SYS.2.1.A39.3 + description: "Clients SOLLTEN vor \xDCberspannung gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A40 + name: Betriebsdokumentation + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.1 + description: "Die Durchf\xFChrung betrieblicher Aufgaben an Clients bzw. Clientgruppen\ + \ SOLLTE nachvollziehbar anhand der Fragen \u201EWer?\u201C, \u201EWann?\u201C\ + \ und \u201EWas?\u201C dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.2 + description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ + nderungen nachvollziehbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.3 + description: Auch sicherheitsrelevante Aufgaben (z. B. wer befugt ist, neue + Festplatten einzubauen) SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.4 + description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch + dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.5 + description: "Die Dokumentation SOLLTE vor unbefugtem Zugriff und Verlust gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a40 + ref_id: SYS.2.1.A40.6 + description: "Sicherheitsrelevante Aspekte SOLLTEN nachvollziehbar erl\xE4utert\ + \ und hervorgehoben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a41 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A41 + name: "Verwendung von Quotas f\xFCr lokale Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a41.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a41 + ref_id: SYS.2.1.A41.1 + description: "Es SOLLTE \xFCberlegt werden, Quotas einzurichten, die den verwendeten\ + \ Speicherplatz auf der lokalen Festplatte begrenzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a41.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a41 + ref_id: SYS.2.1.A41.2 + description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ + \ genutzt werden, die Benutzende bei einem bestimmten F\xFCllstand der Festplatte\ + \ warnen oder nur noch Administrierenden Schreibrechte einr\xE4umen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A42 + name: Nutzung von Cloud- und Online-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42 + ref_id: SYS.2.1.A42.1 + description: "Es D\xDCRFEN NUR zwingend notwendige Cloud- und Online-Funktionen\ + \ des Betriebssystems genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42 + ref_id: SYS.2.1.A42.2 + description: Die notwendigen Cloud- und Online-Funktionen SOLLTEN dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a42 + ref_id: SYS.2.1.A42.3 + description: "Die entsprechenden Einstellungen des Betriebssystems M\xDCSSEN\ + \ auf Konformit\xE4t mit den organisatorischen Datenschutz- und Sicherheitsvorgaben\ + \ \xFCberpr\xFCft und restriktiv konfiguriert bzw. die Funktionen deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A43 + name: "Lokale Sicherheitsrichtlinien f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43 + ref_id: SYS.2.1.A43.1 + description: "Alle sicherheitsrelevanten Einstellungen SOLLTEN bedarfsgerecht\ + \ konfiguriert, getestet und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43 + ref_id: SYS.2.1.A43.2 + description: "Daf\xFCr SOLLTEN Sicherheitsrichtlinien, unter Ber\xFCcksichtigung\ + \ der Empfehlungen des herstellenden Unternehmens und des voreingestellten\ + \ Standardverhaltens, konfiguriert werden, sofern das Standardverhalten nicht\ + \ anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43 + ref_id: SYS.2.1.A43.3 + description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a43 + ref_id: SYS.2.1.A43.4 + description: "Sicherheitsrichtlinien SOLLTEN in jedem Fall gesetzt werden, auch\ + \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a44 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A44 + name: Verwaltung der Sicherheitsrichtlinien von Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a44.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a44 + ref_id: SYS.2.1.A44.1 + description: Alle Einstellungen der Clients SOLLTEN durch Nutzung eines Managementsystems + verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen + Richtlinien basierend konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a44.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a44 + ref_id: SYS.2.1.A44.2 + description: "Konfigurations\xE4nderungen SOLLTEN dokumentiert, begr\xFCndet\ + \ und mit dem Sicherheitsmanagement abgestimmt werden, sodass der Stand der\ + \ Sicherheitskonfiguration jederzeit nachvollziehbar ist und Konfigurations\xE4\ + nderungen schnell durchgef\xFChrt und zentralisiert verteilt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a45 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1 + ref_id: SYS.2.1.A45 + name: Erweiterte Protokollierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a45.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.1.a45 + ref_id: SYS.2.1.A45.1 + description: "Es SOLLTE auch Client-Verhalten, das nicht mit der Sicherheit\ + \ direkt in Verbindung steht, protokolliert und unverz\xFCglich (automatisiert)\ + \ ausgewertet werden, um verdeckte Aktivit\xE4ten mit Bezug zu Angriffen erkennen\ + \ zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + assessable: false + depth: 1 + ref_id: SYS.2.2.3 + name: 'Clients unter Windows ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A1 + name: Planung des Einsatzes von Cloud-Diensten unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a1 + ref_id: SYS.2.2.3.A1.1 + description: "Da Windows-basierte Ger\xE4te eng mit den Cloud-Diensten des Herstellers\ + \ Microsoft verzahnt sind, MUSS vor ihrer Verwendung strategisch festgelegt\ + \ werden, welche enthaltenen Cloud-Dienste in welchem Umfang genutzt werden\ + \ sollen bzw. d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A2 + name: Auswahl und Beschaffung einer geeigneten Windows-Version + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.1 + description: "Der Funktionsumfang und die Versorgung mit funktionalen \xC4nderungen\ + \ einer Windows-Version M\xDCSSEN unter Ber\xFCcksichtigung des ermittelten\ + \ Schutzbedarfs und des Einsatzzwecks ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.2 + description: "Die Umsetzbarkeit der erforderlichen Absicherungsma\xDFnahmen\ + \ MUSS bei der Auswahl ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.3 + description: "Basierend auf dem Ergebnis der \xDCberpr\xFCfung MUSS der etablierte\ + \ Beschaffungsprozess um die Auswahl des entsprechenden Lizenzmodells und\ + \ \u201EService Branches\u201C (CB, CBB oder LTSC) erweitert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A4 + name: Telemetrie und Datenschutzeinstellungen unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a4 + ref_id: SYS.2.2.3.A4.1 + description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ + \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) in der Enterprise-Edition\ + \ von Windows konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a4 + ref_id: SYS.2.2.3.A4.2 + description: "Wenn diese Einstellung nicht wirksam umgesetzt wird oder bei anderen\ + \ Windows-Edition umgesetzt werden kann, dann MUSS durch geeignete Ma\xDF\ + nahmen, etwa auf Netzebene, sichergestellt werden, dass die Daten nicht an\ + \ den Hersteller \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A5 + name: Schutz vor Schadsoftware unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a5 + ref_id: SYS.2.2.3.A5.1 + description: "Sofern nicht gleich- oder h\xF6herwertige Ma\xDFnahmen, wie z.\ + \ B. Ausf\xFChrungskontrolle, zum Schutz des IT-Systems vor einer Infektion\ + \ mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente\ + \ zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A6 + name: Integration von Online-Konten in das Betriebssystem + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.1 + description: "Die Anmeldung am System sowie an der Dom\xE4ne DARF NUR mit dem\ + \ Konto eines selbst betriebenen Verzeichnisdienstes m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.2 + description: Anmeldungen mit lokalen Konten SOLLTEN Administrierenden vorbehalten + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.3 + description: "Online-Konten zur Anmeldung, etwa ein Microsoft-Konto oder Konten\ + \ anderer Identit\xE4tsmanagementsysteme, D\xDCRFEN NICHT verwendet werden,\ + \ da hier personenbezogene Daten an die Systeme Dritter \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A9 + name: Sichere zentrale Authentisierung in Windows-Netzen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.1 + description: "F\xFCr die zentrale Authentisierung SOLLTE ausschlie\xDFlich Kerberos\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.2 + description: "Eine Gruppenrichtlinie SOLLTE die Verwendung \xE4lterer Protokolle\ + \ verhindern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.3 + description: "Ist dies nicht m\xF6glich, MUSS alternativ NTLMv2 eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.4 + description: Die Authentisierung mittels LAN-Manager und NTLMv1 DARF NICHT innerhalb + der Institution und in einer produktiven Betriebsumgebung erlaubt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.5 + description: Die eingesetzten kryptografischen Mechanismen SOLLTEN entsprechend + dem ermittelten Schutzbedarf und basierend auf den internen Richtlinien konfiguriert + und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.6 + description: "Abweichende Einstellungen SOLLTEN begr\xFCndet und mit dem Sicherheitsmanagement\ + \ abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A12 + name: Datei- und Freigabeberechtigungen unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.1 + description: "Der Zugriff auf Dateien und Ordner auf dem lokalen System sowie\ + \ auf Netzfreigaben SOLLTE gem\xE4\xDF einem Berechtigungs- und Zugriffskonzept\ + \ konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.2 + description: "Auch die standardm\xE4\xDFig vorhandenen administrativen Freigaben\ + \ auf dem System SOLLTEN hierbei ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.3 + description: "Die Schreibrechte f\xFCr Benutzende SOLLTEN auf einen definierten\ + \ Bereich im Dateisystem beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.4 + description: "Insbesondere SOLLTEN Benutzende keine Schreibrechte f\xFCr Ordner\ + \ des Betriebssystems oder installierter Anwendungen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A13 + name: Einsatz der SmartScreen-Funktion + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a13 + ref_id: SYS.2.2.3.A13.1 + description: "Die SmartScreen-Funktion, die aus dem Internet heruntergeladene\ + \ Dateien und Webinhalte auf m\xF6gliche Schadsoftware untersucht und dazu\ + \ unter Umst\xE4nden personenbezogene Daten an Microsoft \xFCbertr\xE4gt,\ + \ SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A14 + name: Einsatz des Sprachassistenten Cortana + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a14 + ref_id: SYS.2.2.3.A14.1 + description: Cortana SOLLTE deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A15 + name: Einsatz der Synchronisationsmechanismen unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a15 + ref_id: SYS.2.2.3.A15.1 + description: "Die Synchronisierung von Benutzendendaten mit Microsoft Cloud-Diensten\ + \ und das Sharing von WLAN-Passw\xF6rtern SOLLTEN vollst\xE4ndig deaktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A16 + name: Anbindung von Windows an den Microsoft-Store + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a16 + ref_id: SYS.2.2.3.A16.1 + description: "Die Verwendung des Microsoft-Stores SOLLTE auf die Vertr\xE4glichkeit\ + \ mit den Datenschutz- und Sicherheitsvorgaben der Institution \xFCberpr\xFC\ + ft und bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a16 + ref_id: SYS.2.2.3.A16.2 + description: "Die generelle Installation von Apps auf Windows ist nicht von\ + \ der Anbindung an den Microsoft-Store abh\xE4ngig, daher SOLLTE sie, sofern\ + \ sie nicht ben\xF6tigt wird, deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A17 + name: Keine Speicherung von Daten zur automatischen Anmeldung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a17 + ref_id: SYS.2.2.3.A17.1 + description: "Die Speicherung von Kennw\xF6rtern, Zertifikaten und anderen Informationen\ + \ zur automatischen Anmeldung an Webseiten und IT-Systemen SOLLTE NICHT erlaubt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A18 + name: "Einsatz der Windows-Remoteunterst\xFCtzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung der Windows-Remoteunterst\xFCtzung (hiermit ist nicht RDP\ + \ gemeint) ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.2 + description: "Eine Remoteunterst\xFCtzung SOLLTE nur nach einer expliziten Einladung\ + \ erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.3 + description: Bei der Speicherung einer Einladung in einer Datei SOLLTE diese + ein Kennwort besitzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.4 + description: Dem Aufbau einer Sitzung SOLLTE immer explizit zugestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.5 + description: "Die maximale G\xFCltigkeit der Einladung f\xFCr eine Unterst\xFC\ + tzung aus der Ferne SOLLTE in der Dauer angemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.6 + description: "Sofern die Windows-Remoteunterst\xFCtzung nicht verwendet wird,\ + \ SOLLTE sie vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A19 + name: "Sicherheit beim Fernzugriff \xFCber RDP" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.2 + description: "Die Gruppe der berechtigten Benutzenden f\xFCr den Remote-Desktopzugriff\ + \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.3 + description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ + \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.4 + description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ + \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ + \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.5 + description: "\u2022 die Verwendung der Zwischenablage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.6 + description: "\u2022 die Einbindung von Druckern," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.7 + description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.8 + description: "\u2022 die Nutzung der Dateiablagen und von Smartcard-Anschl\xFC\ + ssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.9 + description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ + \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.10 + description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN + sicher sein und den internen Vorgaben der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A20 + name: "Einsatz der Benutzerkontensteuerung UAC f\xFCr privilegierte Konten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.1 + description: "Die Konfigurationsparameter der sogenannten Benutzerkontensteuerung\ + \ (User Account Control, UAC) SOLLTEN f\xFCr die privilegierten Konten zwischen\ + \ Bedienbarkeit und Sicherheitsniveau abgewogen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.2 + description: "Die Entscheidungen f\xFCr die zu verwendenden Konfigurationsparameter\ + \ SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.3 + description: "Dar\xFCber hinaus SOLLTE die Dokumentation alle Konten mit Administrationsrechten\ + \ enthalten sowie regelm\xE4\xDFig gepr\xFCft werden, ob es notwendig ist,\ + \ die Rechte erweitern zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A21 + name: Einsatz des Encrypting File Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.1 + description: "Da das Encrypting File System (EFS) die verwendeten Schl\xFCssel\ + \ mit dem Passwort des jeweiligen Kontos sch\xFCtzt, SOLLTE ein sicheres Passwort\ + \ verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.2 + description: "Zus\xE4tzlich SOLLTEN restriktive Zugriffsrechte die mit EFS verschl\xFC\ + sselten Dateien sch\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.3 + description: Der Wiederherstellungsagent SOLLTE ein dediziertes Konto und kein + Administrationskonto sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.4 + description: "In diesem Zusammenhang SOLLTE der private Schl\xFCssel des Agenten\ + \ gesichert und aus dem System entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.5 + description: "Es SOLLTEN von allen privaten Schl\xFCsseln Datensicherungen erstellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.6 + description: "Beim Einsatz von EFS mit lokalen Konten SOLLTEN die lokalen Passwortspeicher\ + \ mittels Syskey verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.7 + description: Alternativ kann der Windows Defender Credential Guard genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.8 + description: Benutzende SOLLTEN im korrekten Umgang mit EFS geschult werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A22 + name: Verwendung der Windows PowerShell + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.1 + description: "Die PowerShell und die WPS-Dateien SOLLTEN NUR von Administrierenden\ + \ ausgef\xFChrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.2 + description: "Die PowerShell-Ausf\xFChrung selbst SOLLTE zentral protokolliert\ + \ und die Protokolle \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.3 + description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ + \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ + \ dass unsignierte Skripte versehentlich ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A23 + name: Erweiterter Schutz der Anmeldeinformationen unter Windows + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a23 + ref_id: SYS.2.2.3.A23.1 + description: "Auf UEFI-basierten Systemen SOLLTE SecureBoot verwendet und der\ + \ Status des gesch\xFCtzten Modus f\xFCr den Local Credential Store LSA beim\ + \ Systemstart \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a23 + ref_id: SYS.2.2.3.A23.2 + description: "Ist eine Fernwartung der Clients mittels RDP vorgesehen, SOLLTE\ + \ beim Einsatz von Windows in einer Dom\xE4ne ab dem Funktionslevel 2012 R2\ + \ von der Option \u201ErestrictedAdmin\u201C f\xFCr RDP Gebrauch gemacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A24 + name: Aktivierung des Last-Access-Zeitstempels + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a24 + ref_id: SYS.2.2.3.A24.1 + description: "Es SOLLTE gepr\xFCft werden, ob der Last-Access-Zeitstempel im\ + \ Dateisystem aktiviert werden kann, um die Analyse eines Systemmissbrauchs\ + \ zu erleichtern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a24 + ref_id: SYS.2.2.3.A24.2 + description: "Bei der Pr\xFCfung SOLLTEN m\xF6gliche Auswirkungen dieser Einstellung,\ + \ wie Performance-Aspekte oder resultierende Einschr\xE4nkungen bei inkrementellen\ + \ Backups, ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A25 + name: "Umgang mit Fernzugriffsfunktionen der \u201EConnected User Experience\ + \ and Telemetry\u201C" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a25 + ref_id: SYS.2.2.3.A25.1 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Komponente \u201E\ + Connected User Experience and Telemetry\u201C (CUET) bei Windows fester Bestandteil\ + \ des Betriebssystems ist und neben der Telemetriefunktion auch eine Fernzugriffsm\xF6\ + glichkeit f\xFCr den Hersteller Microsoft auf das lokale System erlaubt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a25 + ref_id: SYS.2.2.3.A25.2 + description: Ein solcher Fernzugriff auf den Windows-Client SOLLTE netzseitig + geloggt und falls erforderlich geblockt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3 + ref_id: SYS.2.2.3.A26 + name: Nutzung des Virtual Secure Mode (VSM) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.2.3.a26 + ref_id: SYS.2.2.3.A26.1 + description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ + \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ + \ eingeschr\xE4nkt oder erschwert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + assessable: false + depth: 1 + ref_id: SYS.2.3 + name: Clients unter Linux und Unix + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A1 + name: Authentisierung von Administrierenden und Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1 + ref_id: SYS.2.3.A1.1 + description: "Personen mit Adminstrationsrechten D\xDCRFEN sich NICHT im Normalbetrieb\ + \ als \u201Eroot\u201C anmelden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1 + ref_id: SYS.2.3.A1.2 + description: "F\xFCr die Systemadministrationsaufgaben SOLLTE \u201Esudo\u201C\ + \ oder eine geeignete Alternative mit einer geeigneten Protokollierung genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a1 + ref_id: SYS.2.3.A1.3 + description: "Es SOLLTE verhindert werden, dass sich mehrere Benutzende auf\ + \ einem Client gleichzeitig einloggen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A2 + name: Auswahl einer geeigneten Distribution + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + ref_id: SYS.2.3.A2.1 + description: "Auf Grundlage der Sicherheitsanforderungen und des Einsatzzwecks\ + \ MUSS ein geeignetes Unix-Derivat bzw. eine geeignete Linux-Distribution\ + \ ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + ref_id: SYS.2.3.A2.2 + description: "Es MUSS f\xFCr die geplante Einsatzdauer des Betriebssystems Support\ + \ verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + ref_id: SYS.2.3.A2.3 + description: "Alle ben\xF6tigten Anwendungsprogramme SOLLTEN als Teil der Distribution\ + \ direkt verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + ref_id: SYS.2.3.A2.4 + description: "Sie SOLLTEN NUR in Ausnahmef\xE4llen aus Drittquellen bezogen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a2 + ref_id: SYS.2.3.A2.5 + description: Distributionen, bei denen das Betriebssystem selbst kompiliert + wird, SOLLTEN NICHT in Produktivumgebungen eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A4 + name: Kernel-Aktualisierungen auf unixartigen Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a4 + ref_id: SYS.2.3.A4.1 + description: Der Client MUSS zeitnah neu gebootet werden, nachdem der Kernel + des Betriebssystems aktualisiert wurde. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a4 + ref_id: SYS.2.3.A4.2 + description: "Ist dies nicht m\xF6glich, MUSS alternativ Live-Patching des Kernels\ + \ aktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A5 + name: Sichere Installation von Software-Paketen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + ref_id: SYS.2.3.A5.1 + description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ + \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ + \ und \xFCbersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + ref_id: SYS.2.3.A5.2 + description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ + \ in das Wurzeldateisystem des Betriebssystems installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + ref_id: SYS.2.3.A5.3 + description: "Wird die Software aus dem Quelltext \xFCbersetzt, dann SOLLTEN\ + \ die gew\xE4hlten Parameter geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + ref_id: SYS.2.3.A5.4 + description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ + \ und reproduzierbar kompiliert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a5 + ref_id: SYS.2.3.A5.5 + description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A6 + name: Kein automatisches Einbinden von Wechsellaufwerken + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a6 + ref_id: SYS.2.3.A6.1 + description: Wechsellaufwerke SOLLTEN NICHT automatisch eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a6 + ref_id: SYS.2.3.A6.2 + description: "Die Einbindung von Wechsellaufwerken SOLLTE so konfiguriert sein,\ + \ dass alle Dateien als nicht ausf\xFChrbar markiert sind (Mount-Option \u201E\ + noexec\u201C)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A7 + name: Restriktive Rechtevergabe auf Dateien und Verzeichnisse + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a7 + ref_id: SYS.2.3.A7.1 + description: "Es SOLLTE sichergestellt werden, dass Dienste und Anwendungen\ + \ nur die ihnen zugeordneten Dateien erstellen, ver\xE4ndern oder l\xF6schen\ + \ d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a7 + ref_id: SYS.2.3.A7.2 + description: "Auf Verzeichnissen, in denen alle Konten Schreibrechte haben (z.\ + \ B. \u201E/tmp\u201C), SOLLTE das Sticky Bit gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A8 + name: "Einsatz von Techniken zur Rechtebeschr\xE4nkung von Anwendungen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8 + ref_id: SYS.2.3.A8.1 + description: "Zur Beschr\xE4nkung der Zugriffsrechte von Anwendungen auf Dateien,\ + \ Ger\xE4te und Netze SOLLTE App-Armor oder SELinux eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8 + ref_id: SYS.2.3.A8.2 + description: "Es SOLLTEN die von dem jeweiligen Unix-Derivat bzw. der Linux-Distribution\ + \ am besten unterst\xFCtzten L\xF6sungen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8 + ref_id: SYS.2.3.A8.3 + description: "Rechte SOLLTEN grunds\xE4tzlich entzogen sein und wo n\xF6tig\ + \ \xFCber Positivlisten explizit erteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a8 + ref_id: SYS.2.3.A8.4 + description: "Erweiterungen zur Rechtebeschr\xE4nkung SOLLTEN im Zwangsmodus\ + \ (Enforcing Mode) oder mit geeigneten Alternativen verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A9 + name: "Sichere Verwendung von Passw\xF6rtern auf der Kommandozeile" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a9 + ref_id: SYS.2.3.A9.1 + description: "Passw\xF6rter SOLLTEN NICHT als Parameter an Programme \xFCbergeben\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A11 + name: "Verhinderung der \xDCberlastung der lokalen Festplatte" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11 + ref_id: SYS.2.3.A11.1 + description: "Es SOLLTEN Quotas f\xFCr Konten bzw. Dienste eingerichtet werden,\ + \ die ausreichend Freiraum f\xFCr das Betriebssystem lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11 + ref_id: SYS.2.3.A11.2 + description: "Generell SOLLTEN unterschiedliche Partitionen f\xFCr Betriebssystem\ + \ und Daten genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a11 + ref_id: SYS.2.3.A11.3 + description: "Alternativ SOLLTEN auch Mechanismen des verwendeten Dateisystems\ + \ genutzt werden, die ab einem geeigneten F\xFCllstand nur noch dem Konto\ + \ \u201Eroot\u201C Schreibrechte einr\xE4umen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A12 + name: Sicherer Einsatz von Appliances + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12 + ref_id: SYS.2.3.A12.1 + description: "Es SOLLTE sichergestellt werden, dass Appliances ein \xE4hnliches\ + \ Sicherheitsniveau wie Clients auf Standard-IT-Systemen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12 + ref_id: SYS.2.3.A12.2 + description: "Es SOLLTE dokumentiert werden, wie entsprechende Sicherheitsanforderungen\ + \ mit einer eingesetzten Appliance erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a12 + ref_id: SYS.2.3.A12.3 + description: "Wenn die Anforderungen nicht zweifelsfrei erf\xFCllt werden k\xF6\ + nnen, SOLLTE eine Konformit\xE4tserkl\xE4rung von den herstellenden Unternehmen\ + \ angefordert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A14 + name: "Absicherung gegen Nutzung unbefugter Peripherieger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a14 + ref_id: SYS.2.3.A14.1 + description: "Peripherieger\xE4te SOLLTEN nur nutzbar sein, wenn sie explizit\ + \ freigegeben sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a14 + ref_id: SYS.2.3.A14.2 + description: "Kernelmodule f\xFCr Peripherieger\xE4te SOLLTEN nur geladen und\ + \ aktiviert werden, wenn das Ger\xE4t freigegeben ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A15 + name: "Zus\xE4tzlicher Schutz vor der Ausf\xFChrung unerw\xFCnschter Dateien" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a15 + ref_id: SYS.2.3.A15.1 + description: "Partitionen und Verzeichnisse, in denen Benutzende Schreibrechte\ + \ haben, SOLLTEN so gemountet werden, dass keine Dateien ausgef\xFChrt werden\ + \ k\xF6nnen (Mountoption \u201Enoexec\u201C)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A17 + name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17 + ref_id: SYS.2.3.A17.1 + description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ + \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ + \ werden (z. B. durch seccomp)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17 + ref_id: SYS.2.3.A17.2 + description: "Die vorhandenen Standardprofile bzw. -regeln von SELinux, AppArmor\ + \ sowie alternativen Erweiterungen SOLLTEN manuell \xFCberpr\xFCft und gegebenenfalls\ + \ an die eigene Sicherheitsrichtlinie angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a17 + ref_id: SYS.2.3.A17.3 + description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A18 + name: "Zus\xE4tzlicher Schutz des Kernels" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a18 + ref_id: SYS.2.3.A18.1 + description: "Es SOLLTEN mit speziell geh\xE4rteten Kernels (z. B. grsecurity,\ + \ PaX) geeignete Schutzma\xDFnahmen wie Speicherschutz, Dateisystemabsicherung\ + \ und rollenbasierte Zugriffskontrolle umgesetzt werden, die eine Ausnutzung\ + \ von Schwachstellen und die Ausbreitung im Betriebssystem verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A19 + name: "Festplatten- oder Dateiverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19 + ref_id: SYS.2.3.A19.1 + description: "Festplatten oder die darauf abgespeicherten Dateien SOLLTEN verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19 + ref_id: SYS.2.3.A19.2 + description: "Die dazugeh\xF6rigen Schl\xFCssel SOLLTEN NICHT auf dem IT-System\ + \ gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19 + ref_id: SYS.2.3.A19.3 + description: "Es SOLLTEN AEAD-Verfahren (Authenticated Encryption with Associated\ + \ Data) bei der Festplatten- und Dateiverschl\xFCsselung eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a19 + ref_id: SYS.2.3.A19.4 + description: "Alternativ SOLLTE \u201Edm-crypt\u201C in Kombination mit \u201E\ + dm-verity\u201C genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3 + ref_id: SYS.2.3.A20 + name: Abschaltung kritischer SysRq-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a20 + ref_id: SYS.2.3.A20.1 + description: "Es SOLLTE festgelegt werden, welche SysRq-Funktionen von den Benutzenden\ + \ ausgef\xFChrt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.3.a20 + ref_id: SYS.2.3.A20.2 + description: "Generell SOLLTEN keine kritischen SysRq-Funktionen von den Benutzenden\ + \ ausgel\xF6st werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + assessable: false + depth: 1 + ref_id: SYS.2.4 + name: Clients unter macOS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A1 + name: Planung des sicheren Einsatzes von macOS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.1 + description: "Die Einf\xFChrung von macOS MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.2 + description: Es MUSS entschieden werden, wo und wie Daten abgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.3 + description: Es MUSS geplant werden, wie die Datensicherung in das institutionsweite + Datensicherungskonzept integriert werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.4 + description: "Es MUSS geplant werden, wie Sicherheits- und sonstige Aktualisierungen\ + \ f\xFCr macOS und Anwendungen systematisch installiert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.5 + description: "Es MUSS ermittelt werden, welche Anwendungen bei einem Plattformwechsel\ + \ zu macOS ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a1 + ref_id: SYS.2.4.A1.6 + description: "Wird der Mac in einem Datennetz betrieben, MUSS zus\xE4tzlich\ + \ ber\xFCcksichtigt werden, welche Netzprotokolle eingesetzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A2 + name: Nutzung der integrierten Sicherheitsfunktionen von macOS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a2 + ref_id: SYS.2.4.A2.1 + description: "Die in macOS integrierten Schutzmechanismen \u201ESystem Integrity\ + \ Protection\u201C (SIP), \u201EXprotect\u201C und \u201EGatekeeper\u201C\ + \ M\xDCSSEN aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a2 + ref_id: SYS.2.4.A2.2 + description: "Gatekeeper DARF NUR die Ausf\xFChrung signierter Programme erlauben,\ + \ sofern unsignierte Programme nicht zwingend notwendig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A3 + name: Verwendung geeigneter Konten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3 + ref_id: SYS.2.4.A3.1 + description: Das bei der Erstkonfiguration von macOS angelegte Konto hat Administrationsrechte + und DARF NUR zu administrativen Zwecken verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3 + ref_id: SYS.2.4.A3.2 + description: "F\xFCr die normale Verwendung des Macs MUSS ein Konto mit Standard-Berechtigungen\ + \ angelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3 + ref_id: SYS.2.4.A3.3 + description: "Sollte der Mac von mehreren Benutzenden verwendet werden, MUSS\ + \ f\xFCr jeden Benutzenden ein eigenes Konto angelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a3 + ref_id: SYS.2.4.A3.4 + description: Das Gast-Konto MUSS deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A4 + name: "Verwendung einer Festplattenverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4 + ref_id: SYS.2.4.A4.1 + description: "Festplatten SOLLTEN, insbesondere bei mobilen Macs (z. B. MacBooks),\ + \ verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4 + ref_id: SYS.2.4.A4.2 + description: "Wird dazu die in macOS integrierte Funktion FileVault verwendet,\ + \ DARF das Schl\xFCsselmaterial NICHT online bei Apple gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4 + ref_id: SYS.2.4.A4.3 + description: "Der von FileVault erzeugte Wiederherstellungsschl\xFCssel MUSS\ + \ an einem sicheren Ort aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a4 + ref_id: SYS.2.4.A4.4 + description: "Es SOLLTE gepr\xFCft werden, ob ein institutioneller Wiederherstellungsschl\xFC\ + ssel f\xFCr FileVault verwendet werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A5 + name: Deaktivierung sicherheitskritischer Funktionen von macOS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5 + ref_id: SYS.2.4.A5.1 + description: Die in macOS integrierten Ortungsdienste SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5 + ref_id: SYS.2.4.A5.2 + description: "Heruntergeladene Daten SOLLTEN NICHT automatisch ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a5 + ref_id: SYS.2.4.A5.3 + description: "Inhalte von optischen und anderen Medien SOLLTEN NICHT automatisch\ + \ ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A6 + name: Verwendung aktueller Mac-Hardware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6 + ref_id: SYS.2.4.A6.1 + description: "Werden neue Macs beschafft, SOLLTEN aktuelle Modelle ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6 + ref_id: SYS.2.4.A6.2 + description: "Werden bereits vorhandene Macs eingesetzt, SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden, ob diese sowie das darauf installierte Betriebssystem\ + \ weiterhin von Apple mit Sicherheits-Updates versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a6 + ref_id: SYS.2.4.A6.3 + description: "Werden die Macs nicht mehr durch Apple unterst\xFCtzt, SOLLTEN\ + \ sie nicht mehr verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A7 + name: "Zwei-Faktor-Authentisierung f\xFCr Apple-ID" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a7 + ref_id: SYS.2.4.A7.1 + description: "Die Zwei-Faktor-Authentisierung f\xFCr die Verwendung des Apple-ID-Kontos\ + \ SOLLTE aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A8 + name: "Keine Nutzung von iCloud f\xFCr sch\xFCtzenswerte Daten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8 + ref_id: SYS.2.4.A8.1 + description: "Es SOLLTE verhindert werden, dass sch\xFCtzenswerte Daten zwischen\ + \ mehreren Ger\xE4ten \xFCber iCloud-Dienste synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8 + ref_id: SYS.2.4.A8.2 + description: "Stattdessen SOLLTEN Daten nur \xFCber selbst betriebene Dienste\ + \ synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8 + ref_id: SYS.2.4.A8.3 + description: "Sch\xFCtzenswerte Daten SOLLTEN NICHT in iCloud gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a8 + ref_id: SYS.2.4.A8.4 + description: "Entw\xFCrfe, beispielsweise von E-Mails oder Dokumenten, SOLLTEN\ + \ NICHT automatisch in iCloud gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A9 + name: "Verwendung von zus\xE4tzlichen Schutzprogrammen unter macOS" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a9 + ref_id: SYS.2.4.A9.1 + description: "Bei Bedarf, etwa wenn Macs in einem heterogenen Netz betrieben\ + \ werden, SOLLTEN neben den integrierten Schutzmechanismen von macOS zus\xE4\ + tzlich Virenschutz-L\xF6sungen von Drittanbietern eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A10 + name: Aktivierung der Personal Firewall unter macOS + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a10 + ref_id: SYS.2.4.A10.1 + description: Die in macOS integrierte Personal Firewall SOLLTE aktiviert und + geeignet konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A11 + name: "Ger\xE4teaussonderung von Macs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a11 + ref_id: SYS.2.4.A11.1 + description: "Bei einer Aussonderung des Macs SOLLTEN der nichtfl\xFCchtige\ + \ Datenspeicher NVRAM (Non Volatile Random Access Memory) sowie der SMC (System\ + \ Management Controller) zur\xFCckgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4 + ref_id: SYS.2.4.A12 + name: Firmware-Kennwort und Boot-Schutz auf Macs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + ref_id: SYS.2.4.A12.1 + description: "Auf \xE4lteren Macs SOLLTE die Abfrage eines sicheren Firmware-Kennworts\ + \ im sogenannten \u201ECommand-Modus\u201C aktiviert werden, um ein unberechtigtes\ + \ Booten des Macs von einem anderen Startlaufwerk zu verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + ref_id: SYS.2.4.A12.2 + description: "Es SOLLTE gepr\xFCft werden, ob \xFCber den \u201EFull-Modus\u201C\ + \ ein Kennwort bei jedem Startvorgang abgefragt werden sollte." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + ref_id: SYS.2.4.A12.3 + description: "Auf Macs mit T2-Sicherheitschip SOLLTE ein Firmware-Passwort \xFC\ + ber das Startsicherheitsdienstprogramm gesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + ref_id: SYS.2.4.A12.4 + description: "Die Option \u201ESicheres Starten: Volle Sicherheit\u201C SOLLTE\ + \ aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.4.a12 + ref_id: SYS.2.4.A12.5 + description: "Die Option \u201EStarten von externen Medien nicht zulassen\u201C\ + \ SOLLTE aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + assessable: false + depth: 1 + ref_id: SYS.2.5 + name: 'Client-Virtualisierung ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A1 + name: Planung des Einsatzes virtueller Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1 + ref_id: SYS.2.5.A1.1 + description: Es MUSS festgelegt werden, welche Anwendungen auf den virtuellen + Clients eingesetzt werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1 + ref_id: SYS.2.5.A1.2 + description: "Die Aufgaben, die mit diesen Anwendungen gel\xF6st werden sollen,\ + \ M\xDCSSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1 + ref_id: SYS.2.5.A1.3 + description: "F\xFCr diese Anwendungen MUSS \xFCberpr\xFCft und dokumentiert\ + \ werden, welche Anforderungen an die Virtualisierungsinfrastruktur und deren\ + \ etwaige Zusatzhardware (z. B. Grafikkarten) gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a1 + ref_id: SYS.2.5.A1.4 + description: Der genutzte Virtualisierungsserver MUSS die notwendigen Ressourcen + hinsichtlich CPU, Arbeitsspeicher und Datenspeicher bereitstellen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A2 + name: "Planung der verwendeten Netze f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + ref_id: SYS.2.5.A2.1 + description: "Die Netze f\xFCr die Verbindung zwischen zugreifenden Clients\ + \ und virtuellen Clients sowie die Netze zur Anbindung nachgelagerter Dienste\ + \ an die virtuellen Clients (z. B. Verzeichnisdienst, E-Mail oder Internetzugriff)\ + \ M\xDCSSEN ausreichend leistungsf\xE4hig ausgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + ref_id: SYS.2.5.A2.2 + description: "Es MUSS geplant werden, welche Netzsegmente f\xFCr die virtuellen\ + \ Clients verwendet werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + ref_id: SYS.2.5.A2.3 + description: "Die Netzsegmente f\xFCr virtuelle Clients M\xDCSSEN von Netzsegmenten\ + \ f\xFCr Server getrennt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + ref_id: SYS.2.5.A2.4 + description: Eine bestehende Netztrennung DARF NICHT mithilfe eines virtuellen + Clients oder eines Virtualisierungsservers umgangen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a2 + ref_id: SYS.2.5.A2.5 + description: "F\xFCr virtuelle Clients MUSS festgelegt werden, ob und in welchem\ + \ Ausma\xDF die Kommunikation in nicht vertrauensw\xFCrdige Netze eingeschr\xE4\ + nkt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A3 + name: Schutz vor Schadsoftware auf den virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3 + ref_id: SYS.2.5.A3.1 + description: "F\xFCr die virtuellen Clients MUSS ein Schutz vor Schadsoftware\ + \ gem\xE4\xDF den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen und SYS.2.1\ + \ Allgemeiner Client sowie unter Ber\xFCcksichtigung der betriebssystemspezifischen\ + \ Bausteine umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3 + ref_id: SYS.2.5.A3.2 + description: Wird ein Virenschutzprogramm eingesetzt, MUSS festgelegt und dokumentiert + werden, ob dieser Schutz zentralisiert in der Virtualisierungsinfrastruktur, + dezentralisiert auf den virtuellen Clients oder in Mischformen umgesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3 + ref_id: SYS.2.5.A3.3 + description: "Falls die virtuellen Clients mit zentralen Komponenten gesch\xFC\ + tzt werden sollen, M\xDCSSEN diese zentralen Komponenten \xFCber eine ausreichende\ + \ Leistung verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a3 + ref_id: SYS.2.5.A3.4 + description: "Falls ein Virenschutzprogramm auf den virtuellen Clients ausgef\xFC\ + hrt wird, MUSS sichergestellt werden, dass die Leistung der Virtualisierungsinfrastruktur\ + \ ausreicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A4 + name: "Verwendung einer dedizierten Virtualisierungsinfrastruktur f\xFCr die\ + \ virtuellen Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a4 + ref_id: SYS.2.5.A4.1 + description: Die virtuellen Clients SOLLTEN auf einer dedizierten Virtualisierungsinfrastruktur + betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a4 + ref_id: SYS.2.5.A4.2 + description: "Virtuelle Server SOLLTEN NICHT auf derselben Virtualisierungsinfrastruktur\ + \ ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A5 + name: "Zus\xE4tzliche Netzsegmentierung f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.1 + description: "Folgende Kriterien SOLLTEN f\xFCr eine zus\xE4tzliche Netztrennung\ + \ der virtuellen Clients ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.2 + description: "\u2022 Nutzungsszenario f\xFCr die virtuellen Clients und Gruppenzugeh\xF6\ + rigkeit der Benutzenden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.3 + description: "\u2022 aus der Gruppenzugeh\xF6rigkeit abgeleitete Berechtigungen\ + \ der Benutzenden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.4 + description: "\u2022 auf den virtuellen Clients installierte und den Benutzenden\ + \ zur Verf\xFCgung gestellte Anwendungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.5 + description: "\u2022 Schutzbedarf der auf den virtuellen Clients verarbeiteten\ + \ Informationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.6 + description: "\u2022 Vertrauensw\xFCrdigkeit der virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a5 + ref_id: SYS.2.5.A5.7 + description: "\u2022 f\xFCr die Funktionsf\xE4higkeit der virtuellen Clients\ + \ notwendige Netzanbindungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A6 + name: Keine lokale Datenablage auf virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6 + ref_id: SYS.2.5.A6.1 + description: Durch die Benutzenden erstellte oder verarbeitete Daten SOLLTEN + zentral gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6 + ref_id: SYS.2.5.A6.2 + description: Die Daten SOLLTEN NICHT dauerhaft auf den virtuellen Clients abgelegt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6 + ref_id: SYS.2.5.A6.3 + description: "Benutzende, die sich mit virtuellen Clients verbinden, SOLLTEN\ + \ NICHT in der Lage sein, Daten aus den virtuellen Clients auf ihre lokalen\ + \ IT-Systeme zu \xFCbertragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a6 + ref_id: SYS.2.5.A6.4 + description: "Falls eine solche \xDCbertragung nachvollziehbar notwendig ist,\ + \ SOLLTE sie auf das notwendige Minimum beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A7 + name: Automatische Sperrung von Sitzungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7 + ref_id: SYS.2.5.A7.1 + description: Nachdem ein zugreifender Client seine Terminalserver-Sitzung beendet + hat, SOLLTE die aktive Sitzung auf dem virtuellen Client gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7 + ref_id: SYS.2.5.A7.2 + description: "Nach einer definierten Zeit der Inaktivit\xE4t SOLLTEN Verbindungen\ + \ zwischen zugreifendem und virtuellem Client beendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a7 + ref_id: SYS.2.5.A7.3 + description: "Falls der Einsatzzweck des jeweiligen virtuellen Clients dies\ + \ zul\xE4sst, SOLLTEN die virtuellen Clients in einen inaktiven Zustand versetzt\ + \ werden, nachdem die Verbindung beendet ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A8 + name: "H\xE4rtung der virtuellen Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.1 + description: "Die virtuellen Clients SOLLTEN geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.2 + description: "Hierbei SOLLTEN die folgenden Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.3 + description: "\u2022 Einschr\xE4nkung der Daten\xFCbertragung zwischen zugreifenden\ + \ und virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.4 + description: "\u2022 Weiterleitungen von Peripherieger\xE4ten oder externen\ + \ Datentr\xE4gern von zugreifenden an die virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.5 + description: "\u2022 Explizite Freigabe der Ausf\xFChrung von Anwendungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a8 + ref_id: SYS.2.5.A8.6 + description: "\u2022 Deaktivierung von Netzdiensten, die in der Virtualisierungsinfrastruktur\ + \ nicht ben\xF6tigt werden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A9 + name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9 + ref_id: SYS.2.5.A9.1 + description: Die Client-Anwendungen SOLLTEN zentral provisioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9 + ref_id: SYS.2.5.A9.2 + description: "Dazu SOLLTE eine geeignete zentral verwaltbare L\xF6sung eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a9 + ref_id: SYS.2.5.A9.3 + description: "Templates f\xFCr die virtuellen Clients SOLLTEN regelm\xE4\xDF\ + ig aktualisiert und getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A10 + name: Bedarfsgerechte Zuweisung von Ressourcen zu virtuellen Clients und Gruppen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10 + ref_id: SYS.2.5.A10.1 + description: "Anhand von Rollen und T\xE4tigkeiten SOLLTEN die Leistungsanforderungen\ + \ der einzelnen Benutzendengruppen an die virtuellen Clients identifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10 + ref_id: SYS.2.5.A10.2 + description: "Anhand dieser Anforderungen SOLLTE entschieden werden, wie viele\ + \ Ressourcen (z. B. Prozessorkerne oder Arbeitsspeicher) den einzelnen virtuellen\ + \ Clients zur Verf\xFCgung gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a10 + ref_id: SYS.2.5.A10.3 + description: "Zus\xE4tzliche Ressourcen wie GPUs (Graphics Processing Units)\ + \ SOLLTEN den Benutzenden nur bei Bedarf bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A11 + name: Vermeidung von verschachtelter Virtualisierung auf virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a11 + ref_id: SYS.2.5.A11.1 + description: Auf virtuellen Clients SOLLTEN keine weiteren virtuellen IT-Systeme + eingerichtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a11 + ref_id: SYS.2.5.A11.2 + description: "Falls technisch m\xF6glich, SOLLTEN in der zugrundeliegenden Virtualisierungsinfrastruktur\ + \ Funktionen aktiviert werden, die eine verschachtelte Virtualisierung erschweren\ + \ oder unterbinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A12 + name: Sensibilisierung der Benutzenden + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12 + ref_id: SYS.2.5.A12.1 + description: "Alle Benutzenden von virtuellen Clients SOLLTEN \xFCber den sicheren\ + \ Umgang mit virtuellen Clients sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12 + ref_id: SYS.2.5.A12.2 + description: "Falls die Ressourcen dynamisch anhand der abgerufenen Leistung\ + \ zwischen mehreren virtuellen Clients aufgeteilt werden, SOLLTEN die Benutzenden\ + \ dar\xFCber aufgekl\xE4rt werden, dass ihr Verhalten potenziell andere Benutzende\ + \ beeinflussen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12 + ref_id: SYS.2.5.A12.3 + description: "Falls die Sicherheitsanforderungen der auf virtuellen Clients\ + \ ausgef\xFChrten Anwendungen besonders sind, SOLLTE kommuniziert werden,\ + \ wie diese gegen\xFCber physischen Clients abweichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a12 + ref_id: SYS.2.5.A12.4 + description: Es SOLLTE auch kommuniziert werden, welche spezifischen Sicherheitsaspekte + zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A13 + name: Verhinderung der Kommunikation zwischen virtuellen Clients an einem gemeinsam + genutzten virtuellen Switch + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a13 + ref_id: SYS.2.5.A13.1 + description: Mechanismen SOLLTEN aktiviert werden, die eine unkontrollierte + Layer-2-Kommunikation zwischen virtuellen Clients an einem gemeinsam genutzten + virtuellen Switch unterbinden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A14 + name: "Erweiterte Sicherheitsfunktionen f\xFCr den Einsatz von virtuellen Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14 + ref_id: SYS.2.5.A14.1 + description: "Die virtuellen Clients SOLLTEN mit zus\xE4tzlichen Sicherheitsfunktionen\ + \ gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14 + ref_id: SYS.2.5.A14.2 + description: "Dabei SOLLTEN mindestens die folgenden Techniken ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14 + ref_id: SYS.2.5.A14.3 + description: "\u2022 Mikrosegmentierung f\xFCr die virtuellen Clients" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a14 + ref_id: SYS.2.5.A14.4 + description: "\u2022 Intrusion-Detection- oder Intrusion-Prevention-Systeme,\ + \ die entweder zentralisiert auf der Virtualisierungsinfrastruktur oder dezentral\ + \ auf den virtuellen Clients bereitgestellt werden" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A15 + name: Monitoring der virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.1 + description: "Der Zustand der virtuellen Clients SOLLTE zentral \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.2 + description: "Folgende Parameter SOLLTEN mindestens \xFCberwacht werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.3 + description: "\u2022 Erreichbarkeit der virtuellen Clients \xFCber alle vorgesehenen\ + \ Netzschnittstellen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.4 + description: "\u2022 Auslastung von CPU und Arbeitsspeicher der virtuellen Clients," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.5 + description: "\u2022 freie Festplattenkapazit\xE4t der virtuellen Clients sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.6 + description: "\u2022 Verf\xFCgbarkeit der f\xFCr den Zugriff eingesetzten Terminalserver-Dienste." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.7 + description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ + \ ermittelt werden (Baselining)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a15 + ref_id: SYS.2.5.A15.8 + description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ bei Bedarf angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A16 + name: "Erweiterte Protokollierung f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.1 + description: "F\xFCr virtuelle Clients SOLLTEN zus\xE4tzliche Ereignisse an\ + \ eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ + \ \xFCbermittelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.2 + description: 'Hierbei SOLLTEN mindestens die folgenden Ereignisse protokolliert + werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.3 + description: "\u2022 Aktionen, die mit administrativen Rechten ausgef\xFChrt\ + \ werden," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.4 + description: "\u2022 Konfigurations\xE4nderungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.5 + description: "\u2022 Installation von Software," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.6 + description: "\u2022 erfolgreiche und fehlgeschlagene Updates und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a16 + ref_id: SYS.2.5.A16.7 + description: "\u2022 alle Ereignisse, die durch den Schutz vor Schadsoftware\ + \ entstehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A17 + name: Erweitertes Monitoring der virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17 + ref_id: SYS.2.5.A17.1 + description: "Die virtuellen Clients SOLLTEN kontinuierlich darauf \xFCberwacht\ + \ werden, ob die in SYS.2.5.A16 Erweiterte Protokollierung f\xFCr virtuelle\ + \ Clients beschriebenen Ereignisse auftreten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17 + ref_id: SYS.2.5.A17.2 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTEN die virtuellen Clients darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17 + ref_id: SYS.2.5.A17.3 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse auf Anomalien inklusive\ + \ Angriffsmustern automatisiert analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a17 + ref_id: SYS.2.5.A17.4 + description: "Die virtuellen Clients SOLLTEN automatisch und regelm\xE4\xDF\ + ig auf Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5 + ref_id: SYS.2.5.A18 + name: "Hochverf\xFCgbare Bereitstellung der Virtualisierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + ref_id: SYS.2.5.A18.1 + description: "Die virtuellen Clients SOLLTEN hochverf\xFCgbar bereitgestellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + ref_id: SYS.2.5.A18.2 + description: Dies SOLLTE durch die zugrundeliegende Virtualisierungsinfrastruktur + sichergestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + ref_id: SYS.2.5.A18.3 + description: Die Virtualisierungsserver SOLLTEN redundant an die relevanten + Netze angeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + ref_id: SYS.2.5.A18.4 + description: Bei Ressourcenknappheit SOLLTEN die virtuellen Clients automatisch + zwischen den Virtualisierungsservern migriert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.5.a18 + ref_id: SYS.2.5.A18.5 + description: Bei Ausfall eines Virtualisierungsservers SOLLTEN die virtuellen + Clients automatisiert auf einem anderen Virtualisierungsserver gestartet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + assessable: false + depth: 1 + ref_id: SYS.2.6 + name: 'Virtual Desktop Infrastructure ' + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A1 + name: Planung des Einsatzes einer VDI + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.1 + description: "Die Leistungsanforderungen und Anzahl der ben\xF6tigten virtuellen\ + \ Clients sowie die daraus resultierenden Anforderungen an die Dimensionierung\ + \ der VDI M\xDCSSEN identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.2 + description: "Die VDI-Komponenten M\xDCSSEN anhand dieser Dimensionierungsanforderungen\ + \ bedarfsgerecht geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.3 + description: "Die VDI-Komponenten und die genutzte Virtualisierungsinfrastruktur\ + \ M\xDCSSEN aufeinander abgestimmt geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.4 + description: "Bei der Dimensionierung der VDI MUSS ber\xFCcksichtigt werden,\ + \ ob und wie sich die Anforderungen hieran \xFCber den geplanten Einsatzzeitraum\ + \ der VDI-L\xF6sung \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.5 + description: "Der Support MUSS f\xFCr den gesamten geplanten Einsatzzeitraum\ + \ der VDI-L\xF6sung bei der Planung mitber\xFCcksichtig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a1 + ref_id: SYS.2.6.A1.6 + description: "Die Anzahl virtueller Clients und deren ben\xF6tigte Leistung\ + \ pro Virtualisierungsserver MUSS festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A2 + name: Sichere Installation und Konfiguration der VDI-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.1 + description: "Wenn die VDI-Komponenten installiert und konfiguriert werden,\ + \ MUSS mindestens ber\xFCcksichtigt werden, wie:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.2 + description: "\u2022 auf betrieblich und technisch notwendige Funktionen beschr\xE4\ + nkt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.3 + description: "\u2022 die Kommunikation zwischen VDI-Komponenten abgesichert\ + \ wird sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.4 + description: "\u2022 virtuelle Clients sicher den Benutzenden oder Gruppen hiervon\ + \ zugewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.5 + description: "Empfehlungen von dem herstellenden Unternehmen der VDI-L\xF6sung\ + \ f\xFCr die sichere Konfiguration M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a2 + ref_id: SYS.2.6.A2.6 + description: "Die Konfigurationen der VDI-Komponenten M\xDCSSEN geeignet dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A3 + name: Sichere Installation und Konfiguration der virtuellen Clients mithilfe + der VDI + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3 + ref_id: SYS.2.6.A3.1 + description: "Die VDI-L\xF6sung SOLLTE genutzt werden, um die virtuellen Clients\ + \ zu installieren und zu konfigurieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3 + ref_id: SYS.2.6.A3.2 + description: "Virtuelle Clients SOLLTEN NICHT manuell in die VDI-L\xF6sung integriert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a3 + ref_id: SYS.2.6.A3.3 + description: "In der f\xFCr die VDI verwendeten Virtualisierungsinfrastruktur\ + \ SOLLTEN virtuelle Clients NICHT unabh\xE4ngig von der VDI erzeugt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A4 + name: Netzsegmentierung der VDI-Komponenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4 + ref_id: SYS.2.6.A4.1 + description: "Die VDI-Komponenten inklusive der virtuellen Clients SOLLTEN bei\ + \ der Netzsegmentierung gesondert ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4 + ref_id: SYS.2.6.A4.2 + description: Netze SOLLTEN dabei mindestens mit Hilfe der Virtualisierungsinfrastruktur + getrennt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a4 + ref_id: SYS.2.6.A4.3 + description: "Dedizierte Netzsegmente SOLLTEN mindestens f\xFCr das Administrationsnetz\ + \ der VDI-Komponenten und f\xFCr die Netze der internen Kommunikation zwischen\ + \ VDI-Komponenten eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A5 + name: Standardisierter Zugriff auf virtuelle Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a5 + ref_id: SYS.2.6.A5.1 + description: "Die Mechanismen und Dienste der VDI-L\xF6sung SOLLTEN genutzt\ + \ werden, um die Zugriffe auf die virtuellen Clients zu steuern und abzusichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a5 + ref_id: SYS.2.6.A5.2 + description: "Falls eine zus\xE4tzliche Software f\xFCr diese Zugriffe auf den\ + \ zugreifenden Clients eingesetzt wird, SOLLTE diese Software standardisiert\ + \ und zentralisiert bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A6 + name: "Verwendung einer dedizierten Infrastruktur f\xFCr virtuelle VDI-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a6 + ref_id: SYS.2.6.A6.1 + description: Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN + sie auf einer dedizierten Virtualisierungsinfrastruktur betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A7 + name: "H\xE4rtung der virtualisierten Clients durch die VDI-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7 + ref_id: SYS.2.6.A7.1 + description: "Die M\xF6glichkeiten der VDI-L\xF6sung SOLLTEN f\xFCr die H\xE4\ + rtung der virtuellen Clients entsprechend den Anforderungen des Bausteins\ + \ SYS.2.5 Client-Virtualisierung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7 + ref_id: SYS.2.6.A7.2 + description: "Die Betriebssysteme der Clients SOLLTEN ausschlie\xDFlich \xFC\ + ber die Managementkomponente der VDI-L\xF6sung konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a7 + ref_id: SYS.2.6.A7.3 + description: "Eine individuelle Konfiguration bestehender virtueller Clients\ + \ \xFCber die Virtualisierungsinfrastruktur SOLLTE mit technischen Mitteln\ + \ unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A8 + name: "H\xE4rtung der VDI-L\xF6sung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a8 + ref_id: SYS.2.6.A8.1 + description: "Eine automatische Anmeldung an der VDI SOLLTE nicht m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a8 + ref_id: SYS.2.6.A8.2 + description: Die Authentisierung SOLLTE nur erfolgen, nachdem die Benutzenden + mit der VDI interagiert haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A9 + name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9 + ref_id: SYS.2.6.A9.1 + description: "Die virtuellen Clients SOLLTEN, wenn m\xF6glich, zentral \xFC\ + ber die Managementkomponenten der VDI-L\xF6sung verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9 + ref_id: SYS.2.6.A9.2 + description: "Die virtuellen Clients SOLLTEN auch im ausgeschalteten Zustand\ + \ gepatcht werden, falls dies von der VDI-L\xF6sung unterst\xFCtzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a9 + ref_id: SYS.2.6.A9.3 + description: "Die Templates, aus denen virtuelle Clients erzeugt werden, SOLLTEN\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A10 + name: "Monitoring von Verf\xFCgbarkeit und Nutzungsgrad der VDI" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + ref_id: SYS.2.6.A10.1 + description: "Der Zustand der VDI-Komponenten SOLLTE zentral \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + ref_id: SYS.2.6.A10.2 + description: "Es SOLLTEN mindestens folgende Parameter f\xFCr jede VDI-Komponente\ + \ \xFCberwacht werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + ref_id: SYS.2.6.A10.3 + description: "\u2022 Erreichbarkeit der ben\xF6tigten Netzschnittstellen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + ref_id: SYS.2.6.A10.4 + description: "\u2022 Verf\xFCgbarkeit der von der VDI-Komponente bereitgestellten\ + \ Dienste" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a10 + ref_id: SYS.2.6.A10.5 + description: "\u2022 Auslastung der CPU und des Arbeitsspeichers" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A11 + name: Monitoring von sicherheitsrelevanten Ereignissen der VDI + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + ref_id: SYS.2.6.A11.1 + description: "F\xFCr die VDI-Komponenten SOLLTEN mindestens die folgenden Ereignisse\ + \ an ein zentrales Monitoring weitergeleitet werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + ref_id: SYS.2.6.A11.2 + description: "\u2022 erfolgreiche und fehlgeschlagene Anmeldeversuche" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + ref_id: SYS.2.6.A11.3 + description: "\u2022 Konfigurations\xE4nderungen an VDI-Komponenten oder virtuellen\ + \ Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + ref_id: SYS.2.6.A11.4 + description: "\u2022 erfolgreiche und fehlgeschlagene Updates an VDI-Komponenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a11 + ref_id: SYS.2.6.A11.5 + description: "\u2022 fehlgeschlagene Updates an virtuellen Clients Die VDI-Komponenten\ + \ SOLLTEN regelm\xE4\xDFig auf Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A12 + name: Verteilung von virtuellen Clients auf Virtualisierungsservern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a12 + ref_id: SYS.2.6.A12.1 + description: "Pro Virtualisierungsserver SOLLTE die maximale Leistung festgelegt\ + \ werden, die dieser f\xFCr virtuelle Clients zur Verf\xFCgung stellen darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a12 + ref_id: SYS.2.6.A12.2 + description: Diese Grenzwerte SOLLTEN in der VDI-Managementkomponente genutzt + werden, um bei hoher Auslastung die virtuellen Clients auf verschiedene Virtualisierungsserver + zu verteilen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A13 + name: "Verwendung getrennter VDI-L\xF6sungen f\xFCr unterschiedliche Benutzendengruppen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a13 + ref_id: SYS.2.6.A13.1 + description: "Es SOLLTE gepr\xFCft werden, ob es Benutzendengruppen gibt, die\ + \ sich in ihren Berechtigungen so stark unterscheiden, dass die Nutzung einer\ + \ gemeinsamen VDI-L\xF6sung nicht sinnvoll ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a13 + ref_id: SYS.2.6.A13.2 + description: "In diesem Fall SOLLTE jeweils eine eigene VDI-L\xF6sung pro Benutzendengruppe\ + \ verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A14 + name: Verwendung von nicht-persistenten virtuellen Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14 + ref_id: SYS.2.6.A14.1 + description: "Nachdem sie benutzt wurden oder zu einem definierten Zeitpunkt\ + \ SOLLTEN die virtuellen Clients auf ihren Grundzustand, d. h. auf das zugrundeliegende\ + \ Template, zur\xFCckgesetzt oder bei Bedarf neu provisioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14 + ref_id: SYS.2.6.A14.2 + description: Diese Zeitfenster SOLLTEN dokumentiert und an die Betroffenen kommuniziert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a14 + ref_id: SYS.2.6.A14.3 + description: "Nicht zur\xFCckgesetzte virtuelle Clients SOLLTEN NICHT von mehreren\ + \ unterschiedlichen Benutzenden verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A15 + name: "Hochverf\xFCgbare Bereitstellung der VDI-Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15 + ref_id: SYS.2.6.A15.1 + description: Die VDI-Komponenten SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15 + ref_id: SYS.2.6.A15.2 + description: "Jede Komponente SOLLTE dar\xFCber hinaus redundant an die relevanten\ + \ Netze angeschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15 + ref_id: SYS.2.6.A15.3 + description: "Falls die VDI-Komponenten auf physischen IT-Systemen betrieben\ + \ werden, SOLLTEN diese IT-Systeme \xFCber redundante Stromversorgung und\ + \ Datenspeicher verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a15 + ref_id: SYS.2.6.A15.4 + description: "Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN\ + \ Mechanismen der Virtualisierungsinfrastruktur f\xFCr die Hochverf\xFCgbarkeit\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6 + ref_id: SYS.2.6.A16 + name: Integration der VDI in ein SIEM + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a16 + ref_id: SYS.2.6.A16.1 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTEN die VDI-Komponenten darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.2.6.a16 + ref_id: SYS.2.6.A16.2 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse automatisiert hinsichtlich\ + \ Anomalien inklusive Angriffsmustern analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + assessable: false + depth: 1 + ref_id: SYS.3.1 + name: Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A1 + name: Regelungen zur mobilen Nutzung von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1 + ref_id: SYS.3.1.A1.1 + description: "Es MUSS klar geregelt werden, was Mitarbeitende bei der mobilen\ + \ Nutzung von Laptops ber\xFCcksichtigen m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1 + ref_id: SYS.3.1.A1.2 + description: "Es MUSS insbesondere festgelegt werden, welche Laptops mobil genutzt\ + \ werden d\xFCrfen, wer sie mitnehmen darf und welche grundlegenden Sicherheitsma\xDF\ + nahmen dabei zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a1 + ref_id: SYS.3.1.A1.3 + description: "Die Benutzenden M\xDCSSEN auf die Regelungen hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A3 + name: Einsatz von Personal Firewalls + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3 + ref_id: SYS.3.1.A3.1 + description: "Auf Laptops MUSS eine Personal Firewall aktiv sein, wenn sie au\xDF\ + erhalb von Netzen der Institution eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3 + ref_id: SYS.3.1.A3.2 + description: "Die Filterregeln der Firewall M\xDCSSEN so restriktiv wie m\xF6\ + glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3 + ref_id: SYS.3.1.A3.3 + description: "Die Filterregeln M\xDCSSEN regelm\xE4\xDFig getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a3 + ref_id: SYS.3.1.A3.4 + description: "Die Personal Firewall MUSS so konfiguriert werden, dass die Benutzenden\ + \ nicht durch Warnmeldungen bel\xE4stigt werden, die sie nicht interpretieren\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A6 + name: "Sicherheitsrichtlinien f\xFCr Laptops" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6 + ref_id: SYS.3.1.A6.1 + description: "F\xFCr Laptops SOLLTE eine Sicherheitsrichtlinie erstellt werden,\ + \ die regelt, wie die Ger\xE4te benutzt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6 + ref_id: SYS.3.1.A6.2 + description: Die Benutzenden SOLLTEN hinsichtlich des Schutzbedarfs von Laptops + und der dort gespeicherten Daten sensibilisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6 + ref_id: SYS.3.1.A6.3 + description: "Auch SOLLTEN sie auf die spezifischen Gef\xE4hrdungen bzw. die\ + \ entsprechenden Anforderungen f\xFCr die Nutzung aufmerksam gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a6 + ref_id: SYS.3.1.A6.4 + description: "Sie SOLLTEN au\xDFerdem dar\xFCber informiert werden, welche Art\ + \ von Informationen sie auf Laptops verarbeiten d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A7 + name: "Geregelte \xDCbergabe und R\xFCcknahme eines Laptops" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + ref_id: SYS.3.1.A7.1 + description: "Wenn Laptops von verschiedenen Personen abwechselnd genutzt werden,\ + \ SOLLTE geregelt werden, wie sie sicher \xFCbergeben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + ref_id: SYS.3.1.A7.2 + description: "Auch SOLLTE geregelt werden, wie sie wieder sicher zur\xFCckzunehmen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + ref_id: SYS.3.1.A7.3 + description: "Vor der Weitergabe eines Laptops SOLLTEN eventuell vorhandene\ + \ sch\xFCtzenswerte Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + ref_id: SYS.3.1.A7.4 + description: "Falls der Laptop vor der Weitergabe nicht neu aufgesetzt wird,\ + \ SOLLTE sichergestellt sein, dass sich auf dem IT-System und allen damit\ + \ verbundenen Datentr\xE4gern keine Schadsoftware befindet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a7 + ref_id: SYS.3.1.A7.5 + description: "Gemeinsam mit einem Laptop SOLLTE ein Merkblatt f\xFCr den sicheren\ + \ Umgang mit dem Ger\xE4t ausgeh\xE4ndigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A8 + name: Sicherer Anschluss von Laptops an Datennetze + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a8 + ref_id: SYS.3.1.A8.1 + description: Es SOLLTE geregelt werden, wie Laptops sicher an eigene oder fremde + Datennetze und an das Internet angeschlossen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a8 + ref_id: SYS.3.1.A8.2 + description: "Nur zugelassene Laptops SOLLTEN sich am internen Netz der Institution\ + \ anmelden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A9 + name: Sicherer Fernzugriff mit Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a9 + ref_id: SYS.3.1.A9.1 + description: "Aus \xF6ffentlich zug\xE4nglichen Netzen DARF NUR \xFCber einen\ + \ sicheren Kommunikationskanal auf das interne Netz der Institution zugegriffen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A10 + name: "Abgleich der Datenbest\xE4nde von Laptops" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10 + ref_id: SYS.3.1.A10.1 + description: "Es SOLLTE geregelt werden, wie Daten von Laptops in den Informationsverbund\ + \ der Institution \xFCbernommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10 + ref_id: SYS.3.1.A10.2 + description: "Wenn ein Synchronisationstool benutzt wird, SOLLTE sichergestellt\ + \ sein, dass Synchronisationskonflikte aufgel\xF6st werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10 + ref_id: SYS.3.1.A10.3 + description: Der Synchronisationsvorgang SOLLTE protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a10 + ref_id: SYS.3.1.A10.4 + description: "Au\xDFerdem SOLLTEN die Benutzenden angewiesen werden, die Synchronisationsprotokolle\ + \ zu pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A11 + name: Sicherstellung der Energieversorgung von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a11 + ref_id: SYS.3.1.A11.1 + description: "Alle Benutzenden SOLLTEN dar\xFCber informiert werden, wie sie\ + \ die Energieversorgung von Laptops im mobilen Einsatz optimal sicherstellen\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a11 + ref_id: SYS.3.1.A11.2 + description: "Vorhandene Ersatzakkus SOLLTEN in geeigneten H\xFCllen gelagert\ + \ und transportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A12 + name: "Verlustmeldung f\xFCr Laptops" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12 + ref_id: SYS.3.1.A12.1 + description: Benutzende SOLLTEN umgehend melden, wenn ein Laptop verloren gegangen + ist oder gestohlen wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12 + ref_id: SYS.3.1.A12.2 + description: "Daf\xFCr SOLLTE es in der Institution klare Meldewege geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12 + ref_id: SYS.3.1.A12.3 + description: Wenn verlorene Laptops wieder auftauchen, SOLLTE untersucht werden, + ob sie eventuell manipuliert wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a12 + ref_id: SYS.3.1.A12.4 + description: Die darauf eingesetzte Software inklusive des Betriebssystems SOLLTE + komplett neu installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A13 + name: "Verschl\xFCsselung von Laptops" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a13 + ref_id: SYS.3.1.A13.1 + description: "In Laptops verbaute Datentr\xE4ger wie Festplatten oder SSDs SOLLTEN\ + \ verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A14 + name: Geeignete Aufbewahrung von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a14 + ref_id: SYS.3.1.A14.1 + description: "Alle Benutzenden SOLLTEN darauf hingewiesen werden, wie Laptops\ + \ au\xDFerhalb der Institution sicher aufzubewahren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a14 + ref_id: SYS.3.1.A14.2 + description: "Abh\xE4ngig vom Schutzbedarf der darauf gespeicherten Daten SOLLTEN\ + \ Laptops auch in den R\xE4umen der Institution au\xDFerhalb der Nutzungszeiten\ + \ gegen Diebstahl gesichert bzw. verschlossen aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A15 + name: Geeignete Auswahl von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15 + ref_id: SYS.3.1.A15.1 + description: "Bevor Laptops beschafft werden, SOLLTE eine Anforderungsanalyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15 + ref_id: SYS.3.1.A15.2 + description: "Anhand der Ergebnisse SOLLTEN alle infrage kommenden Ger\xE4te\ + \ bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a15 + ref_id: SYS.3.1.A15.3 + description: Die Beschaffungsentscheidung SOLLTE mit dem IT-Betrieb abgestimmt + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A16 + name: Zentrale Administration und Verwaltung von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a16 + ref_id: SYS.3.1.A16.1 + description: Es SOLLTE eine geeignete Regelung definiert werden, wie Laptops + zentral zu administrieren und verwalten sind. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a16 + ref_id: SYS.3.1.A16.2 + description: "Ein Tool zum zentralen Laptop-Management SOLLTE m\xF6glichst alle\ + \ eingesetzten Betriebssysteme unterst\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A17 + name: Sammelaufbewahrung von Laptops + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a17 + ref_id: SYS.3.1.A17.1 + description: Nicht benutzte Laptops SOLLTEN in einem geeignet abgesicherten + Raum vorgehalten werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a17 + ref_id: SYS.3.1.A17.2 + description: "Der daf\xFCr genutzte Raum SOLLTE den Anforderungen aus dem Baustein\ + \ INF.5 Raum sowie Schrank f\xFCr technische Infrastruktur entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1 + ref_id: SYS.3.1.A18 + name: Einsatz von Diebstahl-Sicherungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a18 + ref_id: SYS.3.1.A18.1 + description: "Es SOLLTE geregelt werden, welche Diebstahlsicherungen f\xFCr\ + \ Laptops eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.1.a18 + ref_id: SYS.3.1.A18.2 + description: Bei mechanischen Sicherungen SOLLTE besonders auf ein gutes Schloss + geachtet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + assessable: false + depth: 1 + ref_id: SYS.3.2.1 + name: Allgemeine Smartphones und Tablets + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A1 + name: "Festlegung einer Richtlinie f\xFCr den Einsatz von Smartphones und Tablets" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a1 + ref_id: SYS.3.2.1.A1.1 + description: "Bevor eine Institution Smartphones oder Tablets bereitstellt,\ + \ betreibt oder einsetzt, MUSS eine generelle Richtlinie f\xFCr die Nutzung\ + \ und Kontrolle der Ger\xE4te festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a1 + ref_id: SYS.3.2.1.A1.2 + description: Hierbei MUSS unter anderem festgelegt werden, wer mit Smartphones + auf welche Informationen der Institution zugreifen darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A2 + name: "Festlegung einer Strategie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.1 + description: "Die Institution MUSS im Zusammenhang mit Smartphones und Tablets\ + \ eine generelle Strategie f\xFCr die Cloud-Nutzung sowie f\xFCr den Schutz\ + \ und die Kontrolle der Informationen festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.2 + description: "Die erlaubte Nutzung von Cloud-Diensten f\xFCr Informationen der\ + \ Institution MUSS gekl\xE4rt und festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.3 + description: "Es MUSS festgelegt werden, ob und in welchem Umfang Cloud-Dienste\ + \ bei privater Nutzung der Ger\xE4te erlaubt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.4 + description: "Die Benutzenden M\xDCSSEN regelm\xE4\xDFig bez\xFCglich der Nutzung\ + \ solcher Cloud-Dienste sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A3 + name: "Sichere Grundkonfiguration f\xFCr mobile Ger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.1 + description: "Alle mobilen Endger\xE4te M\xDCSSEN so konfiguriert sein, dass\ + \ sie das erforderliche Schutzniveau angemessen erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.2 + description: "Daf\xFCr MUSS eine passende Grundkonfiguration der Sicherheitsmechanismen\ + \ und -einstellungen zusammengestellt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.3 + description: "Nicht ben\xF6tigte Funktionen SOLLTEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.4 + description: "Die Freischaltung von Kommunikationsschnittstellen MUSS geregelt\ + \ und auf das dienstlich notwendige Ma\xDF reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.5 + description: Nicht benutzte Schnittstellen SOLLTEN deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A4 + name: Verwendung eines Zugriffsschutzes + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.1 + description: "Smartphones und Tablets M\xDCSSEN mit einem angemessen komplexen\ + \ Ger\xE4tesperrcode gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.2 + description: Die Bildschirmsperre MUSS genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.3 + description: Die Anzeige von vertraulichen Informationen auf dem Sperrbildschirm + MUSS deaktiviert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.4 + description: "Alle mobilen Ger\xE4te M\xDCSSEN nach einer angemessen kurzen\ + \ Zeitspanne selbstt\xE4tig die Bildschirmsperre aktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.5 + description: "Diese Zeitspanne MUSS in Abh\xE4ngigkeit zum angestrebten Schutzniveau\ + \ stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.6 + description: "Bei jedem fehlgeschlagenen Versuch, das Ger\xE4t zu entsperren,\ + \ SOLLTE sich die Wartezeit zu einem neuen Versuch verl\xE4ngern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.7 + description: "Die Anzahl der Ger\xE4tesperrcodes, nach der sich ein Code wiederholen\ + \ darf, SOLLTE festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.8 + description: "Nach mehreren fehlgeschlagenen Versuchen, den Bildschirm zu entsperren,\ + \ SOLLTE sich das mobile Ger\xE4t in den Werkszustand zur\xFCcksetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.9 + description: "Es SOLLTEN dabei die Daten oder die Verschl\xFCsselungsschl\xFC\ + ssel sicher vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.10 + description: Es SOLLTE vermieden werden, dass die Benutzenden bei einem Passwortwechsel + Kennworte nutzen, die erst vor Kurzem verwendet wurden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A5 + name: Updates von Betriebssystem und Apps + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.1 + description: "Bereits bei der Auswahl von zu beschaffenden mobilen Ger\xE4ten\ + \ MUSS die Institution darauf achten, dass die herstellende Institution angibt,\ + \ \xFCber welchen geplanten Nutzungszeitraum Sicherheitsaktualisierungen f\xFC\ + r die Ger\xE4te bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.2 + description: "\xC4ltere Ger\xE4te, f\xFCr die keine Aktualisierungen mehr bereitgestellt\ + \ werden, M\xDCSSEN ausgesondert und durch von der herstellenden Institution\ + \ unterst\xFCtzte Ger\xE4te ersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.3 + description: "Apps SOLLTEN ebenfalls NICHT mehr eingesetzt werden, wenn sie\ + \ nicht mehr durch die herstellende Institution unterst\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A6 + name: Datenschutzeinstellungen und Berechtigungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.1 + description: "Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen\ + \ MUSS angemessen eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.2 + description: "Die Datenschutzeinstellungen M\xDCSSEN so restriktiv wie m\xF6\ + glich konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.3 + description: "Insbesondere der Zugriff auf Kamera, Mikrofon sowie Ortungs- und\ + \ Gesundheits- bzw. Fitnessdaten MUSS auf Konformit\xE4t mit den organisationsinternen\ + \ Datenschutz- und Sicherheitsvorgaben \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.4 + description: Der Zugriff MUSS restriktiv konfiguriert bzw. deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.5 + description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so festgelegt\ + \ werden, dass sie nicht durch Benutzende oder Apps ge\xE4ndert werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.6 + description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ + \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.7 + description: Dies gilt insbesondere auch nach der Installation von Updates. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A7 + name: "Verhaltensregeln bei Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a7 + ref_id: SYS.3.2.1.A7.1 + description: "Gehen Ger\xE4te verloren oder werden unberechtigte \xC4nderungen\ + \ an Ger\xE4t und Software festgestellt, M\xDCSSEN die Benutzenden sofort\ + \ die Zust\xE4ndigen informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A8 + name: Installation von Apps + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.1 + description: "Die Institution MUSS regeln, ob, wie und welche Apps Benutzende\ + \ selbst auf ihren Ger\xE4ten installieren d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.2 + description: "Sie SOLLTEN nur freigegebene Apps installieren d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.3 + description: "Die Institution MUSS festlegen, aus welchen Quellen Apps installiert\ + \ werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.4 + description: Es MUSS unterbunden werden, dass sich Apps aus nicht zugelassenen + Quellen installieren lassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A9 + name: Restriktive Nutzung von funktionalen Erweiterungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.1 + description: Funktionale Erweiterungen SOLLTEN nur restriktiv genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.2 + description: "Wenn m\xF6glich, SOLLTE auf funktionale Erweiterungen verzichtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.3 + description: "Die funktionalen Erweiterungen SOLLTEN keinen automatischen Zugriff\ + \ auf sch\xFCtzenswerte Informationen haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.4 + description: "Sie SOLLTEN die festgelegte Grundkonfiguration nicht umgehen oder\ + \ \xE4ndern k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A10 + name: "Richtlinie f\xFCr Mitarbeitende zur Benutzung von mobilen Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.1 + description: "Eine verbindliche Richtlinie f\xFCr Mitarbeitende zur Benutzung\ + \ von mobilen Ger\xE4ten SOLLTE erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.2 + description: "Diese SOLLTE festlegen, wie mobile Ger\xE4te genutzt und gepflegt\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.3 + description: Die Themen Aufbewahrung und Verlustmeldung SOLLTEN darin behandelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.4 + description: "Au\xDFerdem SOLLTE verboten werden, Verwaltungssoftware zu deinstallieren,\ + \ das Ger\xE4t zu rooten oder sicherheitsrelevante Konfigurationen zu \xE4\ + ndern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A11 + name: "Verschl\xFCsselung des Speichers" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a11 + ref_id: SYS.3.2.1.A11.1 + description: "Der nichtfl\xFCchtige Speicher des mobilen Ger\xE4ts SOLLTE verschl\xFC\ + sselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a11 + ref_id: SYS.3.2.1.A11.2 + description: "Sch\xFCtzenswerte Daten auf zus\xE4tzlich verwendeten Speichermedien,\ + \ wie SD-Karten, SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A12 + name: "Verwendung nicht personalisierter Ger\xE4tenamen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a12 + ref_id: SYS.3.2.1.A12.1 + description: "Der Ger\xE4tename SOLLTE keine Hinweise auf die Institution oder\ + \ die Benutzenden enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A13 + name: Regelungen zum Screensharing und Casting + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.1 + description: "Es SOLLTE entschieden werden, ob und wie Funktionen zur \xDCbertragung\ + \ von Bildschirminhalten, Audio oder Video (Screensharing oder Casting) eingesetzt\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.2 + description: Die Funktionen SOLLTEN organisatorisch oder technisch geregelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.3 + description: Hierzu SOLLTE eine entsprechende Vereinbarung mit den Benutzenden + getroffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A16 + name: Deaktivierung nicht benutzter Kommunikationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a16 + ref_id: SYS.3.2.1.A16.1 + description: Kommunikationsschnittstellen SOLLTEN nur bei Bedarf und nur in + geeigneten Umgebungen aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a16 + ref_id: SYS.3.2.1.A16.2 + description: "Wird ein MDM verwendet, SOLLTEN die Schnittstellen zentral \xFC\ + ber das MDM verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A18 + name: Verwendung biometrischer Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.1 + description: "Wenn biometrische Verfahren zur Authentisierung (z. B. ein Fingerabdrucksensor)\ + \ genutzt werden sollen, SOLLTE gepr\xFCft werden, ob dadurch ein \xE4hnlich\ + \ hoher oder h\xF6herer Schutz im Vergleich zu einem Ger\xE4tepasswort erzielt\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.2 + description: Im Zweifelsfall oder bei einem schlechteren Schutz SOLLTEN biometrische + Verfahren NICHT genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.3 + description: "Die Benutzenden SOLLTEN f\xFCr die F\xE4lschbarkeit von biometrischen\ + \ Merkmalen sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A19 + name: Verwendung von Sprachassistenten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.1 + description: Sprachassistenten SOLLTEN nur eingesetzt werden, wenn sie zwingend + notwendig sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.2 + description: Andernfalls SOLLTEN sie deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.3 + description: "Generell SOLLTE ein Sprachassistent nicht genutzt werden k\xF6\ + nnen, wenn das Ger\xE4t gesperrt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A22 + name: "Einbindung mobiler Ger\xE4te in die interne Infrastruktur via VPN" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.1 + description: "Mobile Endger\xE4te SOLLTEN nur mittels eines VPN in die Infrastruktur\ + \ der Institution integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.2 + description: "Hierzu SOLLTE ein geeignetes Verfahren ausgew\xE4hlt und eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.3 + description: "Statt durch Passw\xF6rter SOLLTEN sich die Ger\xE4te \xFCber Zertifikate\ + \ gegen\xFCber der internen Infrastruktur authentisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A25 + name: Nutzung von getrennten Arbeitsumgebungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.1 + description: "Ist es den Mitarbeitenden erlaubt, dienstliche Ger\xE4te auch\ + \ privat zu nutzen, SOLLTEN L\xF6sungen f\xFCr getrennte Arbeitsumgebungen\ + \ auf dem Endger\xE4t eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.2 + description: "Wenn m\xF6glich, SOLLTEN daf\xFCr nur zertifizierte Produkte (z.\ + \ B. nach Common Criteria) beschafft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.3 + description: "Dienstliche Daten SOLLTEN ausschlie\xDFlich in der dienstlichen\ + \ Umgebung verbleiben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A26 + name: Nutzung von PIM-Containern + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a26 + ref_id: SYS.3.2.1.A26.1 + description: "Informationen auf den mobilen Endger\xE4ten SOLLTEN gekapselt\ + \ werden, zum Beispiel in einem PIM-Container." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a26.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a26 + ref_id: SYS.3.2.1.A26.2 + description: "Zus\xE4tzlich SOLLTEN die Daten durch eine separate Authentisierung\ + \ und eine vom Betriebssystem unabh\xE4ngige Daten- und Transportverschl\xFC\ + sselung abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A27 + name: "Einsatz besonders abgesicherter Endger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a27.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a27 + ref_id: SYS.3.2.1.A27.1 + description: "Institutionen SOLLTEN abh\xE4ngig vom Schutzbedarf besonders abgesicherte\ + \ mobile Endger\xE4te einsetzen, die f\xFCr die Verarbeitung von Informationen\ + \ nach gesetzlichen Informationsschutz-Klassifizierungen zertifiziert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A28 + name: "Verwendung der Filteroption f\xFCr Webseiten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.1 + description: "Wird in der Institution bereits ein Reputationsdienst oder ein\ + \ entsprechender Proxy-Server verwendet, SOLLTE dieser als globaler HTTP-Proxy\ + \ f\xFCr alle installierten Browser hinterlegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.2 + description: "Ist der Proxy nur im internen Netz erreichbar, SOLLTEN die Endger\xE4\ + te \xFCber eine VPN-Verbindung wahlweise permanent oder basierend auf den\ + \ verwendeten Apps geeignet eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.3 + description: "Sind die mobilen Endger\xE4te nicht in eine vorhandene Proxy-\ + \ oder Reputations-Infrastruktur der Institution eingebunden, SOLLTEN f\xFC\ + r Webbrowser Filteroptionen auf Basis von Allowlists oder Blocklists oder\ + \ Inhaltsfilter Dritter verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A29 + name: Verwendung eines institutionsbezogenen APN + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.1 + description: "Es SOLLTE gepr\xFCft werden, ob ein institutionsbezogener Zugangspunkt\ + \ zum Mobilfunknetz (APN, Access Point Name) zur Eingrenzung des erlaubten\ + \ Ger\xE4te-Pools verwendet werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.2 + description: "Alle Ger\xE4te, die diesen APN verwenden, SOLLTEN vom Mobilfunk-Provider\ + \ einen mit der Institution abgestimmten IP-Adressbereich erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.3 + description: "F\xFCr die Authentisierung SOLLTE ein komplexes Passwort mit maximal\ + \ 64 Stellen mit dem Mobilfunk-Provider vereinbart werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.4 + description: Beim Einsatz eines institutionsbezogenen APN SOLLTE die Authentisierung + auf Basis des Protokolls CHAP realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A30 + name: "Einschr\xE4nkung der App-Installation mittels Allowlist" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a30.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a30 + ref_id: SYS.3.2.1.A30.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN auf den mobilen Endger\xE4\ + ten nur freigegebene und gepr\xFCfte Apps installiert werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a30.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a30 + ref_id: SYS.3.2.1.A30.2 + description: Wird ein MDM eingesetzt, SOLLTE es verhindern, dass andere Apps + installiert werden oder alternativ unbefugt installierte Apps sofort wieder + entfernen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A31 + name: Regelung zu Mobile Payment + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a31.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a31 + ref_id: SYS.3.2.1.A31.1 + description: Es SOLLTE geregelt werden, ob Mobile Payment mit dienstlichen Smartphones + und Tablets erlaubt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A32 + name: MDM Nutzung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a32.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a32 + ref_id: SYS.3.2.1.A32.1 + description: Smartphones und Tablets SOLLTEN durch ein MDM-System verwaltet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A33 + name: Auswahl und Installation von Sicherheits-Apps + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.1 + description: "Alle mobilen Endger\xE4te SOLLTEN vor Schadprogrammen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.2 + description: "Falls m\xF6glich, SOLLTEN f\xFCr das Endger\xE4t geeignete Sicherheits-Apps\ + \ ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.3 + description: Die Sicherheits-Apps SOLLTEN automatisch, zum Beispiel durch ein + MDM, installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A34 + name: Konfiguration des verwendeten DNS-Servers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.1 + description: "Standard-Gateway-Eintr\xE4ge, wie beispielsweise DNS-Server der\ + \ herstellenden oder entwickelnden Institutionen, SOLLTEN durch die des Providers\ + \ oder durch eigene ersetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.2 + description: Sollte der Provider sogenanntes DNS-over-HTTPS (DoH) anbieten, + SOLLTE dieses verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.3 + description: Bietet er es noch nicht an, SOLLTE es deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1 + ref_id: SYS.3.2.1.A35 + name: Verwendung einer Firewall + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a35.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.1.a35 + ref_id: SYS.3.2.1.A35.1 + description: Auf Smartphones und Tablets SOLLTE eine Firewall installiert und + aktiviert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + assessable: false + depth: 1 + ref_id: SYS.3.2.2 + name: Mobile Device Management (MDM) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A1 + name: "Festlegung einer Strategie f\xFCr das Mobile Device Management" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.1 + description: "Es MUSS eine Strategie erarbeitet werden, die festlegt, wie Mitarbeitende\ + \ mobile Endger\xE4te benutzen d\xFCrfen und wie die Ger\xE4te in die IT-Strukturen\ + \ der Institution integriert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.2 + description: Grundlage MUSS dabei der Schutzbedarf der zu verarbeitenden Informationen + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.3 + description: 'Die Strategie MUSS mindestens folgende Aspekte abdecken:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.4 + description: "\u2022 Darf das MDM als Cloud-Dienst betrieben werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.5 + description: "\u2022 Soll das MDM durch die Institution selbst betrieben werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.6 + description: "\u2022 Soll das MDM alle Apps bereitstellen oder d\xFCrfen die\ + \ Benutzenden selber Apps installieren?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.7 + description: Welche Restriktionen gibt die Institution bei bereitgestellten + oder selbst installierten Apps vor? + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.8 + description: "\u2022 Soll das MDM in eine weitere Infrastruktur eingebunden\ + \ werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.9 + description: "\u2022 Welche Anforderungen bez\xFCglich Supportleistungen und\ + \ Reaktionszeiten sind an die anbietende Institution des MDM zu stellen?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.10 + description: "\u2022 Welche Compliance-Anforderungen m\xFCssen durchgesetzt\ + \ werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.11 + description: "\u2022 Welche mobilen Ger\xE4te und welche Betriebssysteme muss\ + \ das MDM unterst\xFCtzen?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.12 + description: "\u2022 Muss die MDM-L\xF6sung mandantenf\xE4hig sein?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.13 + description: "Gew\xE4hrleistet sie die notwendige Mandantentrennung?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.14 + description: "\u2022 M\xFCssen Cloud-Dienste eingebunden werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.15 + description: "\u2022 M\xFCssen Dokumentenmanagementsysteme eingebunden werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.16 + description: "\u2022 Muss das MDM auch Peripherieger\xE4te einbinden und verwalten?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.17 + description: "\u2022 Welches Betriebsmodell soll eingesetzt werden: private\ + \ Endger\xE4te (Bring Your Own Device, BYOD), personalisierte Endger\xE4te\ + \ (Eigentum der Institution) oder nicht personalisierte Endger\xE4te (Eigentum\ + \ der Institution, gemeinsam genutzt)?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1.18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.18 + description: Die Strategie MUSS schriftlich fixiert und von dem oder der ISB + freigegeben werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A2 + name: "Festlegung erlaubter mobiler Endger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.1 + description: "Es MUSS festgelegt werden, welche mobilen Endger\xE4te und Betriebssysteme\ + \ in der Institution zugelassen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.2 + description: "Alle erlaubten Ger\xE4te und Betriebssysteme M\xDCSSEN den Anforderungen\ + \ der MDM-Strategie gen\xFCgen und die technischen Sicherheitsanforderungen\ + \ der Institution vollst\xE4ndig erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.3 + description: "Das MDM MUSS so konfiguriert werden, dass nur mit freigegebenen\ + \ Ger\xE4ten auf Informationen der Institution zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.4 + description: "Es D\xDCRFEN nur von der Institution zugelassene mobile Endger\xE4\ + te beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A3 + name: Auswahl eines MDM-Produkts + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a3 + ref_id: SYS.3.2.2.A3.1 + description: "Wenn eine geeignete MDM-Software beschafft werden soll, MUSS sichergestellt\ + \ sein, dass sich mit ihr alle in der MDM-Strategie festgelegten Anforderungen\ + \ erf\xFCllen lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a3 + ref_id: SYS.3.2.2.A3.2 + description: "Auch MUSS sie s\xE4mtliche technischen und organisatorischen Sicherheitsma\xDF\ + nahmen umsetzen k\xF6nnen und alle zugelassenen mobilen Endger\xE4te unterst\xFC\ + tzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A4 + name: "Verteilung der Grundkonfiguration auf mobile Endger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.1 + description: "Alle mobilen Endger\xE4te M\xDCSSEN, bevor sie eingesetzt werden,\ + \ in das MDM integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.2 + description: "Wenn die Ger\xE4te die Grundkonfiguration erhalten, M\xDCSSEN\ + \ sie sich im Werkszustand befinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.3 + description: "Die Verbindung der mobilen Endger\xE4te zum MDM MUSS angemessen\ + \ abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.4 + description: "Bei bereits benutzten Ger\xE4ten M\xDCSSEN vorher alle institutionsbezogenen\ + \ Daten gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.5 + description: "Ein nicht \xFCber MDM konfiguriertes Endger\xE4t DARF NICHT auf\ + \ Informationen der Institution zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A5 + name: Installation des MDM-Clients + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a5 + ref_id: SYS.3.2.2.A5.1 + description: "Wenn mobile Endger\xE4te an Mitarbeitende \xFCbergeben werden,\ + \ MUSS, wenn vom Betriebssystem nicht bereits bereitgestellt, darauf der MDM-Client\ + \ installiert und konfiguriert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A6 + name: "Protokollierung des Ger\xE4testatus" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a6 + ref_id: SYS.3.2.2.A6.1 + description: "Der Lebenszyklus einschlie\xDFlich der Konfigurationshistorie\ + \ eines mobilen Endger\xE4tes SOLLTE ausreichend protokolliert und zentral\ + \ abrufbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a6 + ref_id: SYS.3.2.2.A6.2 + description: "Bei Bedarf SOLLTE der aktuelle Status der verwalteten Endger\xE4\ + te durch den IT-Betrieb ermittelt werden k\xF6nnen (Device Audit)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A7 + name: Installation von Apps + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.1 + description: "Apps SOLLTEN gem\xE4\xDF den Anforderungen des geplanten Einsatzszenarios\ + \ \xFCber das MDM installiert, deinstalliert und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.2 + description: "Das MDM SOLLTE die Installation, Deinstallation und Aktualisierung\ + \ erzwingen, sobald eine Verbindung zum mobilen Endger\xE4t besteht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.3 + description: "\xDCber das MDM installierte Apps SOLLTEN NICHT durch Benutzende\ + \ deinstalliert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.4 + description: "Das MDM SOLLTE eine Block- oder Allow-List f\xFCr die Installation\ + \ von Apps erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A12 + name: Absicherung der MDM-Betriebsumgebung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a12 + ref_id: SYS.3.2.2.A12.1 + description: "Das MDM selbst SOLLTE durch technische Ma\xDFnahmen abgesichert\ + \ werden, um dem Schutzbedarf der hinterlegten oder verarbeiteten Informationen\ + \ zu gen\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a12 + ref_id: SYS.3.2.2.A12.2 + description: "Das zugrundeliegende Betriebssystem SOLLTE geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A14 + name: "Benutzung externer Reputation-Services f\xFCr Apps" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a14 + ref_id: SYS.3.2.2.A14.1 + description: "Wenn die Administrierenden einer Institution die erlaubten Apps\ + \ nicht selbst ausw\xE4hlen k\xF6nnen und die Benutzenden selbstst\xE4ndig\ + \ Apps auf ihren Ger\xE4ten installieren d\xFCrfen, SOLLTE ein sogenannter\ + \ Reputation-Service eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a14 + ref_id: SYS.3.2.2.A14.2 + description: "Das MDM SOLLTE dann mithilfe dieser Informationen aus dem Reputation-Service\ + \ die Installation von Apps zumindest einschr\xE4nken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A17 + name: "Kontrolle der Nutzung von mobilen Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a17 + ref_id: SYS.3.2.2.A17.1 + description: "Es SOLLTEN angemessene Kriterien definiert werden, aufgrund derer\ + \ die Ger\xE4te zu \xFCberwachen sind, ohne gegen gesetzliche oder interne\ + \ Regelungen zu versto\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a17 + ref_id: SYS.3.2.2.A17.2 + description: Insbesondere SOLLTEN sogenannte Jailbreaks oder sogenanntes Routen + erkannt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A19 + name: Einsatz von Geofencing + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.1 + description: "Durch die Hinterlegung einer Geofencing-Richtlinie SOLLTE sichergestellt\ + \ werden, dass Ger\xE4te mit schutzbed\xFCrftigen Informationen nicht au\xDF\ + erhalb eines zuvor festgelegten geografischen Bereichs verwendet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.2 + description: "Wird der geografische Bereich verlassen, SOLLTEN entsprechend\ + \ klassifizierte Informationen oder das Ger\xE4t vollst\xE4ndig gel\xF6scht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.3 + description: "Bevor das Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht wird,\ + \ SOLLTEN die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ + \ sowie die Benutzenden informiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.4 + description: "Erst mit einer angemessenen zeitlichen Verz\xF6gerung SOLLTE das\ + \ Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.5 + description: "Die Bereiche, an denen diese zus\xE4tzlichen Sicherheitsma\xDF\ + nahmen n\xF6tig sind, SOLLTEN identifiziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.6 + description: "Anschlie\xDFend SOLLTEN die Sicherheitsma\xDFnahmen unter Beachtung\ + \ gesetzlicher und interner Regelungen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A20 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfung des MDM" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.1 + description: "Sicherheitseinstellungen M\xDCSSEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.2 + description: "Bei neuen Betriebssystemversionen der mobilen Endger\xE4te MUSS\ + \ vorab gepr\xFCft werden, ob das MDM diese vollst\xE4ndig unterst\xFCtzt\ + \ und die Konfigurationsprofile und Sicherheitseinstellungen weiterhin wirksam\ + \ und ausreichend sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.3 + description: "Abweichungen M\xDCSSEN korrigiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.4 + description: "Die zugeteilten Berechtigungen f\xFCr Benutzende und Administrierende\ + \ M\xDCSSEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie weiterhin\ + \ angemessen sind (Minimalprinzip)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A21 + name: Verwaltung von Zertifikaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.1 + description: "Zertifikate zur Nutzung von Diensten auf dem mobilen Endger\xE4\ + t SOLLTEN zentral \xFCber das MDM installiert, deinstalliert und aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.2 + description: "Die Installation von nicht vertrauensw\xFCrdigen und nicht verifizierbaren\ + \ (Root-) Zertifikaten durch Benutzende SOLLTE durch das MDM verhindert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.3 + description: "Das MDM SOLLTE Mechanismen unterst\xFCtzen, um die G\xFCltigkeit\ + \ von Zertifikaten zu \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A22 + name: "Fernl\xF6schung und Au\xDFerbetriebnahme von Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.1 + description: "Das MDM SOLLTE sicherstellen, dass s\xE4mtliche dienstliche Daten\ + \ auf dem mobilen Endger\xE4t aus der Ferne gel\xF6scht werden k\xF6nnen (Remote\ + \ Wipe bei bestehender Datenverbindung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.2 + description: "Werden in dem mobilen Endger\xE4t externe Speicher genutzt, SOLLTE\ + \ gepr\xFCft werden, ob diese bei einem Remote Wipe ebenfalls gel\xF6scht\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.3 + description: "Diese Funktion SOLLTE vom MDM unterst\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.4 + description: "Der Prozess zur Au\xDFerbetriebnahme des mobilen Endger\xE4tes\ + \ (Unenrollment) SOLLTE sicherstellen, dass keine schutzbed\xFCrftigen Daten\ + \ auf dem mobilen Endger\xE4t oder eingebundenen Speichermedien verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.5 + description: "Dies SOLLTE insbesondere dann gelten, wenn das Unenrollment aus\ + \ der Ferne ausgef\xFChrt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2 + ref_id: SYS.3.2.2.A23 + name: Durchsetzung von Compliance-Anforderungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.1 + description: "Verst\xF6\xDFe gegen die Regelungen der Institution oder sogar\ + \ eine Manipulation des Betriebssystems SOLLTEN mit einer geeigneten L\xF6\ + sung erkannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.2 + description: "Die folgenden Aktionen SOLLTEN bei Verdacht auf Versto\xDF gegen\ + \ Regelungen oder Manipulation des Betriebssystems ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.3 + description: 'Hierzu SOLLTEN entsprechende Funktionen bereitgestellt werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.4 + description: "1. selbstst\xE4ndiges Versenden von Warnhinweisen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.5 + description: "2. selbstst\xE4ndiges Sperren des Ger\xE4ts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.6 + description: "3. L\xF6schen der vertraulichen Informationen der Institution," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.7 + description: "4. L\xF6schen des kompletten Ger\xE4ts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.8 + description: 5. Verhindern des Zugangs zu Unternehmens-Apps sowie + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.9 + description: 6. Verhindern des Zugangs zu den Systemen und Informationen der + Institution. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.10 + description: "Bei Verdacht auf einen Versto\xDF oder eine Manipulation SOLLTE\ + \ ein Alarm an die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ + \ in der Institution gesandt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + assessable: false + depth: 1 + ref_id: SYS.3.2.3 + name: iOS (for Enterprise) + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A1 + name: "Strategie f\xFCr die iOS-Nutzung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.1 + description: "Wird ein MDM eingesetzt, so M\xDCSSEN die iOS-basierten Ger\xE4\ + te \xFCber das MDM verwaltet und konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.2 + description: "Hierzu MUSS eine Strategie zur iOS-Nutzung vorliegen, in der Aspekte\ + \ wie die Auswahl der Endger\xE4te oder Strategien f\xFCr Datensicherungen\ + \ festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.3 + description: "Es MUSS geregelt werden, ob zus\xE4tzliche Apps von Drittanbietenden\ + \ genutzt werden sollen bzw. d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.4 + description: "Au\xDFerdem M\xDCSSEN Jailbreaks organisatorisch untersagt und\ + \ nach M\xF6glichkeit technisch verhindert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A2 + name: Planung des Einsatzes von Cloud-Diensten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.1 + description: "Bevor iOS-basierte Ger\xE4te verwendet werden, MUSS festgelegt\ + \ werden, welche Cloud-Services in welchem Umfang genutzt werden sollen bzw.\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.2 + description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass iOS-basierte Ger\xE4\ + te grunds\xE4tzlich eng mit iCloud-Diensten von Apple verzahnt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.3 + description: "Au\xDFerdem SOLLTE ber\xFCcksichtigt werden, dass beispielsweise\ + \ bereits die Aktivierung von Einzelger\xE4ten mit einer Apple-ID hiervon\ + \ betroffen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.4 + description: "Daher SOLLTE gepr\xFCft werden, ob zur Ger\xE4teregistrierung\ + \ Apple Business Manager (fr\xFCher Device Enrollment Program, DEP) genutzt\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A7 + name: "Verhinderung des unautorisierten L\xF6schens von Konfigurationsprofilen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a7 + ref_id: SYS.3.2.3.A7.1 + description: "Damit Konfigurationsprofile nicht unautorisiert gel\xF6scht werden\ + \ k\xF6nnen, M\xDCSSEN geeignete technische (z. B. durch den betreuten Modus)\ + \ oder organisatorische Ma\xDFnahmen getroffen und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a7 + ref_id: SYS.3.2.3.A7.2 + description: "Benutzende von mobilen Endger\xE4ten SOLLTEN f\xFCr den Sinn und\ + \ Zweck der Sicherheitsma\xDFnahmen sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A12 + name: Verwendung von Apple-IDs + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a12 + ref_id: SYS.3.2.3.A12.1 + description: "Statt einer pers\xF6nlichen Apple-ID der Benutzenden SOLLTE eine\ + \ anonymisierte Apple-ID verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a12 + ref_id: SYS.3.2.3.A12.2 + description: "Falls m\xF6glich, SOLLTE der Apple Business Manager f\xFCr Volumenlizenzen\ + \ (fr\xFCher Volume Purchase Program, VPP) sowie eine zentralisierte Installation\ + \ von Apps verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A13 + name: "Verwendung der Konfigurationsoption \u201EEinschr\xE4nkungen unter iOS\u201C" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a13 + ref_id: SYS.3.2.3.A13.1 + description: "Alle nicht ben\xF6tigten oder erlaubten Funktionen bzw. Dienste\ + \ von iOS SOLLTEN deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a13 + ref_id: SYS.3.2.3.A13.2 + description: "Basierend auf dem Einsatzzweck und dem zugrundeliegenden Schutzbedarf\ + \ SOLLTE gepr\xFCft werden, welche der Funktionen \u201ESperrbildschirm\u201C\ + , \u201EUnified Communication\u201C, \u201ESiri\u201C, \u201EHintergrundbild\u201C\ + , \u201EVerbindung mit Host-Systemen\u201C und \u201EDiagnose- und Nutzungsdaten\u201C\ + \ einzusetzen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A14 + name: Verwendung der iCloud-Infrastruktur + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.1 + description: "Bevor die umf\xE4ngliche oder selektive Nutzung der iCloud-Infrastruktur\ + \ f\xFCr eine dienstliche Nutzung freigegeben wird, SOLLTE bewertet werden,\ + \ ob die allgemeinen Gesch\xE4ftsbedingungen der Firma Apple mit den internen\ + \ Richtlinien hinsichtlich Verf\xFCgbarkeit, Vertraulichkeit, Integrit\xE4\ + t und Datenschutz vereinbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.2 + description: "Wird die Nutzung der iCloud-Infrastruktur erlaubt, SOLLTE die\ + \ Identit\xE4t am iCloud-Webservice durch eine Zwei-Faktor-Authentisierung\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.3 + description: "Ansonsten SOLLTE die iCloud-Nutzung f\xFCr einen rein dienstlichen\ + \ Bedarf auf ein geringes Ma\xDF reduziert oder komplett ausgeschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A15 + name: Verwendung der Continuity-Funktionen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a15 + ref_id: SYS.3.2.3.A15.1 + description: "Wurde die Nutzung der iCloud-Infrastruktur nicht grunds\xE4tzlich\ + \ durch das Sicherheitsmanagement der Institution untersagt, SOLLTE die Vereinbarkeit\ + \ der Continuity-Funktionen mit den internen Richtlinien unter Ber\xFCcksichtigung\ + \ der Aspekte Vertraulichkeit und Integrit\xE4t bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a15 + ref_id: SYS.3.2.3.A15.2 + description: "Auf Basis der Bewertungsergebnisse SOLLTE geregelt werden, inwieweit\ + \ diese Funktionen technisch bzw. organisatorisch eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A17 + name: "Verwendung der Ger\xE4tecode-Historie" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a17 + ref_id: SYS.3.2.3.A17.1 + description: Im Konfigurationsprofil SOLLTE die Anzahl der eindeutigen Codes + bis zur ersten Wiederholung auf einen angemessenen Wert festgelegt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A18 + name: "Verwendung der Konfigurationsoption f\xFCr den Browser Safari" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.1 + description: "Die bereits in der Institution etablierten Browserrichtlinien\ + \ SOLLTEN entsprechend auch f\xFCr Safari durch technische und organisatorische\ + \ Ma\xDFnahmen umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.2 + description: "Dabei SOLLTEN die bereits etablierten Anforderungen f\xFCr Browser\ + \ auf station\xE4ren und tragbaren PCs als Grundlage f\xFCr die Absicherung\ + \ der iOS-basierten Ger\xE4te dienen sowie die Einsatzszenarien." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.3 + description: "Das Einsatzumfeld der Ger\xE4te SOLLTE beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A21 + name: Installation von Apps und Einbindung des Apple App Stores + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a21 + ref_id: SYS.3.2.3.A21.1 + description: "Um sicherzustellen, dass den autorisierten Benutzenden die ben\xF6\ + tigten Apps zum notwendigen Zeitpunkt ausreichend zur Verf\xFCgung stehen,\ + \ SOLLTE \xFCberlegt werden, den Apple Business Manager in die MDM-Infrastruktur\ + \ zu integrieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a21 + ref_id: SYS.3.2.3.A21.2 + description: "Zahlungen im App Store SOLLTE NICHT \xFCber biometrische Verfahren\ + \ best\xE4tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A23 + name: "Verwendung der automatischen Konfigurationsprofill\xF6schung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.1 + description: "Ger\xE4te, die \xFCber einen klar definierten Zeitraum durchg\xE4\ + ngig offline sind, SOLLTEN ihren Zugang zur internen Infrastruktur verlieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.2 + description: "Nach Ablauf des definierten Zeitraums oder an einem bestimmten\ + \ Tag, SOLLTE das Konfigurationsprofil ohne Zutun des IT-Betriebs gel\xF6\ + scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.3 + description: "Falls Benutzende des Ger\xE4ts vor Ablauf der Frist auf das interne\ + \ Netz zugreift, SOLLTE der Zeitraum bis zur automatischen L\xF6schung des\ + \ Konfigurationsprofils erneuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.4 + description: "Falls sicherzustellen ist, ob die Benutzenden noch im Besitz ihres\ + \ Ger\xE4tes sind, SOLLTEN sie aktiv zum Zugriff innerhalb einer Frist aufgefordert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.5 + description: "Falls die Frist ohne Zugriff verstreicht, sollte das Konfigurationsprofil\ + \ der entsprechenden Benutzenden automatisch gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A25 + name: "Verwendung der Konfigurationsoption f\xFCr AirPrint" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a25.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a25 + ref_id: SYS.3.2.3.A25.1 + description: Freigegebene AirPrint-Drucker SOLLTEN den Benutzenden durch ein + Konfigurationsprofil bereitgestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a25.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a25 + ref_id: SYS.3.2.3.A25.2 + description: "Um zu vermeiden, dass Informationen auf nicht vertrauensw\xFC\ + rdigen Druckern von Benutzenden ausgedruckt werden k\xF6nnen, SOLLTEN stets\ + \ alle Kommunikationsverbindungen \xFCber die Infrastruktursysteme der Institution\ + \ gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3 + ref_id: SYS.3.2.3.A26 + name: Keine Verbindung mit Host-Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a26.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.3.a26 + ref_id: SYS.3.2.3.A26.1 + description: "Um zu vermeiden, dass iOS-basierte Ger\xE4te unautorisiert mit\ + \ anderen IT-Systemen verbunden werden, SOLLTEN die Benutzenden iOS-basierte\ + \ Ger\xE4te ausschlie\xDFlich mit dem MDM verbinden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4 + assessable: false + depth: 1 + ref_id: SYS.3.2.4 + name: Android + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4 + ref_id: SYS.3.2.4.A2 + name: Deaktivieren des Entwicklermodus + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a2 + ref_id: SYS.3.2.4.A2.1 + description: "In allen Android-basierten Ger\xE4ten SOLLTE der Entwicklermodus\ + \ deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4 + ref_id: SYS.3.2.4.A3 + name: "Einsatz des Multi-User- und G\xE4ste-Modus" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.1 + description: "Es SOLLTE geregelt sein, ob ein Ger\xE4t mit anderen Personen\ + \ geteilt werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.2 + description: "Es SOLLTE festgelegt werden, ob dazu der Multi-User- oder G\xE4\ + ste-Modus verwendet werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.3 + description: "Benutzende auf einem Android-basierten Ger\xE4t SOLLTEN nat\xFC\ + rliche Personen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4 + ref_id: SYS.3.2.4.A5 + name: Erweiterte Sicherheitseinstellungen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.1 + description: "Es SOLLTEN nur freigegebene Sicherheits-Apps Rechte zur Ger\xE4\ + teadministration bekommen oder sich als \u201ETrust Agents\u201C eintragen\ + \ lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.2 + description: "Dies SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.3 + description: "Weiterhin SOLLTE es nur erlaubten Apps m\xF6glich sein, auf Nutzungsdaten\ + \ und auf Benachrichtigungen zuzugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + assessable: false + depth: 1 + ref_id: SYS.3.3 + name: Mobiltelefon + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A1 + name: "Sicherheitsrichtlinien und Regelungen f\xFCr die Nutzung von Mobiltelefonen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1 + ref_id: SYS.3.3.A1.1 + description: "Im Hinblick auf die Nutzung und Kontrolle der Ger\xE4te MUSS eine\ + \ Sicherheitsrichtlinie erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1 + ref_id: SYS.3.3.A1.2 + description: "Jeder benutzenden Person eines Mobiltelefons MUSS ein Exemplar\ + \ der Sicherheitsrichtlinie ausgeh\xE4ndigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1 + ref_id: SYS.3.3.A1.3 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsrichtlinie\ + \ eingehalten wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a1 + ref_id: SYS.3.3.A1.4 + description: "Die Sicherheitsrichtlinie zur dienstlichen Nutzung von Mobiltelefonen\ + \ SOLLTE Bestandteil der Schulung zu Sicherheitsma\xDFnahmen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A2 + name: "Sperrma\xDFnahmen bei Verlust eines Mobiltelefons" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2 + ref_id: SYS.3.3.A2.1 + description: Bei Verlust eines Mobiltelefons MUSS die darin verwendete SIM-Karte + zeitnah gesperrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2 + ref_id: SYS.3.3.A2.2 + description: "Falls m\xF6glich, SOLLTEN vorhandene Mechanismen zum Diebstahlschutz,\ + \ wie Fernl\xF6schung oder -sperrung, genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a2 + ref_id: SYS.3.3.A2.3 + description: "Alle notwendigen Informationen zur Sperrung von SIM-Karte und\ + \ Mobiltelefon M\xDCSSEN unmittelbar griffbereit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A3 + name: Sensibilisierung und Schulung der Mitarbeitenden im Umgang mit Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3 + ref_id: SYS.3.3.A3.1 + description: "Mitarbeitende M\xDCSSEN f\xFCr die besonderen Gef\xE4hrdungen\ + \ der Informationssicherheit durch Mobiltelefone sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3 + ref_id: SYS.3.3.A3.2 + description: "Sie M\xDCSSEN in die Sicherheitsfunktion der Mobiltelefone eingewiesen\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3 + ref_id: SYS.3.3.A3.3 + description: "Den Benutzenden MUSS der Prozess bekannt sein, durch den die Mobiltelefone\ + \ gesperrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a3 + ref_id: SYS.3.3.A3.4 + description: "Die Benutzenden M\xDCSSEN darauf hingewiesen werden, wie die Mobiltelefone\ + \ sicher und korrekt aufbewahrt werden sollten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A4 + name: "Aussonderung und ordnungsgem\xE4\xDFe Entsorgung von Mobiltelefonen und\ + \ darin verwendeter Speicherkarten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4 + ref_id: SYS.3.3.A4.1 + description: "Mobiltelefone M\xDCSSEN vor der Entsorgung auf den Werkszustand\ + \ zur\xFCckgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4 + ref_id: SYS.3.3.A4.2 + description: "Es MUSS \xFCberpr\xFCft werden, ob alle Daten gel\xF6scht wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4 + ref_id: SYS.3.3.A4.3 + description: "Es SOLLTE zudem sichergestellt werden, dass die Mobiltelefone\ + \ und eventuell darin verwendete Speicherkarten ordnungsgem\xE4\xDF entsorgt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a4 + ref_id: SYS.3.3.A4.4 + description: "Falls die Mobiltelefone und Speicherkarten erst zu einem sp\xE4\ + teren Zeitpunkt beziehungsweise in gr\xF6\xDFerer Anzahl entsorgt werden,\ + \ M\xDCSSEN die gesammelten Mobiltelefone und Speicherkarten vor unberechtigtem\ + \ Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A5 + name: Nutzung der Sicherheitsmechanismen von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + ref_id: SYS.3.3.A5.1 + description: "Die verf\xFCgbaren Sicherheitsmechanismen SOLLTEN auf den Mobiltelefonen\ + \ genutzt und vorkonfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + ref_id: SYS.3.3.A5.2 + description: "Die SIM-Karte SOLLTE durch eine sichere PIN gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + ref_id: SYS.3.3.A5.3 + description: "Die Super-PIN/PUK SOLLTE nur im Rahmen der definierten Prozesse\ + \ von den Zust\xE4ndigen benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + ref_id: SYS.3.3.A5.4 + description: "Das Mobiltelefon SOLLTE durch einen Ger\xE4te-Code gesch\xFCtzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a5 + ref_id: SYS.3.3.A5.5 + description: "Falls m\xF6glich, SOLLTE das Ger\xE4t an die SIM-Karte gebunden\ + \ werden (SIM-Lock)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A6 + name: Updates von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6 + ref_id: SYS.3.3.A6.1 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob es Softwareupdates\ + \ f\xFCr die Mobiltelefone gibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6 + ref_id: SYS.3.3.A6.2 + description: Der Umgang mit Updates SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6 + ref_id: SYS.3.3.A6.3 + description: "Wenn es neue Softwareupdates gibt, SOLLTE festgelegt werden, wie\ + \ die Benutzenden dar\xFCber informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a6 + ref_id: SYS.3.3.A6.4 + description: "Es SOLLTE festgelegt werden, ob die Benutzenden die Updates selber\ + \ installieren d\xFCrfen, oder ob die Mobiltelefone an einer zentralen Stelle\ + \ hierf\xFCr abgegeben werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A7 + name: Beschaffung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7 + ref_id: SYS.3.3.A7.1 + description: Bevor Mobiltelefone beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7 + ref_id: SYS.3.3.A7.2 + description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7 + ref_id: SYS.3.3.A7.3 + description: "Das Produkt SOLLTE danach ausgew\xE4hlt werden, ob die Herstellenden\ + \ f\xFCr den geplanten Einsatzzeitraum Updates anbieten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a7 + ref_id: SYS.3.3.A7.4 + description: "Es SOLLTE gew\xE4hrleistet werden, dass Ersatzteile wie Akkus\ + \ und Ladeger\xE4te in ausreichender Qualit\xE4t nachbeschafft werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A8 + name: Nutzung drahtloser Schnittstellen von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a8 + ref_id: SYS.3.3.A8.1 + description: "Drahtlose Schnittstellen von Mobiltelefonen wie IrDA, WLAN oder\ + \ Bluetooth SOLLTEN deaktiviert werden, solange sie nicht ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A9 + name: Sicherstellung der Energieversorgung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a9 + ref_id: SYS.3.3.A9.1 + description: "Es SOLLTEN angemessene Ma\xDFnahmen getroffen werden, um die dauerhafte\ + \ Energieversorgung von Mobiltelefonen sicherzustellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a9 + ref_id: SYS.3.3.A9.2 + description: Je nach Bedarf SOLLTEN Wechselakkus oder Powerbanks eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A10 + name: "Sichere Daten\xFCbertragung \xFCber Mobiltelefone" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10 + ref_id: SYS.3.3.A10.1 + description: "Es SOLLTE geregelt sein, welche Daten \xFCber Mobiltelefone \xFC\ + bertragen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10 + ref_id: SYS.3.3.A10.2 + description: "Die daf\xFCr erlaubten Schnittstellen SOLLTEN festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a10 + ref_id: SYS.3.3.A10.3 + description: "Au\xDFerdem SOLLTE beschlossen werden, wie die Daten bei Bedarf\ + \ zu verschl\xFCsseln sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A11 + name: Ausfallvorsorge bei Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11 + ref_id: SYS.3.3.A11.1 + description: "Die auf einem Mobiltelefon gespeicherten Daten SOLLTEN in regelm\xE4\ + \xDFigen Abst\xE4nden auf einem externen Medium gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11 + ref_id: SYS.3.3.A11.2 + description: "Muss ein defektes Mobiltelefon repariert werden, SOLLTEN zuvor\ + \ alle Daten gel\xF6scht und das Ger\xE4t auf den Werkszustand zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a11 + ref_id: SYS.3.3.A11.3 + description: "Es SOLLTEN immer Ersatzger\xE4te vorhanden sein, um ein ausgefallenes\ + \ Mobiltelefon kurzfristig ersetzen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A12 + name: Einrichtung eines Mobiltelefon-Pools + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + ref_id: SYS.3.3.A12.1 + description: "Bei h\xE4ufig wechselnden Benutzenden dienstlicher Mobiltelefone\ + \ SOLLTE eine Sammelaufbewahrung (Pool) eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + ref_id: SYS.3.3.A12.2 + description: "Die Ausgabe und R\xFCcknahme von Mobiltelefonen und Zubeh\xF6\ + r SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + ref_id: SYS.3.3.A12.3 + description: "Vor der Ausgabe SOLLTE sichergestellt werden, dass die Mobiltelefone\ + \ aufgeladen und mit den n\xF6tigen Programmen und Daten f\xFCr die neuen\ + \ Besitzenden ausgestattet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + ref_id: SYS.3.3.A12.4 + description: Zudem SOLLTEN die Benutzenden auf die Einhaltung der Sicherheitsleitlinie + hingewiesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a12 + ref_id: SYS.3.3.A12.5 + description: "Nachdem die Ger\xE4te wieder zur\xFCckgegeben wurden, SOLLTEN\ + \ sie auf den Werkszustand zur\xFCckgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A13 + name: Schutz vor der Erstellung von Bewegungsprofilen bei der Nutzung von Mobilfunk + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13 + ref_id: SYS.3.3.A13.1 + description: "Es SOLLTE gekl\xE4rt werden, ob sich die Erstellung von Bewegungsprofilen\ + \ durch Dritte negativ auswirken kann oder als Problem angesehen wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13 + ref_id: SYS.3.3.A13.2 + description: "Um eine Ortung \xFCber GPS zu verhindern, SOLLTE diese Funktion\ + \ abgeschaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a13 + ref_id: SYS.3.3.A13.3 + description: "Falls eine Ortung \xFCber das Mobilfunknetz verhindert werden\ + \ soll, SOLLTE das Mobiltelefon abgeschaltet und der Akku entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A14 + name: Schutz vor Rufnummernermittlung bei der Nutzung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14 + ref_id: SYS.3.3.A14.1 + description: "Um zu verhindern, dass die verwendeten Rufnummern bestimmten Personen\ + \ zugeordnet werden k\xF6nnen, SOLLTEN Rufnummern f\xFCr ausgehende Anrufe\ + \ unterdr\xFCckt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14 + ref_id: SYS.3.3.A14.2 + description: "Au\xDFerdem SOLLTEN KEINE SMS- und MMS-Nachrichten versendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a14 + ref_id: SYS.3.3.A14.3 + description: "Rufnummern von Mobiltelefonen SOLLTEN NICHT ver\xF6ffentlicht\ + \ oder an unbefugte Dritte weitergegeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3 + ref_id: SYS.3.3.A15 + name: "Schutz vor Abh\xF6ren der Raumgespr\xE4che \xFCber Mobiltelefone" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a15 + ref_id: SYS.3.3.A15.1 + description: "Damit vertrauliche Informationen nicht abgeh\xF6rt werden k\xF6\ + nnen, SOLLTE daf\xFCr gesorgt werden, dass keine Mobiltelefone zu vertraulichen\ + \ Besprechungen und Gespr\xE4chen in die entsprechenden R\xE4ume mitgenommen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.3.3.a15 + ref_id: SYS.3.3.A15.2 + description: "Falls erforderlich, SOLLTE das Mitf\xFChrungsverbot durch Mobilfunk-Detektoren\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + assessable: false + depth: 1 + ref_id: SYS.4.1 + name: "Drucker, Kopierer und Multifunktionsger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A1 + name: "Planung des Einsatzes von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.1 + description: "Bevor Drucker, Kopierer und Multifunktionsger\xE4te beschafft\ + \ werden, MUSS der sichere Einsatz geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.2 + description: "Dabei SOLLTEN folgende Kriterien ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.3 + description: "\u2022 Unterst\xFCtzung sicherer Protokolle zur Daten\xFCbertragung\ + \ und Administration," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.4 + description: "\u2022 Verschl\xFCsselung der abgespeicherten Informationen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.5 + description: "\u2022 Authentisierung der Benutzenden direkt am Ger\xE4t," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.6 + description: "\u2022 Nutzung physischer Schutzmechanismen, wie \xD6sen zum Diebstahlschutz\ + \ oder Ger\xE4teschl\xF6sser," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.7 + description: "\u2022 Existenz eines zuverl\xE4ssigen und leistungsf\xE4higen\ + \ automatischen Seiteneinzugs der Scaneinheit," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.8 + description: "\u2022 Unterst\xFCtzung geeigneter Datenformate," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.9 + description: "\u2022 Bei Bedarf Unterst\xFCtzung von Patch- sowie Barcodes zur\ + \ Dokumententrennung und \xDCbergabe von Metainformationen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.10 + description: "\u2022 Existenz einer Funktion zum sicheren L\xF6schen des Speichers\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.11 + description: "\u2022 Verf\xFCgbarkeit von regelm\xE4\xDFigen Updates und Wartungsvertr\xE4\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.12 + description: "Es MUSS festgelegt werden, wo die Ger\xE4te aufgestellt werden\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.13 + description: "Au\xDFerdem MUSS festgelegt sein, wer auf die Drucker, Kopierer\ + \ und Multifunktionsger\xE4te zugreifen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a1 + ref_id: SYS.4.1.A1.14 + description: Die Ergebnisse SOLLTEN in einem Basiskonzept dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A2 + name: "Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsger\xE4\ + te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + ref_id: SYS.4.1.A2.1 + description: "Der IT-Betrieb MUSS Drucker, Kopierer und Multifunktionsger\xE4\ + te so aufstellen und absichern, dass nur befugte Personen die Ger\xE4te verwenden\ + \ und auf verarbeitete Informationen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + ref_id: SYS.4.1.A2.2 + description: "Au\xDFerdem MUSS sichergestellt sein, dass nur berechtigte Personen\ + \ die Ger\xE4te administrieren, warten und reparieren k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + ref_id: SYS.4.1.A2.3 + description: "Mit Dienstleistenden (z. B. f\xFCr die Wartung) M\xDCSSEN schriftliche\ + \ Vertraulichkeitsvereinbarungen getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + ref_id: SYS.4.1.A2.4 + description: "Drucker, Kopierer und Multifunktionsger\xE4te M\xDCSSEN mit Ger\xE4\ + tepassw\xF6rtern versehen sein, um so den Zugriff auf Webserver und Bedienfeld\ + \ f\xFCr die Administration zu sperren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a2 + ref_id: SYS.4.1.A2.5 + description: "Diese M\xDCSSEN die Vorgaben des Identit\xE4ts- und Berechtigungsmanagements\ + \ der Institution erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Druckern,\ + \ Kopierern und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4 + ref_id: SYS.4.1.A4.1 + description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr Drucker,\ + \ Kopierer und Multifunktionsger\xE4te entwickeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4 + ref_id: SYS.4.1.A4.2 + description: "Darin SOLLTE geregelt werden, welche Anforderungen und Vorgaben\ + \ an die Informationssicherheit der Ger\xE4te gestellt und wie diese erf\xFC\ + llt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a4 + ref_id: SYS.4.1.A4.3 + description: "Es SOLLTE auch festgelegt werden, welche Funktionen von welchen\ + \ Benutzenden unter welchen Bedingungen administriert beziehungsweise genutzt\ + \ werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A5 + name: "Erstellung von Nutzungsrichtlinien f\xFCr den Umgang mit Druckern, Kopierern\ + \ und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a5 + ref_id: SYS.4.1.A5.1 + description: "F\xFCr die Institution SOLLTE der oder die ISB eine Nutzungsrichtlinie\ + \ erstellen, auf der alle Sicherheitsvorgaben zum Umgang mit den Ger\xE4ten\ + \ \xFCbersichtlich und verst\xE4ndlich zusammengefasst sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a5 + ref_id: SYS.4.1.A5.2 + description: Die Nutzungsrichtlinie SOLLTE allen Benutzenden bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A7 + name: "Beschr\xE4nkung der administrativen Fernzugriffe auf Drucker, Kopierer\ + \ und Multifunktionsger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + ref_id: SYS.4.1.A7.1 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass der administrative Fernzugriff\ + \ auf Drucker, Kopierer und Multifunktionsger\xE4te nur einer klar definierten\ + \ Gruppe des Administrations- und Servicepersonals erm\xF6glicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + ref_id: SYS.4.1.A7.2 + description: "Das SOLLTE auch dann gew\xE4hrleistet sein, wenn die Institution\ + \ eine zentrale Ger\xE4teverwaltungssoftware einsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + ref_id: SYS.4.1.A7.3 + description: "Es SOLLTE festgelegt werden, ob die Anzeige des Bedienfelds \xFC\ + ber ein Datennetz eingesehen werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + ref_id: SYS.4.1.A7.4 + description: "Wenn dies gew\xFCnscht ist, SOLLTE es nur an den IT-Betrieb \xFC\ + bertragen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a7 + ref_id: SYS.4.1.A7.5 + description: Auch SOLLTE dies mit den betroffenen Benutzenden abgestimmt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A11 + name: "Einschr\xE4nkung der Anbindung von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11 + ref_id: SYS.4.1.A11.1 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass netzf\xE4hige Drucker,\ + \ Kopierer und Multifunktionsger\xE4te nicht aus Fremdnetzen erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11 + ref_id: SYS.4.1.A11.2 + description: "Wenn Multifunktionsger\xE4te an das Telefonnetz angeschlossen\ + \ werden, SOLLTE sichergestellt werden, dass keine unkontrollierten Datenverbindungen\ + \ zwischen dem Datennetz der Institution und dem Telefonnetz aufgebaut werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a11 + ref_id: SYS.4.1.A11.3 + description: "Netzdrucker und Multifunktionsger\xE4te SOLLTEN in einem eigenen\ + \ Netzsegment, das von den Clients und Servern der Institution getrennt ist,\ + \ betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A14 + name: "Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14 + ref_id: SYS.4.1.A14.1 + description: "Nur berechtigte Personen SOLLTEN auf die ausgedruckten oder kopierten\ + \ Dokumente zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14 + ref_id: SYS.4.1.A14.2 + description: "Es SOLLTEN m\xF6glichst nur zentrale Drucker, Kopierer und Multifunktionsger\xE4\ + te eingesetzt werden, bei denen sich die Benutzenden am Ger\xE4t authentisieren,\ + \ bevor der Druckauftrag startet (\u201ESecure-Print\u201C)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14 + ref_id: SYS.4.1.A14.3 + description: "Nachdem sich die Benutzenden authentisiert haben, SOLLTEN ausschlie\xDF\ + lich nur die eigenen Druckauftr\xE4ge sichtbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a14 + ref_id: SYS.4.1.A14.4 + description: "Nur die f\xFCr die jeweiligen Benutzenden notwendigen Funktionen\ + \ SOLLTEN freigeschaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A15 + name: "Verschl\xFCsselung von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a15 + ref_id: SYS.4.1.A15.1 + description: "Wenn m\xF6glich, SOLLTEN alle auf ger\xE4teinternen, nichtfl\xFC\ + chtigen Speichermedien abgelegten Informationen verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a15 + ref_id: SYS.4.1.A15.2 + description: "Auch Druckauftr\xE4ge SOLLTEN m\xF6glichst verschl\xFCsselt \xFC\ + bertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A16 + name: "Verringerung von Ausfallzeiten bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + ref_id: SYS.4.1.A16.1 + description: "Um die Ausfallzeiten von Druckern, Kopierern und Multifunktionsger\xE4\ + ten so gering wie m\xF6glich zu halten, SOLLTEN unter anderem" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + ref_id: SYS.4.1.A16.2 + description: "\u2022 Ersatzger\xE4te bereitstehen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + ref_id: SYS.4.1.A16.3 + description: "\u2022 in Wartungsvertr\xE4gen auf eine angemessene Reaktionszeit\ + \ geachtet werden," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + ref_id: SYS.4.1.A16.4 + description: "\u2022 eine Liste mit Fachhandlungen gef\xFChrt werden, um schnell\ + \ Ersatzger\xE4te oder -teile beschaffen zu k\xF6nnen und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a16 + ref_id: SYS.4.1.A16.5 + description: "\u2022 falls erforderlich, h\xE4ufig ben\xF6tigte Ersatzteile\ + \ gelagert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A17 + name: Schutz von Nutz- und Metadaten + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.1 + description: "Nutz- und Metadaten wie Druckauftr\xE4ge und Scandateien SOLLTEN\ + \ nur so kurz wie m\xF6glich auf den Ger\xE4ten gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.2 + description: "Die Daten SOLLTEN nach einer vordefinierten Zeit automatisch gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.3 + description: "Dateiserver in den Ger\xE4ten und Funktionen wie \u201EScan in\ + \ den Ger\xE4tespeicher\" SOLLTEN vom IT-Betrieb abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.4 + description: "Die daf\xFCr ben\xF6tigten Protokolle und Funktionen SOLLTEN,\ + \ soweit m\xF6glich, gesperrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.5 + description: "Generell SOLLTE vom IT-Betrieb sichergestellt werden, dass alle\ + \ Metadaten nicht f\xFCr Unberechtigte sichtbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a17 + ref_id: SYS.4.1.A17.6 + description: Es SOLLTE von der Institution geregelt werden, wie mit Metadaten + versehene Ausdrucke an Dritte weitergegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A18 + name: "Konfiguration von Druckern, Kopierern und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.1 + description: "Alle Drucker und Multifunktionsger\xE4te SOLLTEN nur vom IT-Betrieb\ + \ konfiguriert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.2 + description: "Nicht ben\xF6tigte Ger\xE4tefunktionen SOLLTEN abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.3 + description: "Insbesondere SOLLTEN alle nicht ben\xF6tigten Daten- und Netzschnittstellen\ + \ von Druckern, Kopierern und Multifunktionsger\xE4ten deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.4 + description: "Die Ger\xE4te SOLLTEN ausschlie\xDFlich \xFCber verschl\xFCsselte\ + \ Protokolle wie HTTPS und SNMPv3 verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.5 + description: "S\xE4mtliche Protokolle, mit denen unverschl\xFCsselt auf Drucker\ + \ und Multifunktionsger\xE4te zugegriffen werden kann, SOLLTEN vom IT-Betrieb\ + \ durch verschl\xFCsselte ersetzt oder abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a18 + ref_id: SYS.4.1.A18.6 + description: "Das SOLLTE insbesondere f\xFCr Protokolle umgesetzt werden, mit\ + \ denen sich die Ger\xE4tekonfiguration ver\xE4ndern l\xE4sst, z. B. SNMP,\ + \ Telnet und PJL." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A20 + name: "Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.1 + description: "Es SOLLTEN auf dem Druckserver die Namen der Druckauftr\xE4ge\ + \ nur anonymisiert angezeigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.2 + description: "Alle Schnittstellen f\xFCr externe Speichermedien SOLLTEN gesperrt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.3 + description: "Weiterhin SOLLTEN ger\xE4teinterne Adressb\xFCcher deaktiviert\ + \ und den Benutzenden alternative Adressierungsverfahren (z. B. Adresssuche\ + \ per LDAP) angeboten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.4 + description: "Bei Druckern und Multifunktionsger\xE4ten mit E-Mail-Funktion\ + \ SOLLTE sichergestellt sein, dass E-Mails ausschlie\xDFlich mit den E-Mail-Adressen\ + \ der authentisierten Benutzenden versendet werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.5 + description: "Auch SOLLTEN Dokumente nur an interne E-Mail-Adressen verschickt\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a20 + ref_id: SYS.4.1.A20.6 + description: "Eingehende Fax-Dokumente sowie Sendeberichte SOLLTEN nur autorisierten\ + \ Personen zug\xE4nglich sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A21 + name: "Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21 + ref_id: SYS.4.1.A21.1 + description: "Der IT-Betrieb SOLLTE die Sicherheitseinstellungen von Druckern,\ + \ Kopierern und Multifunktionsger\xE4ten regelm\xE4\xDFig kontrollieren und,\ + \ falls notwendig, korrigieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21 + ref_id: SYS.4.1.A21.2 + description: "Wenn ein automatisiertes Kontroll- und Korrektursystem verf\xFC\ + gbar ist, SOLLTE es genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21 + ref_id: SYS.4.1.A21.3 + description: "Zudem SOLLTE eingeschr\xE4nkt werden, dass die Ger\xE4te \xFC\ + ber das Bootmen\xFC auf die Werkseinstellungen zur\xFCckgestellt werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a21 + ref_id: SYS.4.1.A21.4 + description: "Es SOLLTE sichergestellt sein, dass keine Firmware oder Zusatzsoftware\ + \ auf Druckern und Multifunktionsger\xE4ten installiert werden kann, die nicht\ + \ von den jeweiligen Herstellenden verifiziert und freigegeben wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1 + ref_id: SYS.4.1.A22 + name: "Ordnungsgem\xE4\xDFe Entsorgung ausgedruckter Dokumente" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a22 + ref_id: SYS.4.1.A22.1 + description: "Nicht ben\xF6tigte, aber ausgedruckte Dokumente mit vertraulichen\ + \ Informationen M\xDCSSEN in geeigneter Weise vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.1.a22 + ref_id: SYS.4.1.A22.2 + description: "Sind Heimarbeitspl\xE4tze mit Druckern, Kopierern oder Multifunktionsger\xE4\ + ten ausgestattet, SOLLTE gew\xE4hrleistet werden, dass die ausgedruckten Informationen\ + \ auch direkt vor Ort geeignet vernichtet werden k\xF6nnen, wenn sie nicht\ + \ mehr ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + assessable: false + depth: 1 + ref_id: SYS.4.3 + name: Eingebettete Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A1 + name: Regelungen zum Umgang mit eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + ref_id: SYS.4.3.A1.1 + description: "Alle Benutzenden und Administrierende M\xDCSSEN \xFCber Verhaltensregeln\ + \ und Meldewege bei Ausf\xE4llen, Fehlfunktionen oder bei Verdacht auf einen\ + \ Sicherheitsvorfall informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + ref_id: SYS.4.3.A1.2 + description: "Alle eingebetteten Systeme inklusive Schnittstellen M\xDCSSEN\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + ref_id: SYS.4.3.A1.3 + description: "Die eingebetteten Systeme M\xDCSSEN sicher vorkonfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + ref_id: SYS.4.3.A1.4 + description: Die vorgenommene Konfiguration SOLLTE dokumentiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a1 + ref_id: SYS.4.3.A1.5 + description: "Weiterhin SOLLTEN Regelungen festgelegt werden, um die Integrit\xE4\ + t und Funktionsf\xE4higkeit der eingebetteten Systeme zu testen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A2 + name: Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten + Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2 + ref_id: SYS.4.3.A2.1 + description: "Es MUSS sichergestellt werden, dass nur auf ben\xF6tigte Schnittstellen\ + \ zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2 + ref_id: SYS.4.3.A2.2 + description: "Alle anderen Schnittstellen M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2 + ref_id: SYS.4.3.A2.3 + description: "Zudem D\xDCRFEN NUR ben\xF6tigte Dienste aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a2 + ref_id: SYS.4.3.A2.4 + description: "Der Zugang zu Anwendungsschnittstellen MUSS durch sichere Authentisierung\ + \ gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A3 + name: Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a3.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a3 + ref_id: SYS.4.3.A3.1 + description: "Sicherheitsverst\xF6\xDFe M\xDCSSEN protokolliert werden (siehe\ + \ OPS.1.1.5 Protokollierung)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a3.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a3 + ref_id: SYS.4.3.A3.2 + description: Ist eine elektronische Protokollierung nicht oder nur sehr begrenzt + realisierbar, SOLLTEN alternative, organisatorische Regelungen geschaffen + und umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A4 + name: "Erstellung von Beschaffungskriterien f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.1 + description: Bevor eingebettete Systeme beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden, anhand derer die infrage kommenden Systeme oder Komponenten + bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.2 + description: 'Die Anforderungsliste SOLLTE mindestens folgende sicherheitsrelevante + Aspekte umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.3 + description: "\u2022 Aspekte der materiellen Sicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.4 + description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Hardware," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.5 + description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.6 + description: "\u2022 Unterst\xFCtzung eines Trusted Plattform Module (TPM) durch\ + \ das Betriebssystem," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.7 + description: "\u2022 Sicherheitsaspekte der Entwicklungsumgebung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a4 + ref_id: SYS.4.3.A4.8 + description: "\u2022 organisatorische Sicherheitsaspekte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A5 + name: "Schutz vor sch\xE4digenden Umwelteinfl\xFCssen bei eingebetteten Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5 + ref_id: SYS.4.3.A5.1 + description: "Es SOLLTE sichergestellt werden, dass eingebettete Systeme entsprechend\ + \ ihrer vorgesehenen Einsatzart und des vorgesehenen Einsatzorts angemessen\ + \ vor sch\xE4digenden Umwelteinfl\xFCssen gesch\xFCtzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5 + ref_id: SYS.4.3.A5.2 + description: "Die Anforderungen hierf\xFCr SOLLTEN bereits bei der Planung analysiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a5 + ref_id: SYS.4.3.A5.3 + description: "Zudem SOLLTE sichergestellt werden, dass die Vorkehrungen, um\ + \ einzelne Komponenten vor Staub, Hitze, N\xE4sse und Verschmutzung zu sch\xFC\ + tzen, keine Probleme mit den Anforderungen des \xFCbergeordneten Systems verursachen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A6 + name: "Verhindern von Debugging-M\xF6glichkeiten bei eingebetteten Systemen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6 + ref_id: SYS.4.3.A6.1 + description: "Eventuelle Debugging-M\xF6glichkeiten SOLLTEN m\xF6glichst vollst\xE4\ + ndig aus eingebetteten Systemen entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6 + ref_id: SYS.4.3.A6.2 + description: "Wird On-Chip-Debugging genutzt, MUSS sichergestellt werden, dass\ + \ Debugging-Funktionen nicht unberechtigt genutzt oder aktiviert werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6 + ref_id: SYS.4.3.A6.3 + description: "Weiterhin SOLLTE sichergestellt werden, dass keine Eingabeschnittstellen\ + \ f\xFCr Testsignale und Messpunkte zum Anschluss von Analysatoren aktiviert\ + \ und f\xFCr Unberechtigte nutzbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a6 + ref_id: SYS.4.3.A6.4 + description: Zudem SOLLTEN alle Hardware-Debugging-Schnittstellen deaktiviert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A7 + name: Hardware-Realisierung von Funktionen eingebetteter Systeme + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a7 + ref_id: SYS.4.3.A7.1 + description: "Werden eingebettete Systeme selbst entwickelt, SOLLTEN bei der\ + \ Designentscheidung zur Hardware- und Software-Realisierung Sicherheitsaspekte\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a7 + ref_id: SYS.4.3.A7.2 + description: "Auch bei der Entscheidung, eine bestimmte Hardware-Technik zu\ + \ implementieren, SOLLTEN Sicherheitsaspekte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A8 + name: "Einsatz eines sicheren Betriebssystems f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8 + ref_id: SYS.4.3.A8.1 + description: "Das eingesetzte Betriebssystem und die Konfiguration des eingebetteten\ + \ Systems SOLLTEN f\xFCr den vorgesehenen Betrieb geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8 + ref_id: SYS.4.3.A8.2 + description: "So SOLLTE das Betriebssystem f\xFCr die vorgesehene Aufgabe \xFC\ + ber ausreichende Sicherheitsmechanismen verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8 + ref_id: SYS.4.3.A8.3 + description: "Die ben\xF6tigten Dienste und Funktionen SOLLTEN aktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a8 + ref_id: SYS.4.3.A8.4 + description: "Das Betriebssystem SOLLTE es unterst\xFCtzen, ein Trusted Plattform\ + \ Module (TPM) zu nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A9 + name: Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten + Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9 + ref_id: SYS.4.3.A9.1 + description: "Wird ein zus\xE4tzlicher Mikrocontroller f\xFCr die kryptografischen\ + \ Berechnungen verwendet, SOLLTE dessen Kommunikation mit dem System-Mikrocontroller\ + \ ausreichend abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9 + ref_id: SYS.4.3.A9.2 + description: "F\xFCr das eingebettete System SOLLTEN die n\xF6tigen Vertrauensanker\ + \ realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a9 + ref_id: SYS.4.3.A9.3 + description: Auch SOLLTE eine Vertrauenskette (Chain of Trust) implementiert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A10 + name: Wiederherstellung von eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a10 + ref_id: SYS.4.3.A10.1 + description: "Eingebettete Systeme SOLLTEN \xFCber Rollback-F\xE4higkeiten verf\xFC\ + gen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A11 + name: Sichere Aussonderung eines eingebetteten Systems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11 + ref_id: SYS.4.3.A11.1 + description: "Bevor eingebettete Systeme ausgesondert werden, SOLLTEN s\xE4\ + mtliche Daten auf dem System sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11 + ref_id: SYS.4.3.A11.2 + description: "Ist dies nicht m\xF6glich, SOLLTE das System vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a11 + ref_id: SYS.4.3.A11.3 + description: "Die L\xF6schung oder Vernichtung SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A12 + name: "Auswahl einer vertrauensw\xFCrdigen Lieferungs- und Logistikkette sowie\ + \ qualifizierte herstellende Institutionen f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + ref_id: SYS.4.3.A12.1 + description: "Es SOLLTEN in der Logistikkette wirksame Kontrollen durchgef\xFC\ + hrt werden, sodass sichergestellt ist," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + ref_id: SYS.4.3.A12.2 + description: "\u2022 dass eingebettete Systeme keine manipulierten, gef\xE4\ + lschten oder getauschten Komponenten enthalten," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + ref_id: SYS.4.3.A12.3 + description: "\u2022 die Systeme der Spezifikation entsprechen und keine verdeckten\ + \ Funktionen bei der Herstellung implementiert wurden sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + ref_id: SYS.4.3.A12.4 + description: "\u2022 Unbefugte nicht an vertrauliche Informationen \xFCber das\ + \ eingebettete System gelangen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a12 + ref_id: SYS.4.3.A12.5 + description: Die beteiligten Unternehmen SOLLTEN nachweisbar qualifiziert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A13 + name: Einsatz eines zertifizierten Betriebssystems + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a13 + ref_id: SYS.4.3.A13.1 + description: Das Betriebssystem SOLLTE nach einem anerkannten Standard auf einer + angemessenen Stufe evaluiert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A14 + name: Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.1 + description: "Der Bootprozess eines eingebetteten Systems SOLLTE abgesichert\ + \ sein, indem der Bootloader die Integrit\xE4t des Betriebssystems \xFCberpr\xFC\ + ft und es nur dann l\xE4dt, wenn es als korrekt eingestuft wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.2 + description: "Umgekehrt SOLLTE auch das Betriebssystem die Integrit\xE4t des\ + \ Bootloaders pr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.3 + description: "Es SOLLTE ein mehrstufiges Boot-Konzept mit kryptografisch sicherer\ + \ \xDCberpr\xFCfung der Einzelschritte realisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.4 + description: Sichere Hardware-Vertrauensanker SOLLTEN verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.5 + description: Bei einem ARM-basierten eingebetteten System SOLLTE ARM Secure + Boot genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a14 + ref_id: SYS.4.3.A14.6 + description: Bei einem Unified Extensible Firmware Interface (UEFI) SOLLTE Secure + Boot genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A15 + name: Speicherschutz bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a15 + ref_id: SYS.4.3.A15.1 + description: "Bereits beim Entwurf eingebetteter Systeme SOLLTEN Speicherschutzmechanismen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a15 + ref_id: SYS.4.3.A15.2 + description: "Die Art des Speicherschutzes sowie Anzahl und Gr\xF6\xDFe der\ + \ Schutzr\xE4ume SOLLTEN f\xFCr den Einsatzzweck angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A16 + name: Tamper-Schutz bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16 + ref_id: SYS.4.3.A16.1 + description: "F\xFCr eingebettete Systeme SOLLTE ein Tamper-Schutz-Konzept entwickelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16 + ref_id: SYS.4.3.A16.2 + description: Es SOLLTEN angemessene Mechanismen etabliert werden, die Tamper-Angriffe + erkennen, aufzeichnen und verhindern. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a16 + ref_id: SYS.4.3.A16.3 + description: "Schlie\xDFlich SOLLTEN angemessene Vorgaben etabliert werden,\ + \ wie auf einen Tamper-Angriff zu reagieren ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A17 + name: "Automatische \xDCberwachung der Baugruppenfunktion" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + ref_id: SYS.4.3.A17.1 + description: "S\xE4mtliche Baugruppen eines eingebetteten Systems mit erh\xF6\ + hten Anforderungen an die Verf\xFCgbarkeit und Integrit\xE4t SOLLTEN integrierte\ + \ Selbsttesteinrichtungen (Built-in Self-Test, BIST) besitzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + ref_id: SYS.4.3.A17.2 + description: "Tests SOLLTEN w\xE4hrend des Einschaltvorgangs sowie in angemessenen\ + \ zeitlichen Intervallen w\xE4hrend des Betriebs die Integrit\xE4t des Systems\ + \ pr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + ref_id: SYS.4.3.A17.3 + description: "Soweit m\xF6glich, SOLLTEN die Selbsttestfunktionen auch Sicherheitsfunktionen\ + \ und Sicherheitseigenschaften der Baugruppe \xFCberpr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + ref_id: SYS.4.3.A17.4 + description: "Regelm\xE4\xDFig SOLLTE die Integrit\xE4t der Speicher und I/O-Komponenten\ + \ im Rahmen des BIST gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a17 + ref_id: SYS.4.3.A17.5 + description: "Bestehende BIST-Funktionen SOLLTEN, falls m\xF6glich, um die erforderlichen\ + \ Funktionen erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3 + ref_id: SYS.4.3.A18 + name: "Widerstandsf\xE4higkeit eingebetteter Systeme gegen Seitenkanalangriffe" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.3.a18 + ref_id: SYS.4.3.A18.1 + description: Es SOLLTEN angemessene Vorkehrungen gegen nicht-invasive und (semi-)invasive + Seitenkanalangriffe getroffen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + assessable: false + depth: 1 + ref_id: SYS.4.4 + name: "Allgemeines IoT-Ger\xE4t" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A1 + name: "Einsatzkriterien f\xFCr IoT-Ger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1 + ref_id: SYS.4.4.A1.1 + description: "IoT-Ger\xE4te M\xDCSSEN Update-Funktionen besitzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1 + ref_id: SYS.4.4.A1.2 + description: "Die herstellenden Unternehmen M\xDCSSEN einen Update-Prozess anbieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1 + ref_id: SYS.4.4.A1.3 + description: "Die Ger\xE4te M\xDCSSEN eine angemessene Authentisierung erm\xF6\ + glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a1 + ref_id: SYS.4.4.A1.4 + description: "Es D\xDCRFEN KEINE fest codierten oder herzuleitenden Zugangsdaten\ + \ in den Ger\xE4ten enthalten sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A2 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a2 + ref_id: SYS.4.4.A2.1 + description: Eine angemessene Authentisierung MUSS aktiviert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a2 + ref_id: SYS.4.4.A2.2 + description: "IoT-Gerate M\xDCSSEN in das Identit\xE4ts- und Berechtigungsmanagement\ + \ der Institution integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A5 + name: "Einschr\xE4nkung des Netzzugriffs" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.1 + description: "Der Netzzugriff von IoT-Ger\xE4ten MUSS auf das erforderliche\ + \ Minimum eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.2 + description: "Dies SOLLTE regelm\xE4\xDFig kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.3 + description: 'Dazu SOLLTEN folgende Punkte beachtet werden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.4 + description: "\u2022 Bei Verkehrskontrollen an Netz\xFCberg\xE4ngen, z. B. durch\ + \ Regelwerke auf Firewalls und Access Control Lists (ACLs) auf Routern, D\xDC\ + RFEN NUR zuvor definierte ein- und ausgehende Verbindungen erlaubt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.5 + description: "\u2022 Die Routings auf IoT-Ger\xE4ten und Sensoren, insbesondere\ + \ die Unterdr\xFCckung von Default-Routen, SOLLTE restriktiv konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.6 + description: "\u2022 Die IoT-Ger\xE4te und Sensoren SOLLTEN in einem eigenen\ + \ Netzsegment betrieben werden, das ausschlie\xDFlich mit dem Netzsegment\ + \ f\xFCr das Management kommunizieren darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.7 + description: "\u2022 Virtual Private Networks (VPNs) zwischen den Netzen mit\ + \ IoT-Ger\xE4ten und Sensor-Netzen und den Management-Netzen SOLLTEN restriktiv\ + \ konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a5 + ref_id: SYS.4.4.A5.8 + description: "\u2022 Die UPnP-Funktion MUSS an allen Routern deaktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A6 + name: "Aufnahme von IoT-Ger\xE4ten in die Sicherheitsrichtlinie der Institution" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6 + ref_id: SYS.4.4.A6.1 + description: "In der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN\ + \ die Anforderungen an IoT-Ger\xE4te konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6 + ref_id: SYS.4.4.A6.2 + description: "Die Richtlinie SOLLTE allen Personen, die IoT-Ger\xE4te beschaffen\ + \ und betreiben, bekannt und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a6 + ref_id: SYS.4.4.A6.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft und die Ergebnisse sinnvoll dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A7 + name: "Planung des Einsatzes von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7 + ref_id: SYS.4.4.A7.1 + description: "Um einen sicheren Betrieb von IoT-Ger\xE4ten zu gew\xE4hrleisten,\ + \ SOLLTE im Vorfeld geplant werden, wo und wie diese eingesetzt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7 + ref_id: SYS.4.4.A7.2 + description: "Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die klassischerweise\ + \ mit dem Begriff Informationssicherheit verkn\xFCpft werden, sondern auch\ + \ normale, betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit\ + \ nach sich ziehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a7 + ref_id: SYS.4.4.A7.3 + description: Alle Entscheidungen, die in der Planungsphase getroffen wurden, + SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A8 + name: "Beschaffungskriterien f\xFCr IoT-Ger\xE4te" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8 + ref_id: SYS.4.4.A8.1 + description: "Der oder die ISB SOLLTE bei allen Beschaffungen von IoT-Ger\xE4\ + ten mit einbezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8 + ref_id: SYS.4.4.A8.2 + description: "Bevor IoT-Ger\xE4te beschafft werden, SOLLTE festgelegt werden,\ + \ welche Sicherheitsanforderungen diese erf\xFCllen m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8 + ref_id: SYS.4.4.A8.3 + description: "Bei der Beschaffung von IoT-Ger\xE4ten SOLLTEN Aspekte der materiellen\ + \ Sicherheit ebenso wie Anforderungen an die Sicherheitseigenschaften der\ + \ Software ausreichend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a8 + ref_id: SYS.4.4.A8.4 + description: "Eine Anforderungsliste SOLLTE erstellt werden, anhand derer die\ + \ am Markt erh\xE4ltlichen Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A9 + name: "Regelung des Einsatzes von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a9.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a9 + ref_id: SYS.4.4.A9.1 + description: "F\xFCr jedes IoT-Ger\xE4t SOLLTE eine zust\xE4ndige Person f\xFC\ + r dessen Betrieb benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a9.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a9 + ref_id: SYS.4.4.A9.2 + description: "Die Zust\xE4ndigen SOLLTEN ausreichend \xFCber den Umgang mit\ + \ dem IoT-Ger\xE4t informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A10 + name: "Sichere Installation und Konfiguration von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + ref_id: SYS.4.4.A10.1 + description: "Es SOLLTE festgelegt werden, unter welchen Rahmenbedingungen IoT-Ger\xE4\ + te installiert und konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + ref_id: SYS.4.4.A10.2 + description: "Die IoT-Ger\xE4te SOLLTEN nur von autorisierten Personen (Zust\xE4\ + ndige f\xFCr IoT-Ger\xE4te, Administrierende oder vertraglich gebundene Dienstleistende)\ + \ nach einem definierten Prozess installiert und konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + ref_id: SYS.4.4.A10.3 + description: Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert + werden, dass die Installation und Konfiguration durch sachkundige Dritte anhand + der Dokumentation nachvollzogen und wiederholt werden kann. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + ref_id: SYS.4.4.A10.4 + description: "Die Grundeinstellungen von IoT-Ger\xE4ten SOLLTEN \xFCberpr\xFC\ + ft und n\xF6tigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a10 + ref_id: SYS.4.4.A10.5 + description: "Falls m\xF6glich, SOLLTEN IoT-Ger\xE4te erst mit Datennetzen verbunden\ + \ werden, nachdem die Installation und die Konfiguration abgeschlossen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A11 + name: "Verwendung von verschl\xFCsselter Daten\xFCbertragung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a11 + ref_id: SYS.4.4.A11.1 + description: "IoT-Ger\xE4te SOLLTEN Daten nur verschl\xFCsselt \xFCbertragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A13 + name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + ref_id: SYS.4.4.A13.1 + description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Protokolle,\ + \ Anwendungen und weiteren Tools auf den IoT-Ger\xE4ten installiert und aktiviert\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + ref_id: SYS.4.4.A13.2 + description: "Nicht ben\xF6tigte Protokolle, Dienste, Anmeldekennungen und Schnittstellen\ + \ SOLLTEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + ref_id: SYS.4.4.A13.3 + description: "Die Verwendung von nicht ben\xF6tigten Funkschnittstellen SOLLTE\ + \ unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + ref_id: SYS.4.4.A13.4 + description: "Wenn dies nicht am Ger\xE4t selber m\xF6glich ist, SOLLTEN nicht\ + \ ben\xF6tigte Dienste \xFCber die Firewall eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a13 + ref_id: SYS.4.4.A13.5 + description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ + \ dass nachvollzogen werden kann, welche Konfiguration f\xFCr die IoT-Ger\xE4\ + te gew\xE4hlt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A15 + name: Restriktive Rechtevergabe + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a15 + ref_id: SYS.4.4.A15.1 + description: "Die Zugriffsberechtigungen auf IoT-Ger\xE4te SOLLTEN m\xF6glichst\ + \ restriktiv vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a15 + ref_id: SYS.4.4.A15.2 + description: "Wenn dies \xFCber die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ + \ SOLLTE \xFCberlegt werden, dies netzseitig zu regeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A16 + name: "Beseitigung von Schadprogrammen auf IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16 + ref_id: SYS.4.4.A16.1 + description: "Der IT-Betrieb SOLLTE sich regelm\xE4\xDFig informieren, ob sich\ + \ die eingesetzten IoT-Ger\xE4te mit Schadprogrammen infizieren k\xF6nnten\ + \ und wie Infektionen beseitigt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16 + ref_id: SYS.4.4.A16.2 + description: "Schadprogramme SOLLTEN unverz\xFCglich beseitigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a16 + ref_id: SYS.4.4.A16.3 + description: "Kann die Ursache f\xFCr die Infektion nicht behoben bzw. eine\ + \ Neuinfektion nicht wirksam verhindert werden, SOLLTEN die betroffenen IoT-Ger\xE4\ + te nicht mehr verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A17 + name: "\xDCberwachung des Netzverkehrs von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a17 + ref_id: SYS.4.4.A17.1 + description: "Es SOLLTE \xFCberwacht werden, ob die IoT-Ger\xE4te oder Sensor-Systeme\ + \ nur mit IT-Systemen kommunizieren, die f\xFCr den Betrieb der IoT-Ger\xE4\ + te notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A18 + name: "Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18 + ref_id: SYS.4.4.A18.1 + description: Sicherheitsrelevante Ereignisse SOLLTEN automatisch protokolliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18 + ref_id: SYS.4.4.A18.2 + description: "Falls dies durch die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ + \ SOLLTEN hierf\xFCr Router oder Protokollmechanismen anderer IT-Systeme genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a18 + ref_id: SYS.4.4.A18.3 + description: Die Protokolle SOLLTEN geeignet ausgewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A19 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.1 + description: "Abh\xE4ngig davon, ob IoT-Ger\xE4te lokal, direkt \xFCber das\ + \ Netz oder \xFCber zentrale netzbasierte Tools administriert werden, SOLLTEN\ + \ geeignete Sicherheitsvorkehrungen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.2 + description: "Der Zugriff auf die Administrationsschnittstellen von IoT-Ger\xE4\ + ten SOLLTE wie folgt eingeschr\xE4nkt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.3 + description: "\u2022 Netzbasierte Administrationsschnittstellen SOLLTEN auf\ + \ berechtigte IT-Systeme bzw. Netzsegmente beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.4 + description: "\u2022 Es SOLLTEN bevorzugt lokale Administrationsschnittstellen\ + \ am IoT-Ger\xE4t oder Administrationsschnittstellen \xFCber lokale Netze\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.5 + description: Die zur Administration verwendeten Methoden SOLLTEN in der Sicherheitsrichtlinie + festgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a19 + ref_id: SYS.4.4.A19.6 + description: "Die IoT-Ger\xE4te SOLLTEN entsprechend der Sicherheitsrichtlinie\ + \ administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A20 + name: "Geregelte Au\xDFerbetriebnahme von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20 + ref_id: SYS.4.4.A20.1 + description: "Es SOLLTE eine \xDCbersicht dar\xFCber geben, welche Daten wo\ + \ auf IoT-Ger\xE4ten gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20 + ref_id: SYS.4.4.A20.2 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme von IoT-Ger\xE4ten abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a20 + ref_id: SYS.4.4.A20.3 + description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ + \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ + \ aller Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A21 + name: Einsatzumgebung und Stromversorgung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.1 + description: "Es SOLLTE gekl\xE4rt werden, ob IoT-Ger\xE4te in der angedachten\ + \ Einsatzumgebung betrieben werden d\xFCrfen (Schutzbedarf anderer IT-Systeme,\ + \ Datenschutz)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.2 + description: "IoT-Ger\xE4te SOLLTEN in der Einsatzumgebung vor Diebstahl, Zerst\xF6\ + rung und Manipulation gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.3 + description: "Es SOLLTE gekl\xE4rt sein, ob ein IoT-Ger\xE4t bestimmte Anforderungen\ + \ an die physische Einsatzumgebung hat, wie z. B. Luftfeuchtigkeit, Temperatur\ + \ oder Energieversorgung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.4 + description: "Falls erforderlich, SOLLTEN daf\xFCr erg\xE4nzende Ma\xDFnahmen\ + \ bei der Infrastruktur umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.5 + description: "Wenn IoT-Ger\xE4te mit Batterien betrieben werden, SOLLTE der\ + \ regelm\xE4\xDFige Funktionstest und Austausch der Batterien geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a21 + ref_id: SYS.4.4.A21.6 + description: "IoT-Ger\xE4te SOLLTEN entsprechend ihrer vorgesehenen Einsatzart\ + \ und dem vorgesehenen Einsatzort vor Staub und Verschmutzungen gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A22 + name: "System\xFCberwachung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + ref_id: SYS.4.4.A22.1 + description: "Die IoT-Ger\xE4te SOLLTEN in ein geeignetes System\xFCberwachungs-\ + \ bzw. Monitoringkonzept eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + ref_id: SYS.4.4.A22.2 + description: "Der Systemzustand und die Funktionsf\xE4higkeit der IoT-Ger\xE4\ + te SOLLTEN laufend \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + ref_id: SYS.4.4.A22.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN an das Betriebspersonal gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + ref_id: SYS.4.4.A22.4 + description: "Es SOLLTE gepr\xFCft werden, ob die verwendeten Ger\xE4te die\ + \ Anforderung an die Verf\xFCgbarkeit erf\xFCllen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a22 + ref_id: SYS.4.4.A22.5 + description: "Alternativ SOLLTE gepr\xFCft werden, ob weitere Ma\xDFnahmen,\ + \ wie das Einrichten eines Clusters oder die Beschaffung von Standby-Ger\xE4\ + ten, erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A23 + name: "Auditierung von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a23.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a23 + ref_id: SYS.4.4.A23.1 + description: "Alle eingesetzten IoT-Ger\xE4te SOLLTEN regelm\xE4\xDFig auditiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4 + ref_id: SYS.4.4.A24 + name: Sichere Konfiguration und Nutzung eines eingebetteten Webservers + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a24.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a24 + ref_id: SYS.4.4.A24.1 + description: "In IoT-Ger\xE4ten integrierte Webserver SOLLTEN m\xF6glichst restriktiv\ + \ konfiguriert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a24.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.4.a24 + ref_id: SYS.4.4.A24.2 + description: "Der Webserver SOLLTE, soweit m\xF6glich, NICHT unter einem privilegierten\ + \ Konto betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + assessable: false + depth: 1 + ref_id: SYS.4.5 + name: "Wechseldatentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A1 + name: "Sensibilisierung zum sicheren Umgang mit Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1 + ref_id: SYS.4.5.A1.1 + description: "Alle Benutzenden M\xDCSSEN f\xFCr den sicheren Umgang mit Wechseldatentr\xE4\ + gern sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1 + ref_id: SYS.4.5.A1.2 + description: "Die Institution MUSS insbesondere darauf hinweisen, wie die Benutzenden\ + \ mit Wechseldatentr\xE4gern umgehen sollten, um einem Verlust oder Diebstahl\ + \ vorzubeugen und eine lange Lebensdauer zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a1 + ref_id: SYS.4.5.A1.3 + description: "Die Institution MUSS die Benutzenden dar\xFCber informieren, dass\ + \ sie keine Wechseldatentr\xE4ger, die aus unbekannten Quellen stammen, an\ + \ ihre IT-Systeme anschlie\xDFen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A2 + name: Verlust- und Manipulationsmeldung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + ref_id: SYS.4.5.A2.1 + description: "Die Benutzenden M\xDCSSEN umgehend melden, wenn ein Wechseldatentr\xE4\ + ger gestohlen oder verloren wurde oder der Verdacht einer Manipulation besteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + ref_id: SYS.4.5.A2.2 + description: "Die Benutzenden M\xDCSSEN bei ihrer Meldung angeben, welche Informationen\ + \ auf dem Wechseldatentr\xE4ger gespeichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + ref_id: SYS.4.5.A2.3 + description: "Hierf\xFCr MUSS es in der Institution klare Meldewege und Zust\xE4\ + ndigkeiten geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + ref_id: SYS.4.5.A2.4 + description: "Die Institution MUSS festlegen, wie Wechseldatentr\xE4ger behandelt\ + \ werden sollen, die nach einem Verlust wiedergefunden wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a2 + ref_id: SYS.4.5.A2.5 + description: "Wiedergefundene Wechseldatentr\xE4ger D\xDCRFEN NICHT ohne vorherige\ + \ \xDCberpr\xFCfung auf Manipulation und Schadsoftware verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A4 + name: "Erstellung einer Richtlinie zum sicheren Umgang mit Wechseldatentr\xE4\ + gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.1 + description: "Es SOLLTE eine Richtlinie f\xFCr den richtigen Umgang mit Wechseldatentr\xE4\ + gern erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.2 + description: "Folgende grundlegenden Aspekte SOLLTEN dabei ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.3 + description: "\u2022 welche Wechseldatentr\xE4ger genutzt werden und wer diese\ + \ einsetzen darf," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.4 + description: "\u2022 welche Daten auf Wechseldatentr\xE4gern gespeichert werden\ + \ d\xFCrfen und welche nicht," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.5 + description: "\u2022 wie die auf Wechseldatentr\xE4gern gespeicherten Daten\ + \ vor unbefugtem Zugriff, Manipulation und Verlust gesch\xFCtzt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.6 + description: "\u2022 wie die Daten auf den Wechseldatentr\xE4gern gel\xF6scht\ + \ werden sollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.7 + description: "\u2022 mit welchen externen Institutionen Wechseldatentr\xE4ger\ + \ ausgetauscht werden d\xFCrfen und welche Sicherheitsregelungen dabei zu\ + \ beachten sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.8 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.8 + description: "\u2022 ob Wechseldatentr\xE4ger an fremde IT-Systeme angeschlossen\ + \ werden d\xFCrfen und was dabei zu beachten ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.9 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.9 + description: "\u2022 wie Wechseldatentr\xE4ger zu versenden sind sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.10 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.10 + description: "\u2022 wie der Verbreitung von Schadsoftware \xFCber Wechseldatentr\xE4\ + ger vorgebeugt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.11 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.11 + description: "Die Institution SOLLTE in der Sicherheitsrichtlinie festlegen,\ + \ unter welchen Bedingungen Wechseldatentr\xE4ger gelagert werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.12 + description: "Insbesondere SOLLTE die Institution vorgeben, dass nur berechtigte\ + \ Benutzende Zugang zu beschriebenen Wechseldatentr\xE4gern haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.13 + description: "Die Institution SOLLTE festlegen, dass Angaben des herstellenden\ + \ Unternehmens zum Umgang mit Datentr\xE4gern ber\xFCcksichtigt werden m\xFC\ + ssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.14 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.14 + description: "Die Institution SOLLTE die Verwendung von privaten Wechseldatentr\xE4\ + gern untersagen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4.15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a4 + ref_id: SYS.4.5.A4.15 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsvorgaben\ + \ f\xFCr den Umgang mit Wechseldatentr\xE4gern aktuell sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A5 + name: "Regelung zur Mitnahme von Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a5.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a5 + ref_id: SYS.4.5.A5.1 + description: "Es SOLLTE klare schriftliche Regeln dazu geben, ob, wie und zu\ + \ welchen Anl\xE4ssen Wechseldatentr\xE4ger mitgenommen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a5.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a5 + ref_id: SYS.4.5.A5.2 + description: "Insbesondere SOLLTE festgelegt sein, welche Wechseldatentr\xE4\ + ger von wem au\xDFer Haus transportiert werden d\xFCrfen und welche Sicherheitsma\xDF\ + nahmen dabei zu beachten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A6 + name: "Datentr\xE4gerverwaltung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6 + ref_id: SYS.4.5.A6.1 + description: "Es SOLLTE eine Verwaltung f\xFCr Wechseldatentr\xE4ger geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6 + ref_id: SYS.4.5.A6.2 + description: "Die Wechseldatentr\xE4ger SOLLTEN einheitlich gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a6 + ref_id: SYS.4.5.A6.3 + description: "Die Verwaltung f\xFCr Wechseldatentr\xE4ger SOLLTE gew\xE4hrleisten,\ + \ dass Wechseldatentr\xE4ger sachgerecht behandelt und aufbewahrt sowie ordnungsgem\xE4\ + \xDF eingesetzt und transportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A7 + name: "Sicheres L\xF6schen der Wechseldatentr\xE4ger vor und nach der Verwendung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a7.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a7 + ref_id: SYS.4.5.A7.1 + description: "Bevor Wechseldatentr\xE4ger weitergegeben, wiederverwendet oder\ + \ ausgesondert werden, SOLLTEN sie in geeigneter Weise sicher gel\xF6scht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A10 + name: "Datentr\xE4gerverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a10.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a10 + ref_id: SYS.4.5.A10.1 + description: "Wenn Wechseldatentr\xE4ger au\xDFerhalb eines sicheren Bereiches\ + \ verwendet oder transportiert werden und dabei schutzbed\xFCrftige Daten\ + \ enthalten, M\xDCSSEN die Daten mit einem sicheren Verfahren verschl\xFC\ + sselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A11 + name: "Integrit\xE4tsschutz durch Checksummen oder digitale Signaturen" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a11.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a11 + ref_id: SYS.4.5.A11.1 + description: "Es SOLLTE ein Verfahren zum Schutz gegen zuf\xE4llige oder vors\xE4\ + tzliche Ver\xE4nderungen eingesetzt werden, mit dem die Integrit\xE4t von\ + \ vertraulichen Informationen sichergestellt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a11.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a11 + ref_id: SYS.4.5.A11.2 + description: "Die Verfahren zum Schutz vor Ver\xE4nderungen SOLLTEN dem aktuellen\ + \ Stand der Technik entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A12 + name: Schutz vor Schadsoftware + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a12.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a12 + ref_id: SYS.4.5.A12.1 + description: "Die Institution MUSS sicherstellen, dass nur Daten auf Wechseldatentr\xE4\ + ger \xFCbertragen werden, die auf Schadsoftware \xFCberpr\xFCft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a12.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a12 + ref_id: SYS.4.5.A12.2 + description: "Bevor Daten von Wechseldatentr\xE4gern verarbeitet werden, M\xDC\ + SSEN sie auf Schadsoftware \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A13 + name: "Kennzeichnung der Wechseldatentr\xE4ger beim Versand" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13 + ref_id: SYS.4.5.A13.1 + description: "Wechseldatentr\xE4ger, die versendet werden sollen, SOLLTEN so\ + \ gekennzeichnet werden, dass die Absendenden und die Empfangenden sie sofort\ + \ identifizieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13 + ref_id: SYS.4.5.A13.2 + description: "Die Kennzeichnung der Wechseldatentr\xE4ger oder deren Verpackung\ + \ SOLLTE f\xFCr die Empfangenden eindeutig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a13 + ref_id: SYS.4.5.A13.3 + description: "Die Kennzeichnung von Wechseldatentr\xE4gern mit sch\xFCtzenswerten\ + \ Informationen SOLLTE f\xFCr Au\xDFenstehende keine R\xFCckschl\xFCsse auf\ + \ Art und Inhalte der Informationen zulassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A14 + name: Sichere Versandart und Verpackung + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14 + ref_id: SYS.4.5.A14.1 + description: "Die Institution SOLLTE \xFCberpr\xFCfen, wie vertrauliche Informationen\ + \ bei einem Versand angemessen gesch\xFCtzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14 + ref_id: SYS.4.5.A14.2 + description: "Es SOLLTE eine sichere Versandverpackung f\xFCr Wechseldatentr\xE4\ + ger verwendet werden, bei der Manipulationen sofort zu erkennen sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14.3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a14 + ref_id: SYS.4.5.A14.3 + description: Die Institution SOLLTE alle Beteiligten auf notwendige Versand- + und Verpackungsarten hinweisen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A15 + name: "Verwendung zertifizierter Wechseldatentr\xE4ger" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a15.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a15 + ref_id: SYS.4.5.A15.1 + description: "Die Institution SOLLTE nur Wechseldatentr\xE4ger verwenden, die\ + \ zertifiziert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a15.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a15 + ref_id: SYS.4.5.A15.2 + description: "Die Zertifizierung SOLLTE insbesondere eine integere Datenerhaltung\ + \ sowie m\xF6glicherweise vorhandene Verschl\xFCsselungsverfahren umfassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A16 + name: "Nutzung dedizierter IT-Systeme zur Datenpr\xFCfung" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a16.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a16 + ref_id: SYS.4.5.A16.1 + description: "Die Institution SOLLTE dedizierte IT-Systeme als Datenschleuse\ + \ verwenden, bei denen Daten von einem Wechseldatentr\xE4ger auf einen anderen\ + \ \xFCbertragen werden und dabei auf Schadsoftware untersucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5 + ref_id: SYS.4.5.A17 + name: "Gew\xE4hrleistung der Integrit\xE4t und Verf\xFCgbarkeit bei Langzeitspeichern" + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a17.1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a17 + ref_id: SYS.4.5.A17.1 + description: "Falls Wechseldatentr\xE4ger verwendet werden, um Daten f\xFCr\ + \ lange Zeitr\xE4ume zu speichern, SOLLTE die Institution sicherstellen, dass\ + \ die verwendeten Wechseldatentr\xE4ger geeignet sind, um die Integrit\xE4\ + t und Verf\xFCgbarkeit der Daten w\xE4hrend des gesamten Nutzungszeitraums\ + \ sicherzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a17.2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:sys.4.5.a17 + ref_id: SYS.4.5.A17.2 + description: "Die Integrit\xE4t der Daten SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S diff --git a/backend/library/libraries/it-grundschutz-kompendium-2023.yaml b/backend/library/libraries/it-grundschutz-kompendium-2023.yaml deleted file mode 100644 index 680506c42..000000000 --- a/backend/library/libraries/it-grundschutz-kompendium-2023.yaml +++ /dev/null @@ -1,79555 +0,0 @@ -urn: urn:intuitem:risk:library:it-grundschutz-kompendium-2023 -locale: de -ref_id: it-grundschutz-kompendium -name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit" -description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ - \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ - r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." -copyright: Deutschland BSI -version: 1 -provider: BSI -packager: intuitem -objects: - framework: - urn: urn:intuitem:risk:framework:it-grundschutz-kompendium-2023 - ref_id: it-grundschutz-kompendium - name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit" - description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ - \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ - r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ - chten." - implementation_groups_definition: - - ref_id: B - name: Basis - description: null - - ref_id: S - name: Standard - description: null - - ref_id: E - name: "Erh\xF6hter Schutzbedarf" - description: null - requirement_nodes: - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - assessable: false - depth: 1 - ref_id: APP - name: Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.1.1 - name: Office-Produkte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A2 - name: "Einschr\xE4nken von Aktiven Inhalten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 - ref_id: APP.1.1.A2.1 - description: "Die Funktion, dass eingebettete Aktive Inhalte automatisch ausgef\xFC\ - hrt werden, MUSS deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 - ref_id: APP.1.1.A2.2 - description: "Falls es dennoch notwendig ist, Aktive Inhalte auszuf\xFChren,\ - \ MUSS darauf geachtet werden, dass Aktive Inhalte nur ausgef\xFChrt werden,\ - \ wenn sie aus vertrauensw\xFCrdigen Quellen stammen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 - ref_id: APP.1.1.A2.3 - description: "Alle Benutzenden M\xDCSSEN hinsichtlich der Funktionen, die Aktive\ - \ Inhalte einschr\xE4nken, eingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A3 - name: "Sicheres \xD6ffnen von Dokumenten aus externen Quellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 - ref_id: APP.1.1.A3.1 - description: "Alle aus externen Quellen bezogenen Dokumente M\xDCSSEN auf Schadsoftware\ - \ \xFCberpr\xFCft werden, bevor sie ge\xF6ffnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 - ref_id: APP.1.1.A3.2 - description: "Alle als problematisch eingestuften und alle innerhalb der Institution\ - \ nicht ben\xF6tigten Dateiformate M\xDCSSEN verboten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 - ref_id: APP.1.1.A3.3 - description: "Falls m\xF6glich, SOLLTEN sie blockiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 - ref_id: APP.1.1.A3.4 - description: "Durch technische Ma\xDFnahmen SOLLTE erzwungen werden, dass Dokumente\ - \ aus externen Quellen gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A6 - name: Testen neuer Versionen von Office-Produkten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 - ref_id: APP.1.1.A6.1 - description: "Neue Versionen von Office-Produkten SOLLTEN vor dem produktiven\ - \ Einsatz auf Kompatibilit\xE4t mit etablierten Arbeitsmitteln wie Makros,\ - \ Dokumentenvorlagen oder Formularen der Institution gepr\xFCft werden (Siehe\ - \ hierzu OPS.1.1.6 Software-Tests und -Freigaben)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 - ref_id: APP.1.1.A6.2 - description: Es SOLLTE sichergestellt sein, dass wichtige Arbeitsmittel auch - mit der neuen Software-Version einwandfrei funktionieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 - ref_id: APP.1.1.A6.3 - description: "Bei entdeckten Inkompatibilit\xE4ten SOLLTEN geeignete L\xF6sungen\ - \ f\xFCr die betroffenen Arbeitsmittel gefunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A10 - name: Regelung der Software-Entwicklung durch Endbenutzende - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.1 - description: "F\xFCr die Software-Entwicklung auf Basis von Office-Anwendungen,\ - \ z. B. mit Makros, SOLLTEN verbindliche Regelungen getroffen werden (siehe\ - \ auch APP.1.1.A2 Einschr\xE4nken von Aktiven Inhalten)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.2 - description: "Zun\xE4chst SOLLTE in jeder Institution die Grundsatzentscheidung\ - \ getroffen werden, ob solche Eigenentwicklungen \xFCberhaupt erw\xFCnscht\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.3 - description: Die Entscheidung SOLLTE in den betroffenen Sicherheitsrichtlinien - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.4 - description: "Werden Eigenentwicklungen erlaubt, SOLLTE ein Verfahren f\xFC\ - r den Umgang mit entsprechenden Funktionen der Office-Produkte f\xFCr die\ - \ Endbenutzenden erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.5 - description: "Zust\xE4ndigkeiten SOLLTEN klar definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.6 - description: "Alle notwendigen Informationen \xFCber die erstellten Anwendungen\ - \ SOLLTEN angemessen dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 - ref_id: APP.1.1.A10.7 - description: "Aktuelle Versionen der Regelungen SOLLTEN allen betroffenen Benutzenden\ - \ zeitnah zug\xE4nglich gemacht und von diesen beachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A11 - name: "Geregelter Einsatz von Erweiterungen f\xFCr Office-Produkte" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - ref_id: APP.1.1.A11.1 - description: Alle Erweiterungen von Office-Produkten, wie Add-ons und Extensions, - SOLLTEN vor dem produktiven Einsatz genauso getestet werden wie neue Versionen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - ref_id: APP.1.1.A11.2 - description: "Hierbei SOLLTE ausschlie\xDFlich auf isolierten Testsystemen getestet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - ref_id: APP.1.1.A11.3 - description: "Die Tests SOLLTEN pr\xFCfen, ob Erweiterungen negative Auswirkungen\ - \ auf die Office-Produkte und die laufenden IT-Systeme haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - ref_id: APP.1.1.A11.4 - description: Die Tests der eingesetzten Erweiterungen SOLLTEN einem definierten - Testplan folgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 - ref_id: APP.1.1.A11.5 - description: "Dieser Testplan SOLLTE so gestaltet sein, dass Dritte das Vorgehen\ - \ nachvollziehen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A12 - name: Verzicht auf Cloud-Speicherung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - ref_id: APP.1.1.A12.1 - description: "Die in einigen Office-Produkten integrierten Funktionen f\xFC\ - r Cloud-Speicher SOLLTEN grunds\xE4tzlich deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - ref_id: APP.1.1.A12.2 - description: Alle Cloud-Laufwerke SOLLTEN deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - ref_id: APP.1.1.A12.3 - description: Alle Dokumente SOLLTEN durch die Benutzenden auf zentral verwalteten - Fileservern der Institution gespeichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - ref_id: APP.1.1.A12.4 - description: "Um Dokumente f\xFCr Dritte freizugeben, SOLLTEN spezialisierte\ - \ Anwendungen eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 - ref_id: APP.1.1.A12.5 - description: "Diese Anwendungen SOLLTEN mindestens \xFCber eine verschl\xFC\ - sselte Datenablage und -versendung sowie ein geeignetes System zur Konten-\ - \ und Rechteverwaltung verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A13 - name: Verwendung von Viewer-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.1 - description: "Daten aus potenziell unsicheren Quellen SOLLTEN automatisch in\ - \ einem gesch\xFCtzten Modus ge\xF6ffnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.2 - description: Diese Funktion SOLLTE NICHT durch die Benutzenden deaktivierbar - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.3 - description: "Eine Liste vertrauensw\xFCrdiger Quellen SOLLTE definiert werden,\ - \ von denen Inhalte unmittelbar ge\xF6ffnet und bearbeitet werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.4 - description: "In dem gesch\xFCtzten Modus SOLLTEN Daten NICHT unmittelbar bearbeitet\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.5 - description: "Aktive Inhalte, wie Makros und Skripte, SOLLTEN im gesch\xFCtzten\ - \ Modus NICHT automatisch ausgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.6 - description: "Nur eine allgemeine Navigation SOLLTE erm\xF6glicht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 - ref_id: APP.1.1.A13.7 - description: "Wenn die Dokumente lediglich betrachtet werden sollen, SOLLTEN\ - \ entsprechende Viewer-Anwendungen verwendet werden, wenn diese verf\xFCgbar\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A14 - name: "Schutz gegen nachtr\xE4gliche Ver\xE4nderungen von Dokumenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14 - ref_id: APP.1.1.A14.1 - description: "Je nach geplantem Verwendungszweck von Dokumenten SOLLTEN Dokumente\ - \ geeignet gegen nachtr\xE4gliche Ver\xE4nderung gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A15 - name: "Einsatz von Verschl\xFCsselung und Digitalen Signaturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 - ref_id: APP.1.1.A15.1 - description: "Daten mit erh\xF6htem Schutzbedarf SOLLTEN nur verschl\xFCsselt\ - \ gespeichert bzw. \xFCbertragen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 - ref_id: APP.1.1.A15.2 - description: "Bevor ein in ein Office-Produkt integriertes Verschl\xFCsselungsverfahren\ - \ genutzt wird, SOLLTE gepr\xFCft werden, ob es einen ausreichenden Schutz\ - \ bietet." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 - ref_id: APP.1.1.A15.3 - description: "Zus\xE4tzlich SOLLTE ein Verfahren eingesetzt werden, mit dem\ - \ Makros und Dokumente digital signiert werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A16 - name: "Integrit\xE4tspr\xFCfung von Dokumenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 - ref_id: APP.1.1.A16.1 - description: "Wenn Daten mit erh\xF6htem Schutzbedarf gespeichert oder \xFC\ - bertragen werden, SOLLTEN geeignete Verfahren zur Integrit\xE4tspr\xFCfung\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 - ref_id: APP.1.1.A16.2 - description: "Falls Daten vor Manipulation gesch\xFCtzt werden sollen, SOLLTEN\ - \ dar\xFCber hinaus kryptografische Verfahren eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 - ref_id: APP.1.1.A17 - name: Sensibilisierung zu spezifischen Office-Eigenschaften - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - ref_id: APP.1.1.A17.1 - description: "Alle Benutzenden M\xDCSSEN geeignet bez\xFCglich der Gef\xE4hrdungen\ - \ durch Aktive Inhalte in Office-Dateien sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - ref_id: APP.1.1.A17.2 - description: "Die Benutzenden M\xDCSSEN zum Umgang mit Dokumenten aus externen\ - \ Quellen geeignet sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - ref_id: APP.1.1.A17.3 - description: "Die Benutzenden SOLLTEN \xFCber die M\xF6glichkeiten und Grenzen\ - \ von Sicherheitsfunktionen der eingesetzten Software und der genutzten Speicherformate\ - \ informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - ref_id: APP.1.1.A17.4 - description: "Den Benutzenden SOLLTE vermittelt werden, mit welchen Funktionen\ - \ sie Dokumente vor nachtr\xE4glicher Ver\xE4nderung und Bearbeitung sch\xFC\ - tzen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 - ref_id: APP.1.1.A17.5 - description: "Benutzende SOLLTEN im Umgang mit den Verschl\xFCsselungsfunktionen\ - \ in Office-Produkten sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.1.2 - name: Webbrowser - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A1 - name: Verwendung von grundlegenden Sicherheitsmechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.1 - description: Der eingesetzte Webbrowser MUSS sicherstellen, dass jede Instanz - und jeder Verarbeitungsprozess nur auf die eigenen Ressourcen zugreifen kann - (Sandboxing). - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.2 - description: "Webseiten M\xDCSSEN als eigenst\xE4ndige Prozesse oder mindestens\ - \ als eigene Threads voneinander isoliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.3 - description: "Plug-ins und Erweiterungen M\xDCSSEN ebenfalls in isolierten Bereichen\ - \ ausgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.4 - description: Der verwendete Webbrowser MUSS die Content Security Policy (CSP) - umsetzen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.5 - description: "Der aktuell h\xF6chste Level der CSP SOLLTE erf\xFCllt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 - ref_id: APP.1.2.A1.6 - description: "Der Browser MUSS Ma\xDFnahmen zur Same-Origin-Policy und Subresource\ - \ Integrity unterst\xFCtzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A2 - name: "Unterst\xFCtzung sicherer Verschl\xFCsselung der Kommunikation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 - ref_id: APP.1.2.A2.1 - description: "Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren\ - \ Version unterst\xFCtzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 - ref_id: APP.1.2.A2.2 - description: "Verbindungen zu Webservern M\xDCSSEN mit TLS verschl\xFCsselt\ - \ werden, falls dies vom Webserver unterst\xFCtzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 - ref_id: APP.1.2.A2.3 - description: Unsichere Versionen von TLS SOLLTEN deaktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 - ref_id: APP.1.2.A2.4 - description: "Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Transport\ - \ Security (HSTS) gem\xE4\xDF RFC 6797 unterst\xFCtzen und einsetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A3 - name: "Verwendung von vertrauensw\xFCrdigen Zertifikaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.1 - description: "Falls der Webbrowser eine eigene Liste von vertrauensw\xFCrdigen\ - \ Wurzelzertifikaten bereitstellt, MUSS sichergestellt werden, dass nur der\ - \ IT-Betrieb diese \xE4ndern kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.2 - description: "Falls dies nicht durch technische Ma\xDFnahmen m\xF6glich ist,\ - \ MUSS den Benutzenden verboten werden, diese Liste zu \xE4ndern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.3 - description: "Au\xDFerdem MUSS sichergestellt werden, dass der Webbrowser Zertifikate\ - \ lokal widerrufen kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.4 - description: "Der Webbrowser MUSS die G\xFCltigkeit der Server-Zertifikate mithilfe\ - \ des \xF6ffentlichen Schl\xFCssels und unter Ber\xFCcksichtigung des G\xFC\ - ltigkeitszeitraums vollst\xE4ndig pr\xFCfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.5 - description: "Auch der Sperrstatus der Server-Zertifikate MUSS vom Webbrowser\ - \ gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.6 - description: "Die Zertifikatskette einschlie\xDFlich des Wurzelzertifikats MUSS\ - \ verifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.7 - description: "Der Webbrowser MUSS den Benutzenden eindeutig und gut sichtbar\ - \ darstellen, ob die Kommunikation im Klartext oder verschl\xFCsselt erfolgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.8 - description: "Der Webbrowser SOLLTE den Benutzenden auf Anforderung das verwendete\ - \ Serverzertifikat anzeigen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.9 - description: "Der Webbrowser MUSS den Benutzenden signalisieren, wenn Zertifikate\ - \ fehlen, ung\xFCltig sind oder widerrufen wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 - ref_id: APP.1.2.A3.10 - description: "Der Webbrowser MUSS in diesem Fall die Verbindung abbrechen, bis\ - \ die Benutzenden diese ausdr\xFCcklich best\xE4tigt haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A6 - name: Kennwortmanagement im Webbrowser - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - ref_id: APP.1.2.A6.1 - description: "Wird ein Kennwortmanager im Webbrowser verwendet, MUSS er eine\ - \ direkte und eindeutige Beziehung zwischen Webseite und hierf\xFCr gespeichertem\ - \ Kennwort herstellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - ref_id: APP.1.2.A6.2 - description: "Der Kennwortspeicher MUSS die Passw\xF6rter verschl\xFCsselt speichern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - ref_id: APP.1.2.A6.3 - description: "Es MUSS sichergestellt werden, dass auf die im Kennwortmanager\ - \ gespeicherten Passw\xF6rter nur nach Eingabe eines Master-Kennworts zugegriffen\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - ref_id: APP.1.2.A6.4 - description: "Au\xDFerdem MUSS sichergestellt sein, dass die Authentisierung\ - \ f\xFCr den kennwortgesch\xFCtzten Zugriff nur f\xFCr die aktuelle Sitzung\ - \ g\xFCltig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 - ref_id: APP.1.2.A6.5 - description: "Der IT-Betrieb MUSS sicherstellen, dass der verwendete Browser\ - \ den Benutzenden die M\xF6glichkeit bietet, gespeicherte Passw\xF6rter zu\ - \ l\xF6schen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A7 - name: Datensparsamkeit in Webbrowsern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.1 - description: Cookies von fremden Institutionen SOLLTEN im Webbrowser abgelehnt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.2 - description: "Gespeicherte Cookies SOLLTEN durch die Benutzenden gel\xF6scht\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.3 - description: "Die Funktion zur Autovervollst\xE4ndigung von Daten SOLLTE deaktiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.4 - description: "Wird die Funktion dennoch genutzt, SOLLTEN die Benutzenden diese\ - \ Daten l\xF6schen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.5 - description: "Die Benutzenden SOLLTE au\xDFerdem die Historiendaten des Webbrowsers\ - \ l\xF6schen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.6 - description: Sofern vorhanden, SOLLTE eine Synchronisation des Webbrowsers mit - Cloud-Diensten deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.7 - description: "Telemetriefunktionen sowie das automatische Senden von Absturzberichten,\ - \ URL-Eingaben und Sucheingaben aus der Institution heraus oder an Externe\ - \ SOLLTEN soweit wie m\xF6glich deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.8 - description: "Peripherieger\xE4te wie Mikrofon oder Webcam sowie Standortfreigaben\ - \ SOLLTEN nur f\xFCr Webseiten aktiviert werden, bei denen sie unbedingt ben\xF6\ - tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 - ref_id: APP.1.2.A7.9 - description: "Der Browser SOLLTE eine M\xF6glichkeit bieten, WebRTC, HSTS und\ - \ JavaScript zu konfigurieren bzw. abzuschalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A9 - name: Einsatz einer isolierten Webbrowser-Umgebung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9 - ref_id: APP.1.2.A9.1 - description: Die Institution SOLLTE speziell abgesicherte, isolierte Browserumgebungen - einsetzen, wie z. B. ReCoBS oder virtualisierte Instanzen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A10 - name: Verwendung des privaten Modus - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 - ref_id: APP.1.2.A10.1 - description: "Der Webbrowser SOLLTE bei erh\xF6hten Anforderungen bez\xFCglich\ - \ der Vertraulichkeit im sogenannten privaten Modus ausgef\xFChrt werden,\ - \ sodass keine Informationen oder Inhalte dauerhaft auf dem IT-System der\ - \ Benutzenden gespeichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 - ref_id: APP.1.2.A10.2 - description: "Der Browser SOLLTE so konfiguriert werden, dass lokale Inhalte\ - \ beim Beenden gel\xF6scht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A11 - name: "\xDCberpr\xFCfung auf sch\xE4dliche Inhalte" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 - ref_id: APP.1.2.A11.1 - description: "Aufgerufene Internetadressen SOLLTEN durch den Webbrowser auf\ - \ potenziell sch\xE4dliche Inhalte gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 - ref_id: APP.1.2.A11.2 - description: "Der Webbrowser SOLLTE die Benutzenden warnen, wenn Informationen\ - \ \xFCber sch\xE4dliche Inhalte vorliegen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 - ref_id: APP.1.2.A11.3 - description: "Eine als sch\xE4dlich klassifizierte Verbindung SOLLTE NICHT aufgerufen\ - \ werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 - ref_id: APP.1.2.A11.4 - description: "Das verwendete Verfahren zur \xDCberpr\xFCfung DARF NICHT gegen\ - \ Datenschutz- oder Geheimschutz-Vorgaben versto\xDFen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A12 - name: Zwei-Browser-Strategie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12 - ref_id: APP.1.2.A12.1 - description: "F\xFCr den Fall von ungel\xF6sten Sicherheitsproblemen mit dem\ - \ verwendeten Webbrowser SOLLTE ein alternativer Browser mit einer anderen\ - \ Plattform installiert sein, der den Benutzenden als Ausweichm\xF6glichkeit\ - \ dient." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 - ref_id: APP.1.2.A13 - name: Nutzung von DNS-over-HTTPS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 - ref_id: APP.1.2.A13.1 - description: Die Institution MUSS entscheiden, ob die verwendeten Browser DNS-over-HTTPS - (DoH) verwenden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 - ref_id: APP.1.2.A13.2 - description: "Die Browser M\xDCSSEN entsprechend dieser Entscheidung konfiguriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 - ref_id: APP.1.2.A13.3 - description: Falls ein interner DNS-Resolver verwendet wird, MUSS dieser auch - vom Browser verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.1.4 - name: Mobile Anwendungen (Apps) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A1 - name: "Anforderungsanalyse f\xFCr die Nutzung von Apps" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 - ref_id: APP.1.4.A1.1 - description: "In der Anforderungsanalyse M\xDCSSEN insbesondere Risiken betrachtet\ - \ werden, die sich aus der mobilen Nutzung ergeben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 - ref_id: APP.1.4.A1.2 - description: "Die Institution MUSS pr\xFCfen, ob ihre Kontroll- und Einflussm\xF6\ - glichkeiten auf die Betriebssystemumgebung mobiler Endger\xE4te ausreichend\ - \ sind, um sie sicher nutzen zu k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A3 - name: "Verteilung schutzbed\xFCrftiger Apps" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3 - ref_id: APP.1.4.A3.1 - description: "Interne Apps der Institution und Apps, die schutzbed\xFCrftige\ - \ Informationen verarbeiten, SOLLTEN \xFCber einen institutionseigenen App\ - \ Store oder via MDM verteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A5 - name: Minimierung und Kontrolle von App-Berechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 - ref_id: APP.1.4.A5.1 - description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so fixiert\ - \ werden, dass sie nicht durch Personen oder Apps ge\xE4ndert werden k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 - ref_id: APP.1.4.A5.2 - description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ - \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 - ref_id: APP.1.4.A5.3 - description: "Bevor eine App in einer Institution eingef\xFChrt wird, MUSS sichergestellt\ - \ werden, dass sie nur die minimal ben\xF6tigten App-Berechtigungen f\xFC\ - r ihre Funktion erh\xE4lt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 - ref_id: APP.1.4.A5.4 - description: "Nicht unbedingt notwendige Berechtigungen M\xDCSSEN hinterfragt\ - \ und gegebenenfalls unterbunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A7 - name: Sichere Speicherung lokaler App-Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 - ref_id: APP.1.4.A7.1 - description: "Wenn Apps auf interne Dokumente der Institution zugreifen k\xF6\ - nnen, MUSS sichergestellt sein, dass die lokale Datenhaltung der App angemessen\ - \ abgesichert ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 - ref_id: APP.1.4.A7.2 - description: "Insbesondere M\xDCSSEN Zugriffsschl\xFCssel verschl\xFCsselt abgelegt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 - ref_id: APP.1.4.A7.3 - description: "Au\xDFerdem D\xDCRFEN vertrauliche Daten NICHT vom Betriebssystem\ - \ an anderen Ablageorten zwischengespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A8 - name: Verhinderung von Datenabfluss - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 - ref_id: APP.1.4.A8.1 - description: "Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden\ - \ oder aus den gesendeten Daten Profile \xFCber die Benutzenden erstellt werden,\ - \ MUSS die App-Kommunikation geeignet eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 - ref_id: APP.1.4.A8.2 - description: Dazu SOLLTE die Kommunikation im Rahmen des Test- und Freigabeverfahrens - analysiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 - ref_id: APP.1.4.A8.3 - description: "Weiterhin SOLLTE \xFCberpr\xFCft werden, ob eine App ungewollte\ - \ Protokollierungs- oder Hilfsdateien schreibt, die m\xF6glicherweise vertrauliche\ - \ Informationen enthalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A12 - name: Sichere Deinstallation von Apps - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12 - ref_id: APP.1.4.A12.1 - description: "Werden Apps deinstalliert, SOLLTEN auch Daten gel\xF6scht werden,\ - \ die auf externen Systemen, beispielsweise bei den App-Anbietenden, gespeichert\ - \ wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A14 - name: "Unterst\xFCtzung zus\xE4tzlicher Authentisierungsmerkmale bei Apps" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 - ref_id: APP.1.4.A14.1 - description: "Falls m\xF6glich, SOLLTE f\xFCr die Authentisierung in Apps ein\ - \ zweiter Faktor benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 - ref_id: APP.1.4.A14.2 - description: "Hierbei SOLLTE darauf geachtet werden, dass eventuell ben\xF6\ - tigte Sensoren oder Schnittstellen in allen verwendeten Ger\xE4ten vorhanden\ - \ sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 - ref_id: APP.1.4.A14.3 - description: "Zus\xE4tzlich SOLLTE bei biometrischen Verfahren ber\xFCcksichtigt\ - \ werden, wie resistent die Authentisierung gegen m\xF6gliche F\xE4lschungsversuche\ - \ ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A15 - name: "Durchf\xFChrung von Penetrationstests f\xFCr Apps" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 - ref_id: APP.1.4.A15.1 - description: "Bevor eine App f\xFCr den Einsatz freigegeben wird, SOLLTE ein\ - \ Penetrationstest durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 - ref_id: APP.1.4.A15.2 - description: "Dabei SOLLTEN alle Kommunikationsschnittstellen zu Backend-Systemen\ - \ sowie die lokale Speicherung von Daten auf m\xF6gliche Sicherheitsl\xFC\ - cken untersucht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 - ref_id: APP.1.4.A15.3 - description: "Die Penetrationstests SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ - \ bei gr\xF6\xDFeren \xC4nderungen an der App wiederholt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 - ref_id: APP.1.4.A16 - name: Mobile Application Management - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16 - ref_id: APP.1.4.A16.1 - description: "Falls m\xF6glich, SOLLTE f\xFCr das zentrale Konfigurieren von\ - \ dienstlichen Apps ein Mobile Application Management verwendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.2.1 - name: Allgemeiner Verzeichnisdienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A1 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Verzeichnisdienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 - ref_id: APP.2.1.A1.1 - description: "Es MUSS eine Sicherheitsrichtlinie f\xFCr den Verzeichnisdienst\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 - ref_id: APP.2.1.A1.2 - description: "Diese SOLLTE mit dem \xFCbergreifenden Sicherheitskonzept der\ - \ gesamten Institution abgestimmt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A2 - name: Planung des Einsatzes von Verzeichnisdiensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.1 - description: "Der Einsatz von Verzeichnisdiensten MUSS sorgf\xE4ltig geplant\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.2 - description: Die konkrete Nutzung des Verzeichnisdienstes MUSS festgelegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.3 - description: Es MUSS sichergestellt sein, dass der Verzeichnisdienst und alle - ihn verwendenden Anwendungen kompatibel sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.4 - description: "Zudem MUSS ein Konzept f\xFCr eine Struktur aus Objektklassen\ - \ und Attributtypen entwickelt werden, dass den Anspr\xFCchen der vorgesehenen\ - \ Nutzungsarten gen\xFCgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.5 - description: "Bei der Planung eines Verzeichnisdienstes, der personenbezogene\ - \ Daten beinhaltet, M\xDCSSEN Personalvertretung und Datenschutzbeauftragte\ - \ beteiligt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.6 - description: Es MUSS ein bedarfsgerechtes Berechtigungskonzept zum Verzeichnisdienst - entworfen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.7 - description: "Generell SOLLTE die geplante Verzeichnisdienststruktur vollst\xE4\ - ndig dokumentiert und die Dokumentation bei \xC4nderungen fortgeschrieben\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 - ref_id: APP.2.1.A2.8 - description: "Ma\xDFnahmen SOLLTEN geplant und umgesetzt werden, die es unterbinden,\ - \ aus dem Verzeichnisdienst unbefugt Daten sammeln zu k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A3 - name: Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 - ref_id: APP.2.1.A3.1 - description: "Die Administration des Verzeichnisdienstes selbst und die eigentliche\ - \ Verwaltung der Daten M\xDCSSEN getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 - ref_id: APP.2.1.A3.2 - description: Alle administrativen Aufgabenbereiche und Berechtigungen SOLLTEN - ausreichend dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 - ref_id: APP.2.1.A3.3 - description: "Bei einer eventuellen Zusammenf\xFChrung mehrerer Verzeichnisdienstb\xE4\ - ume M\xDCSSEN die daraus resultierenden effektiven Rechte kontrolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A5 - name: "Sichere Konfiguration und Konfigurations\xE4nderungen von Verzeichnisdiensten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 - ref_id: APP.2.1.A5.1 - description: Der Verzeichnisdienst MUSS sicher konfiguriert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 - ref_id: APP.2.1.A5.2 - description: "F\xFCr die sichere Konfiguration einer Verzeichnisdienste-Infrastruktur\ - \ M\xDCSSEN neben dem Server auch die Clients (IT-Systeme und Anwendungen)\ - \ einbezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 - ref_id: APP.2.1.A5.3 - description: "Wird die Konfiguration des Verzeichnisdienstes oder der mit ihm\ - \ vernetzten IT-Systeme ge\xE4ndert, SOLLTEN die Benutzenden rechtzeitig \xFC\ - ber Wartungsarbeiten informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A6 - name: Sicherer Betrieb von Verzeichnisdiensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 - ref_id: APP.2.1.A6.1 - description: Die Sicherheit des Verzeichnisdienstes MUSS im Betrieb permanent - aufrechterhalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 - ref_id: APP.2.1.A6.2 - description: Alle den Betrieb eines Verzeichnisdienst-Systems betreffenden Richtlinien, - Regelungen und Prozesse SOLLTEN nachvollziehbar dokumentiert und aktuell gehalten - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 - ref_id: APP.2.1.A6.3 - description: "Sofern der Verzeichnisdienst zur Verwaltung von Anmeldedaten verwendet\ - \ wird, M\xDCSSEN dedizierte Clients bei der Fernwartung eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 - ref_id: APP.2.1.A6.4 - description: "Der Zugriff auf alle Administrationswerkzeuge MUSS f\xFCr normale\ - \ Benutzende unterbunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A8 - name: Planung einer Partitionierung im Verzeichnisdienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 - ref_id: APP.2.1.A8.1 - description: "Sofern eine Partitionierung geplant ist, SOLLTE sich diese an\ - \ den Schutzzielen des Verzeichnisdienstes orientieren und diese geeignet\ - \ unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 - ref_id: APP.2.1.A8.2 - description: "Eine Partitionierung SOLLTE so geplant werden, dass sie die Schadensauswirkungen\ - \ bei Sicherheitsvorf\xE4llen begrenzt, die unabh\xE4ngige Administration\ - \ verschiedener Partitionen erm\xF6glicht und organisatorischen bzw. Sicherheitsgrenzen\ - \ folgt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A9 - name: "Geeignete Auswahl von Komponenten f\xFCr Verzeichnisdienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 - ref_id: APP.2.1.A9.1 - description: "F\xFCr den Einsatz eines Verzeichnisdienstes SOLLTEN geeignete\ - \ Komponenten identifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 - ref_id: APP.2.1.A9.2 - description: "Es SOLLTE unter Ber\xFCcksichtigung von APP.6 Allgemeine Software\ - \ ein Anforderungskatalog erstellt werden, nach dem die Komponenten f\xFC\ - r den Verzeichnisdienst ausgew\xE4hlt und beschafft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 - ref_id: APP.2.1.A9.3 - description: Im Rahmen der Planung und Konzeption des Verzeichnisdienstes SOLLTEN - passend zum Einsatzzweck Anforderungen an dessen Sicherheit formuliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 - ref_id: APP.2.1.A9.4 - description: "Insbesondere SOLLTE bereits bei der Produktauswahl ber\xFCcksichtigt\ - \ werden, wie weitere Sicherheitsanforderungen unter Einsatz der jeweiligen\ - \ Komponente umgesetzt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A11 - name: Einrichtung des Zugriffs auf Verzeichnisdienste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 - ref_id: APP.2.1.A11.1 - description: Der Zugriff auf den Verzeichnisdienst SOLLTE entsprechend der Sicherheitsrichtlinie - konfiguriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 - ref_id: APP.2.1.A11.2 - description: "Wird der Verzeichnisdienst als Server im Internet eingesetzt,\ - \ SOLLTE er entsprechend durch ein Sicherheitsgateway gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A12 - name: "\xDCberwachung von Verzeichnisdiensten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 - ref_id: APP.2.1.A12.1 - description: Verzeichnisdienste SOLLTEN gemeinsam mit dem Server beobachtet - und protokolliert werden, auf dem sie betrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 - ref_id: APP.2.1.A12.2 - description: "Insbesondere \xC4nderungen innerhalb des Verzeichnisdienstes sowie\ - \ Konfigurations\xE4nderungen des Verzeichnisdienstes SOLLTEN vorrangig protokolliert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A13 - name: Absicherung der Kommunikation mit Verzeichnisdiensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 - ref_id: APP.2.1.A13.1 - description: "Werden vertrauliche Informationen \xFCbertragen, SOLLTE die gesamte\ - \ Kommunikation mit dem Verzeichnisdienst \xFCber ein sicheres Protokoll entsprechend\ - \ der Technischen Richtlinie TR-02102 des BSI (z. B. TLS) verschl\xFCsselt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 - ref_id: APP.2.1.A13.2 - description: Der Datenaustausch zwischen Client und Verzeichnisdienst-Server - SOLLTE abgesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 - ref_id: APP.2.1.A13.3 - description: Es SOLLTE definiert werden, auf welche Daten zugegriffen werden - darf. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A14 - name: "Geregelte Au\xDFerbetriebnahme eines Verzeichnisdienstes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 - ref_id: APP.2.1.A14.1 - description: "Bei einer Au\xDFerbetriebnahme des Verzeichnisdienstes SOLLTE\ - \ sichergestellt sein, dass weiterhin ben\xF6tigte Rechte bzw. Informationen\ - \ in ausreichendem Umfang zur Verf\xFCgung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 - ref_id: APP.2.1.A14.2 - description: "Alle anderen Rechte und Informationen SOLLTEN gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 - ref_id: APP.2.1.A14.3 - description: "Zudem SOLLTEN die Benutzenden dar\xFCber informiert werden, wenn\ - \ ein Verzeichnisdienst au\xDFer Betrieb genommen wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 - ref_id: APP.2.1.A14.4 - description: "Bei der Au\xDFerbetriebnahme einzelner Partitionen eines Verzeichnisdienstes\ - \ SOLLTE darauf geachtet werden, dass dadurch andere Partitionen nicht beeintr\xE4\ - chtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A15 - name: Migration von Verzeichnisdiensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - ref_id: APP.2.1.A15.1 - description: Bei einer geplanten Migration von Verzeichnisdiensten SOLLTE vorab - ein Migrationskonzept erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - ref_id: APP.2.1.A15.2 - description: "In dem Migrationskonzept SOLLTE ber\xFCcksichtigt werden, ob das\ - \ Berechtigungsmanagement von altem und neuem Verzeichnisdienst analog funktioniert\ - \ oder ob neue Berechtigungsstrukturen erforderlich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - ref_id: APP.2.1.A15.3 - description: "Die Schema-\xC4nderungen, die am Verzeichnisdienst vorgenommen\ - \ wurden, SOLLTEN vor der Migration analysiert und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - ref_id: APP.2.1.A15.4 - description: "Weitreichende Berechtigungen, die dazu verwendet wurden, die Migration\ - \ des Verzeichnisdienstes durchzuf\xFChren, SOLLTEN wieder zur\xFCckgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 - ref_id: APP.2.1.A15.5 - description: "Bei der Migration SOLLTE ber\xFCcksichtigt werden, dass IT-Systeme,\ - \ die auf den Verzeichnisdienst zugreifen, gegebenenfalls lokale Caches vorhalten\ - \ oder aus anderen Gr\xFCnden dort eine Aktualisierung der migrierten Verzeichnisdienstinhalte\ - \ initiiert werden muss." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A16 - name: "Erstellung eines Notfallplans f\xFCr den Ausfall eines Verzeichnisdienstes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 - ref_id: APP.2.1.A16.1 - description: "Im Rahmen der Notfallvorsorge SOLLTE es eine bedarfsgerechte Notfallplanung\ - \ f\xFCr Verzeichnisdienste geben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 - ref_id: APP.2.1.A16.2 - description: "F\xFCr den Ausfall wichtiger Verzeichnisdienst-Systeme SOLLTEN\ - \ Notfallpl\xE4ne vorliegen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 - ref_id: APP.2.1.A16.3 - description: "Alle Notfall-Prozeduren f\xFCr die gesamte Systemkonfiguration\ - \ der Verzeichnisdienst-Komponenten SOLLTEN dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A17 - name: "Absicherung von schutzbed\xFCrftigen Anmeldeinformationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17 - ref_id: APP.2.1.A17.1 - description: "F\xFCr Attribute, die schutzbed\xFCrftige Anmeldeinformationen\ - \ wie beispielsweise Passw\xF6rter enthalten, MUSS der Zugriff stark eingeschr\xE4\ - nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A18 - name: Planung einer Replikation im Verzeichnisdienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 - ref_id: APP.2.1.A18.1 - description: Bei jeder Replikation MUSS festgelegt werden, welches Ziel diese - Replikation verfolgt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 - ref_id: APP.2.1.A18.2 - description: "Daf\xFCr SOLLTEN eine Replikationstopologie und -strategie gew\xE4\ - hlt werden, die zum Ziel bzw. Einsatzszenario passen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 - ref_id: APP.2.1.A18.3 - description: "Bei Replikationen, die nicht der Hochverf\xFCgbarkeit des Dienstes\ - \ dienen, MUSS der replizierte Inhalt des Verzeichnisdienstes auf die erforderlichen\ - \ Objekte beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 - ref_id: APP.2.1.A18.4 - description: "Um die Replikationen zeitgerecht ausf\xFChren zu k\xF6nnen, SOLLTE\ - \ eine ausreichende Bandbreite sichergestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A19 - name: Umgang mit anonymen Zugriffen auf Verzeichnisdienste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - ref_id: APP.2.1.A19.1 - description: "Sollen anonymen Benutzenden auf einzelne Teilbereiche des Verzeichnisbaums\ - \ Zugriffe einger\xE4umt werden, so SOLLTE hierf\xFCr ein Proxy-Dienst vorgelagert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - ref_id: APP.2.1.A19.2 - description: "Dieser Proxy-Dienst SOLLTE \xFCber ein gesondertes Konto, einen\ - \ sogenannten Proxy-User, auf den eigentlichen Verzeichnisdienst zugreifen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - ref_id: APP.2.1.A19.3 - description: "Die Zugriffsrechte f\xFCr diesen Proxy-User SOLLTEN hinreichend\ - \ restriktiv vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - ref_id: APP.2.1.A19.4 - description: Sie SOLLTEN zudem wieder komplett entzogen werden, wenn der Account - nicht mehr gebraucht wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 - ref_id: APP.2.1.A19.5 - description: "Damit nicht versehentlich schutzbed\xFCrftige Informationen herausgegeben\ - \ werden, SOLLTE die Suchfunktion des Verzeichnisdienstes dem Einsatzzweck\ - \ angemessen eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A20 - name: Absicherung der Replikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 - ref_id: APP.2.1.A20.1 - description: "Replikationen von vertraulichen Inhalten SOLLTEN zus\xE4tzlich\ - \ zu einer Verschl\xFCsselung auf Applikations- oder Transportebene durch\ - \ z. B. IPsec gesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 - ref_id: APP.2.1.A20.2 - description: "F\xFCr die Authentisierung im Rahmen der Replikation SOLLTEN m\xF6\ - glichst starke Authentisierungsverfahren verwendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 - ref_id: APP.2.1.A21 - name: "Hochverf\xFCgbarkeit des Verzeichnisdienstes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 - ref_id: APP.2.1.A21.1 - description: "Es SOLLTE eine geeignete Strategie zur Hochverf\xFCgbarkeit gew\xE4\ - hlt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 - ref_id: APP.2.1.A21.2 - description: "Hierbei SOLLTE entschieden werden, ob eine Master-Master-Replikation\ - \ oder Master-Replica-Replikation (fr\xFCher als Master-Slave-Replikation\ - \ bezeichnet) geeigneter ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 - ref_id: APP.2.1.A21.3 - description: "Es SOLLTEN auch Randbedingungen wie verteilte Standorte oder Verhalten\ - \ bei Inkonsistenzen ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.2.2 - name: 'Active Directory Domain Services ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A1 - name: Planung von Active Directory Domain Services - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - ref_id: APP.2.2.A1.1 - description: "Es MUSS eine Funktionsebene f\xFCr die Dom\xE4ne(n) und die Gesamtstruktur\ - \ von mindestens Windows Server 2016 gew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - ref_id: APP.2.2.A1.2 - description: "Ein bedarfsgerechtes Berechtigungskonzept f\xFCr die Dom\xE4ne(n)\ - \ und die Gesamtstruktur MUSS entworfen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - ref_id: APP.2.2.A1.3 - description: "Dabei MUSS ber\xFCcksichtigt werden, dass zwischen den einzelnen\ - \ Dom\xE4nen einer Gesamtstruktur produktbedingt keine Sicherheitsgrenzen\ - \ bestehen und daher keine sichere Begrenzung der administrativen Bereiche\ - \ innerhalb einer Gesamtstruktur m\xF6glich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - ref_id: APP.2.2.A1.4 - description: "Administrative Delegationen M\xDCSSEN mit restriktiven und bedarfsgerechten\ - \ Berechtigungen ausgestattet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 - ref_id: APP.2.2.A1.5 - description: "Die geplante Struktur einschlie\xDFlich etwaiger Schema-\xC4nderungen\ - \ MUSS nachvollziehbar dokumentiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A3 - name: Planung der Gruppenrichtlinien unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - ref_id: APP.2.2.A3.1 - description: Es MUSS ein Konzept zur Einrichtung von Gruppenrichtlinien vorliegen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - ref_id: APP.2.2.A3.2 - description: "Mehrfach\xFCberdeckungen M\xDCSSEN beim Gruppenrichtlinienkonzept\ - \ m\xF6glichst vermieden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - ref_id: APP.2.2.A3.3 - description: "In der Dokumentation des Gruppenrichtlinienkonzepts M\xDCSSEN\ - \ Ausnahmeregelungen erkannt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - ref_id: APP.2.2.A3.4 - description: "Alle Gruppenrichtlinienobjekte M\xDCSSEN durch restriktive Zugriffsrechte\ - \ gesch\xFCtzt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 - ref_id: APP.2.2.A3.5 - description: "F\xFCr die Parameter in allen Gruppenrichtlinienobjekten M\xDC\ - SSEN sichere Vorgaben festgelegt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A5 - name: "Absicherung des Dom\xE4nencontrollers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 - ref_id: APP.2.2.A5.1 - description: "Aufgrund der zentralen Rolle und der Schadensauswirkung bei Kompromittierung\ - \ des AD DS f\xFCr die Infrastruktur SOLLTE eine Risikobetrachtung durchgef\xFC\ - hrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 - ref_id: APP.2.2.A5.2 - description: "Der Notfallzugriff auf den Dom\xE4nencontroller mit dem lokalen\ - \ Restore-Konto DSRM (Directory Services Restore Mode) MUSS im Rahmen des\ - \ Notfallmanagements geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 - ref_id: APP.2.2.A5.3 - description: "Auf dem Dom\xE4nencontroller MUSS eine ausreichende Gr\xF6\xDF\ - e f\xFCr das Sicherheitsprotokoll auf Grundlage des in DER.1 Detektion von\ - \ sicherheitsrelevanten Ereignissen festgelegten Zeitraums eingestellt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 - ref_id: APP.2.2.A5.4 - description: "Aufgrund der zentralen Bedeutung des Dom\xE4nencontrollers SOLLTEN\ - \ auf diesem Server keine weiteren Dienste betrieben werden, sofern diese\ - \ nicht zwingend auf dem gleichen Server zum Betrieb des AD DS erforderlich\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A6 - name: Sichere Konfiguration von Vertrauensbeziehungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.1 - description: "Alle Vertrauensbeziehungen zwischen Dom\xE4nen und zwischen Gesamtstrukturen\ - \ M\xDCSSEN regelm\xE4\xDFig auf ihre Notwendigkeit und Absicherungsma\xDF\ - nahmen evaluiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.2 - description: "Dabei MUSS gepr\xFCft werden, ob eine bidirektionale Vertrauensbeziehung\ - \ notwendig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.3 - description: "Wenn eine Dom\xE4ne keine bidirektionale Vertrauensbeziehung zu\ - \ anderen Dom\xE4nen in der Gesamtstruktur ben\xF6tigt, SOLLTE diese Dom\xE4\ - ne in eine eigene Gesamtstruktur ausgelagert werden, da innerhalb einer Gesamtstruktur\ - \ produktbedingt keine Anpassung der Vertrauensbeziehungen m\xF6glich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.4 - description: Die SID-(Security Identifier)-Filterung bei Vertrauensstellungen - zwischen Gesamtstrukturen DARF NICHT deaktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.5 - description: "Die voreingestellten SIDs D\xDCRFEN NICHT entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 - ref_id: APP.2.2.A6.6 - description: "Hat der in der Gesamtstruktur abgebildete Informationsverbund,\ - \ dem vertraut wird, kein ausreichendes Sicherheitsniveau, MUSS f\xFCr die\ - \ Vertrauensbeziehung zu dieser Gesamtstruktur \u201ESelective Authentication\u201C\ - \ verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A7 - name: "Umsetzung sicherer Verwaltungsmethoden f\xFCr Active Directory" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 - ref_id: APP.2.2.A7.1 - description: "Es MUSS sichergestellt sein, dass die Konten von Dienste-Administrierenden\ - \ ausschlie\xDFlich von Mitgliedern der Gruppe der Dienste-Administrierenden\ - \ verwaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 - ref_id: APP.2.2.A7.2 - description: "Bevor Konten vordefinierten AD-DS-Gruppen hinzugef\xFCgt werden,\ - \ SOLLTE gepr\xFCft werden, ob alle der Gruppe zugeh\xF6rigen Rechte f\xFC\ - r die mit den Konten verbundenen T\xE4tigkeiten erforderlich sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 - ref_id: APP.2.2.A7.3 - description: "Den Gruppen \u201ESchema-Admins\u201C / \u201ESchema-Administratoren\u201C\ - \ sowie der Gruppe \u201EEnterprise Admins\u201C / \u201EOrganisations-Administratoren\u201C\ - \ und \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C SOLLTEN\ - \ neben dem AD-DS-Built-In-Konto f\xFCr Administrierende weitere administrative\ - \ Konten nur tempor\xE4r f\xFCr den Zeitraum zugewiesen werden, in dem sie\ - \ diese Berechtigungen ben\xF6tigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A8 - name: "Absicherung des \u201ESicheren Kanals\u201C" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8 - ref_id: APP.2.2.A8.1 - description: "Der \u201ESichere Kanal\u201C SOLLTE so konfiguriert sein, dass\ - \ alle \xFCbertragenen Daten immer verschl\xFCsselt und signiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A9 - name: Schutz der Authentisierung beim Einsatz von AD DS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.1 - description: In der Gesamtstruktur SOLLTE konsequent das Authentisierungsprotokoll - Kerberos eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.2 - description: "Dabei SOLLTE f\xFCr die Absicherung AES128_HMAC_SHA1 oder AES256_HMAC_SHA1\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.3 - description: "Wenn aus Kompatibilit\xE4tsgr\xFCnden \xFCbergangsweise NTLMv2\ - \ eingesetzt wird, SOLLTE die Migration auf Kerberos geplant und terminiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.4 - description: "Die LM-Authentisierung und NTLMv1 M\xDCSSEN deaktiviert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.5 - description: Der SMB-Datenverkehr MUSS signiert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.6 - description: SMBv1 MUSS deaktiviert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.7 - description: "Anonyme Zugriffe auf Dom\xE4nencontroller SOLLTEN unterbunden\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 - ref_id: APP.2.2.A9.8 - description: LDAP-Sitzungen SOLLTEN nur signiert und mit konfiguriertem Channel - Binding Token (CBT) erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A12 - name: "Datensicherung f\xFCr Dom\xE4nencontroller" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12 - ref_id: APP.2.2.A12.1 - description: "Aufgrund der besonderen Gef\xE4hrdung der unsicher gespeicherten\ - \ Passw\xF6rter SOLLTE der Zugriff auf die Backups des Dom\xE4nencontrollers\ - \ vergleichbar dem Zugriff auf den Dom\xE4nencontroller selbst abgesichert\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A15 - name: Auslagerung der Administration in eine eigene Gesamtstruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 - ref_id: APP.2.2.A15.1 - description: "Besonders kritische IT-Systeme und Konten zur Administration der\ - \ Dom\xE4nen oder der Gesamtstruktur SOLLTEN in eine eigene Gesamtstruktur\ - \ (h\xE4ufig als \u201ERed Forest\u201C bezeichnet) ausgegliedert werden,\ - \ zu der von der zu verwaltenden Gesamtstruktur eine einseitige Vertrauensstellung\ - \ besteht." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 - ref_id: APP.2.2.A15.2 - description: "Dies SOLLTE im Rahmen des Notfallmanagements bei der Erstellung\ - \ des Notfallhandbuchs besonders ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A16 - name: "H\xE4rtung der AD-DS-Konten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.1 - description: "Built-in-AD-DS-Konten M\xDCSSEN mit komplexen Passw\xF6rtern versehen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.2 - description: "Sie D\xDCRFEN NUR als Notfallkonten dienen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.3 - description: "Das Built-in \u201EGuest\u201C- / \u201EGast\u201C-Konto MUSS\ - \ deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.4 - description: "Die Berechtigungen f\xFCr die Gruppe \u201EEveryone\u201C / \u201E\ - Jeder\u201C MUSS beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.5 - description: "Privilegierte Konten M\xDCSSEN Mitglied der Gruppe \u201EProtected\ - \ Users\u201C / \u201EGesch\xFCtze Benutzer\u201C sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.6 - description: "F\xFCr Dienstkonten M\xDCSSEN (Group) Managed Service Accounts\ - \ verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.7 - description: "Vor dem L\xF6schen nicht mehr verwendeter Konten MUSS gepr\xFC\ - ft werden, nach welcher Aufbewahrungsfrist diese gel\xF6scht werden k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.8 - description: "Dabei M\xDCSSEN die Auswirkungen auf die Detektion und gesetzliche\ - \ Aufbewahrungs- und L\xF6schfristen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 - ref_id: APP.2.2.A16.9 - description: "Der Zugriff auf das AdminSDHolder-Objekt SOLLTE zum Schutz der\ - \ Berechtigungen besonders gesch\xFCtzt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A17 - name: "Anmelderestriktionen f\xFCr hochprivilegierte Konten der Gesamtstruktur\ - \ auf Clients und Servern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 - ref_id: APP.2.2.A17.1 - description: "Die Anmeldung von hochpriviligierten Dom\xE4nen- und Gesamtstruktur-Konten\ - \ und Gruppen MUSS technisch auf die minimal notwendigen IT-Systeme einschr\xE4\ - nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 - ref_id: APP.2.2.A17.2 - description: "Insbesondere die Anmeldung von Mitgliedern der Gruppen \u201E\ - Schema Admins\u201C / \u201ESchema-Administratoren\u201C, \u201EEnterprise\ - \ Admins\u201C / \u201EEnterprise-Administratoren\u201C und \u201EDomain Admins\u201C\ - \ / \u201EDom\xE4nen-Administratoren\u201C SOLLTE technisch auf den Dom\xE4\ - nencontroller beschr\xE4nkt werden, eine Anmeldung an anderen IT-Systemen\ - \ ist f\xFCr diese Gruppen also zu unterbinden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A18 - name: "Einschr\xE4nken des Hinzuf\xFCgens neuer Computer-Objekte zur Dom\xE4\ - ne" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18 - ref_id: APP.2.2.A18.1 - description: "Die Berechtigung, in der Dom\xE4ne neue Computer-Objekte hinzuzuf\xFC\ - gen, MUSS auf die notwendigen administrativen Konten beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A19 - name: "Betrieb von virtualisierten Dom\xE4nencontrollern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 - ref_id: APP.2.2.A19.1 - description: "Virtualisierte Dom\xE4nencontroller SOLLTEN nicht gemeinsam mit\ - \ weiteren virtuell betriebenen IT-Systemen auf dem gleichen physischen Host\ - \ betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 - ref_id: APP.2.2.A19.2 - description: "Bei der Absicherung der administrativen Konten f\xFCr den Zugriff\ - \ \xFCber die Virtualisierungsschicht SOLLTE ber\xFCcksichtigt werden, dass\ - \ diese Vollzugriffe auf den Dom\xE4nencontroller haben und dieser dann vergleichbar\ - \ mit dem der Gruppe \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C\ - \ ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 - ref_id: APP.2.2.A19.3 - description: "Der Virtualisierungshost, die IT-Systeme, die am Virtualisierungsmanagement\ - \ beteiligt sind sowie die Administrationskonten f\xFCr die Virtualisierungsschicht\ - \ SOLLTEN NICHT zur Gesamtstruktur geh\xF6ren, zu der der virtualisierte Dom\xE4\ - nencontroller geh\xF6rt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A20 - name: Trennung von Organisationseinheiten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20 - ref_id: APP.2.2.A20.1 - description: "Organisationseinheiten, die aus IT-Sicherheitsgr\xFCnden oder\ - \ sonstigen Gr\xFCnden Unabh\xE4ngigkeit voneinander gew\xE4hrleisten m\xFC\ - ssen, SOLLTEN sich nicht in der gleichen Gesamtstruktur befinden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A21 - name: Konfiguration eines Schichtenmodells - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 - ref_id: APP.2.2.A21.1 - description: Die Berechtigungsstruktur innerhalb der Gesamtstruktur SOLLTE in - Schichten, die sich am Schutzbedarf der Konten, IT-Systeme und Anwendungen - orientieren, entworfen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 - ref_id: APP.2.2.A21.2 - description: "Bei dieser Strukturierung SOLLTEN alle Konten, IT-Systeme und\ - \ Anwendungen innerhalb einer Gesamtstruktur eindeutig einer Schicht zugeordnet\ - \ werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 - ref_id: APP.2.2.A21.3 - description: "Konten einer h\xF6heren Schicht SOLLTEN sich nicht auf Ressourcen\ - \ einer niedrigeren Schicht anmelden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 - ref_id: APP.2.2.A21.4 - description: "Konten einer niedrigeren Schicht SOLLTEN keine Kontrollm\xF6glichkeit\ - \ \xFCber Konten und Ressourcen h\xF6herer Schichten besitzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A22 - name: "Zeitlich befristete Berechtigungen f\xFCr die Administration" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22 - ref_id: APP.2.2.A22.1 - description: "Konten, die f\xFCr die Administration verwendet werden, SOLLTEN\ - \ nur bei Bedarf auf das ben\xF6tigte Zeitfenster befristetet die f\xFCr die\ - \ administrative Aufgabe notwendigen Berechtigungen zugewiesen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 - ref_id: APP.2.2.A23 - name: "Regelm\xE4\xDFige Analyse von Berechtigungen und resultierenden Angriffspfaden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - ref_id: APP.2.2.A23.1 - description: "Aufgrund der Komplexit\xE4t von Berechtigungen, die nicht immer\ - \ unmittelbar ersichtlich sind, SOLLTE eine regelm\xE4\xDFige Analyse der\ - \ Berechtigungsstrukturen im AD DS vorgenommen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - ref_id: APP.2.2.A23.2 - description: "Insbesondere Berechtigungen, die durch die Integration von Anwendungen\ - \ in AD DS entstehen (beispielsweise Microsoft Exchange) SOLLTEN kritisch\ - \ auf ihre Notwendigkeit hin gepr\xFCft und auf die minimal notwendigen Berechtigungen\ - \ reduziert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - ref_id: APP.2.2.A23.3 - description: "Aktualisierungen k\xF6nnen ebenfalls auch Berechtigungsstrukturen\ - \ im AD DS \xE4ndern, daher SOLLTE die Analyse auch nach entsprechenden Aktualisierungen\ - \ durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - ref_id: APP.2.2.A23.4 - description: "M\xF6gliche Angriffspfade \xFCber die Berechtigungen der AD-DS-Konten,\ - \ die beispielsweise bei Kompromittierung von Konten zur Kompromittierung\ - \ der Dom\xE4ne bzw. der vollst\xE4ndigen Gesamtstruktur f\xFChren, SOLLTEN\ - \ m\xF6glichst gering sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 - ref_id: APP.2.2.A23.5 - description: "Die Aktivit\xE4ten der verbleibenden, als kritisch identifizierten\ - \ Konten SOLLTEN besonders \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.2.3 - name: OpenLDAP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A1 - name: "Planung und Auswahl von Backends und Overlays f\xFCr OpenLDAP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.1 - description: "Der Einsatz von OpenLDAP in einer Institution MUSS sorgf\xE4ltig\ - \ geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.2 - description: "Soll OpenLDAP gemeinsam mit anderen Anwendungen verwendet werden,\ - \ so M\xDCSSEN die Planung, Konfiguration und Installation der Anwendungen\ - \ mit OpenLDAP aufeinander abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.3 - description: "F\xFCr die zur Datenhaltung verwendete Datenbank MUSS sichergestellt\ - \ werden, dass die verwendete Version kompatibel ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.4 - description: "Backends und Overlays f\xFCr OpenLDAP M\xDCSSEN restriktiv selektiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.5 - description: Dazu MUSS sichergestellt werden, dass die OpenLDAP-Overlays in - der korrekten Reihenfolge eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 - ref_id: APP.2.3.A1.6 - description: "Bei der Planung von OpenLDAP M\xDCSSEN die auszuw\xE4hlenden und\ - \ unterst\xFCtzten Client-Anwendungen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A3 - name: Sichere Konfiguration von OpenLDAP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.1 - description: "F\xFCr die sichere Konfiguration von OpenLDAP MUSS der slapd-Server\ - \ korrekt konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.2 - description: "Es M\xDCSSEN auch die verwendeten Client-Anwendungen sicher konfiguriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.3 - description: Bei der Konfiguration von OpenLDAP MUSS darauf geachtet werden, - dass im Betriebssystem die Berechtigungen korrekt gesetzt sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.4 - description: "Die Vorgabewerte aller relevanten Konfigurationsdirektiven von\ - \ OpenLDAP M\xDCSSEN gepr\xFCft und gegebenenfalls angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.5 - description: "Die Backends und Overlays von OpenLDAP M\xDCSSEN in die Konfiguration\ - \ einbezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.6 - description: "F\xFCr die Suche innerhalb von OpenLDAP M\xDCSSEN angemessene\ - \ Zeit- und Gr\xF6\xDFenbeschr\xE4nkungen festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 - ref_id: APP.2.3.A3.7 - description: "Die Konfiguration am slapd-Server MUSS nach jeder \xC4nderung\ - \ gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A4 - name: Konfiguration der durch OpenLDAP verwendeten Datenbank - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 - ref_id: APP.2.3.A4.1 - description: "Die Zugriffsrechte f\xFCr neu angelegte Datenbankdateien M\xDC\ - SSEN auf die Kennung beschr\xE4nkt werden, in deren Kontext der slapd-Server\ - \ betrieben wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 - ref_id: APP.2.3.A4.2 - description: "Die Standard-Einstellungen der von OpenLDAP genutzten Datenbank\ - \ M\xDCSSEN angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A5 - name: Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 - ref_id: APP.2.3.A5.1 - description: "Die in OpenLDAP gef\xFChrten globalen und datenbankspezifischen\ - \ Zugriffskontrolllisten (Access Control Lists) M\xDCSSEN beim Einsatz von\ - \ OpenLDAP korrekt ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 - ref_id: APP.2.3.A5.2 - description: "Datenbank-Direktiven M\xDCSSEN Vorrang vor globalen Direktiven\ - \ haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A6 - name: "Sichere Authentisierung gegen\xFCber OpenLDAP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 - ref_id: APP.2.3.A6.1 - description: "Wenn der Verzeichnisdienst zwischen verschiedenen Benutzenden\ - \ unterscheiden soll, M\xDCSSEN sich diese geeignet authentisieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 - ref_id: APP.2.3.A6.2 - description: "Die Authentisierung zwischen dem slapd-Server und den Kommunikationsbeteiligten\ - \ MUSS verschl\xFCsselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 - ref_id: APP.2.3.A6.3 - description: "Es SOLLTEN NUR die Hashwerte von Passw\xF6rtern auf den Clients\ - \ und Servern abgespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 - ref_id: APP.2.3.A6.4 - description: Es MUSS ein geeigneter Hashing-Algorithmus verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A8 - name: "Einschr\xE4nkungen von Attributen bei OpenLDAP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 - ref_id: APP.2.3.A8.1 - description: "Anhand von Overlays SOLLTEN die Attribute in OpenLDAP eingeschr\xE4\ - nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 - ref_id: APP.2.3.A8.2 - description: "OpenLDAP SOLLTE so angepasst werden, dass Werte im Verzeichnisdienst\ - \ nur einem bestimmten regul\xE4ren Ausdruck entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 - ref_id: APP.2.3.A8.3 - description: Zudem SOLLTE mit Hilfe von Overlays sichergestellt werden, das - ausgesuchte Werte nur einmal im Verzeichnisbaum vorhanden sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 - ref_id: APP.2.3.A8.4 - description: "Solche Restriktionen SOLLTEN ausschlie\xDFlich auf Daten von Nutzenden\ - \ angewendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A9 - name: Partitionierung und Replikation bei OpenLDAP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 - ref_id: APP.2.3.A9.1 - description: "Bei einer Partitionierung oder Replikation von OpenLDAP SOLLTE\ - \ die Aufteilung geeignet f\xFCr die Sicherheitsziele ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 - ref_id: APP.2.3.A9.2 - description: "Dabei SOLLTEN Ver\xE4nderungen an den Daten durch Replikation\ - \ zwischen den Servern ausgetauscht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 - ref_id: APP.2.3.A9.3 - description: "Ein Replikationsmodus SOLLTE in Abh\xE4ngigkeit von Netzverbindungen\ - \ und Verf\xFCgbarkeitsanforderungen gew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A10 - name: Sichere Aktualisierung von OpenLDAP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - ref_id: APP.2.3.A10.1 - description: "Bei Updates SOLLTE darauf geachtet werden, ob die \xC4nderungen\ - \ eingesetzte Backends oder Overlays sowie Softwareabh\xE4ngigkeiten betreffen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - ref_id: APP.2.3.A10.2 - description: "Beim Update auf neue Releases SOLLTE gepr\xFCft werden, ob die\ - \ verwendeten Overlays und Backends in der neuen Version weiterhin zur Verf\xFC\ - gung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - ref_id: APP.2.3.A10.3 - description: "Ist dies nicht der Fall, SOLLTEN geeignete Migrationspfade ausgew\xE4\ - hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - ref_id: APP.2.3.A10.4 - description: "Setzen Administrierende eigene Skripte ein, SOLLTEN sie daraufhin\ - \ \xFCberpr\xFCft werden, ob sie mit der aktualisierten Version von OpenLDAP\ - \ problemlos zusammenarbeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 - ref_id: APP.2.3.A10.5 - description: "Die Konfiguration und die Zugriffsrechte SOLLTEN nach einer Aktualisierung\ - \ sorgf\xE4ltig gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 - ref_id: APP.2.3.A11 - name: "Einschr\xE4nkung der OpenLDAP-Laufzeitumgebung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 - ref_id: APP.2.3.A11.1 - description: "Die Laufzeitumgebung des slapd-Servers SOLLTE, m\xF6glichst mit\ - \ Mitteln des Betriebssystems, auf die minimal ben\xF6tigten Dateien, Verzeichnisse\ - \ und vom Betriebssystem bereitgestellten Funktionen eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 - ref_id: APP.2.3.A11.2 - description: "Werden hierf\xFCr Containerisierungstechniken eingesetzt, SOLLTEN\ - \ diese unter Ber\xFCcksichtigung von SYS.1.6 Containerisierung genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 - ref_id: APP.2.3.A11.3 - description: "Wird der slapd-Server als exklusiver Dienst auf einem dedizierten\ - \ Server betrieben, SOLLTE dieser ausreichend geh\xE4rtet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.3.1 - name: Webanwendungen und Webservices - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A1 - name: Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 - ref_id: APP.3.1.A1.1 - description: "Der IT-Betrieb MUSS Webanwendungen und Webservices so konfigurieren,\ - \ dass sich Clients gegen\xFCber der Webanwendung oder dem Webservice authentisieren\ - \ m\xFCssen, wenn diese auf gesch\xFCtzte Ressourcen zugreifen wollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 - ref_id: APP.3.1.A1.2 - description: "Daf\xFCr MUSS eine angemessene Authentisierungsmethode ausgew\xE4\ - hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 - ref_id: APP.3.1.A1.3 - description: Der Auswahlprozess SOLLTE dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 - ref_id: APP.3.1.A1.4 - description: "Der IT-Betrieb MUSS geeignete Grenzwerte f\xFCr fehlgeschlagene\ - \ Anmeldeversuche festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A4 - name: Kontrolliertes Einbinden von Dateien und Inhalten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - ref_id: APP.3.1.A4.1 - description: "Falls eine Webanwendung oder ein Webservice eine Upload-Funktion\ - \ f\xFCr Dateien anbietet, MUSS diese Funktion durch den IT-Betrieb so weit\ - \ wie m\xF6glich eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - ref_id: APP.3.1.A4.2 - description: "Insbesondere M\xDCSSEN die erlaubte Dateigr\xF6\xDFe, erlaubte\ - \ Dateitypen und erlaubte Speicherorte festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - ref_id: APP.3.1.A4.3 - description: "Es MUSS festgelegt werden, welche Clients die Funktion verwenden\ - \ d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - ref_id: APP.3.1.A4.4 - description: "Auch M\xDCSSEN Zugriffs- und Ausf\xFChrungsrechte restriktiv gesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 - ref_id: APP.3.1.A4.5 - description: "Zudem MUSS sichergestellt werden, dass Clients Dateien nur im\ - \ vorgegebenen erlaubten Speicherort speichern k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A7 - name: Schutz vor unerlaubter automatisierter Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 - ref_id: APP.3.1.A7.1 - description: "Der IT-Betrieb MUSS sicherstellen, dass Webanwendungen und Webservices\ - \ vor unberechtigter automatisierter Nutzung gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 - ref_id: APP.3.1.A7.2 - description: "Dabei MUSS jedoch ber\xFCcksichtigt werden, wie sich die Schutzmechanismen\ - \ auf die Nutzungsm\xF6glichkeiten berechtigter Clients auswirken." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 - ref_id: APP.3.1.A7.3 - description: "Wenn die Webanwendung RSS-Feeds oder andere Funktionen enth\xE4\ - lt, die explizit f\xFCr die automatisierte Nutzung vorgesehen sind, MUSS dies\ - \ ebenfalls bei der Konfiguration der Schutzmechanismen ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A8 - name: Systemarchitektur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 - ref_id: APP.3.1.A8.1 - description: "Sicherheitsaspekte SOLLTEN bereits w\xE4hrend der Planung von\ - \ Webanwendungen und Webservices betrachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 - ref_id: APP.3.1.A8.2 - description: "Auch SOLLTE darauf geachtet werden, dass die Architektur der Webanwendung\ - \ oder des Webservice die Gesch\xE4ftslogik der Institution exakt erfasst\ - \ und korrekt umsetzt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A9 - name: Beschaffung von Webanwendungen und Webservices - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.1 - description: "Zus\xE4tzlich zu den allgemeinen Aspekten der Beschaffung von\ - \ Software SOLLTE die Institution mindestens folgendes bei der Beschaffung\ - \ von Webanwendungen und Webservices ber\xFCcksichtigen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.2 - description: "\u2022 sichere Eingabevalidierung und Ausgabekodierung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.3 - description: "\u2022 sicheres Session-Management," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.4 - description: "\u2022 sichere kryptografische Verfahren," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.5 - description: "\u2022 sichere Authentisierungsverfahren," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.6 - description: "\u2022 sichere Verfahren zum serverseitigen Speichern von Zugangsdaten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.7 - description: "\u2022 geeignetes Berechtigungsmanagement," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.8 - description: "\u2022 ausreichende Protokollierungsm\xF6glichkeiten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.9 - description: "\u2022 regelm\xE4\xDFige Sicherheitsupdates durch den Entwickelnden\ - \ der Software," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.10 - description: "\u2022 Schutzmechanismen vor verbreiteten Angriffen auf Webanwendungen\ - \ und Webservices sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 - ref_id: APP.3.1.A9.11 - description: "\u2022 Zugriff auf den Quelltext der Webanwendung oder des Webservices." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A11 - name: Sichere Anbindung von Hintergrundsystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 - ref_id: APP.3.1.A11.1 - description: "Der Zugriff auf Hintergrundsysteme, auf denen Funktionen und Daten\ - \ ausgelagert werden, SOLLTE ausschlie\xDFlich \xFCber definierte Schnittstellen\ - \ und von definierten IT-Systemen aus m\xF6glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 - ref_id: APP.3.1.A11.2 - description: "Bei der Kommunikation \xFCber Netz- und Standortgrenzen hinweg\ - \ SOLLTE der Datenverkehr authentisiert und verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A12 - name: Sichere Konfiguration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.1 - description: "Webanwendungen und Webservices SOLLTEN so konfiguriert sein, dass\ - \ auf ihre Ressourcen und Funktionen ausschlie\xDFlich \xFCber die vorgesehenen,\ - \ abgesicherten Kommunikationspfade zugegriffen werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.2 - description: "Der Zugriff auf nicht ben\xF6tigte Ressourcen und Funktionen SOLLTE\ - \ deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.3 - description: "Falls dies nicht m\xF6glich ist, SOLLTE der Zugriff soweit wie\ - \ m\xF6glich eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.4 - description: 'Folgendes SOLLTE bei der Konfiguration von Webanwendungen und - Webservices umgesetzt werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.5 - description: "\u2022 Deaktivieren nicht ben\xF6tigter HTTP-Methoden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.6 - description: "\u2022 Konfigurieren der Zeichenkodierung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.7 - description: "\u2022 Vermeiden von sicherheitsrelevanten Informationen in Fehlermeldungen\ - \ und Antworten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.8 - description: "\u2022 Speichern von Konfigurationsdateien au\xDFerhalb des Web-Root-Verzeichnisses\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 - ref_id: APP.3.1.A12.9 - description: "\u2022 Festlegen von Grenzwerten f\xFCr Zugriffsversuche." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A14 - name: Schutz vertraulicher Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 - ref_id: APP.3.1.A14.1 - description: "Der IT-Betrieb MUSS sicherstellen, dass Zugangsdaten zur Webanwendung\ - \ oder zum Webservice serverseitig mithilfe von sicheren kryptografischen\ - \ Algorithmen vor unbefugtem Zugriff gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 - ref_id: APP.3.1.A14.2 - description: "Dazu M\xDCSSEN Salted Hash-Verfahren verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 - ref_id: APP.3.1.A14.3 - description: "Die Dateien mit den Quelltexten der Webanwendung oder des Webservices\ - \ M\xDCSSEN vor unerlaubten Abrufen gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A20 - name: Einsatz von Web Application Firewalls - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 - ref_id: APP.3.1.A20.1 - description: Institutionen SOLLTEN Web Application Firewalls (WAF) einsetzen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 - ref_id: APP.3.1.A20.2 - description: "Die Konfiguration der eingesetzten WAF SOLLTE auf die zu sch\xFC\ - tzende Webanwendung oder den Webservice angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 - ref_id: APP.3.1.A20.3 - description: "Nach jedem Update der Webanwendung oder des Webservices SOLLTE\ - \ die Konfiguration der WAF gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A21 - name: Sichere HTTP-Konfiguration bei Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.1 - description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen - SOLLTE der IT-Betrieb geeignete HTTP-Response-Header setzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.2 - description: 'Dazu SOLLTEN mindestens die folgenden HTTP-Header verwendet werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.3 - description: "\u2022 Content-Security-Policy," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.4 - description: "\u2022 Strict-Transport-Security," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.5 - description: "\u2022 Content-Type," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.6 - description: "\u2022 X-Content-Type-Options sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.7 - description: "\u2022 Cache-Control." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.8 - description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 - ref_id: APP.3.1.A21.9 - description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ - \ und httponly gesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 - ref_id: APP.3.1.A22 - name: Penetrationstest und Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - ref_id: APP.3.1.A22.1 - description: "Webanwendungen und Webservices SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme\ - \ hin \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - ref_id: APP.3.1.A22.2 - description: "Insbesondere SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - ref_id: APP.3.1.A22.3 - description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ - \ gesch\xFCtzt und vertraulich behandelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - ref_id: APP.3.1.A22.4 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 - ref_id: APP.3.1.A22.5 - description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.3.2 - name: Webserver - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A1 - name: Sichere Konfiguration eines Webservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.1 - description: Nachdem der IT-Betrieb einen Webserver installiert hat, MUSS er - eine sichere Grundkonfiguration vornehmen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.2 - description: Dazu MUSS er insbesondere den Webserver-Prozess einem Konto mit - minimalen Rechten zuweisen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.3 - description: "Der Webserver MUSS in einer gekapselten Umgebung ausgef\xFChrt\ - \ werden, sofern dies vom Betriebssystem unterst\xFCtzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.4 - description: "Ist dies nicht m\xF6glich, SOLLTE jeder Webserver auf einem eigenen\ - \ physischen oder virtuellen Server ausgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.5 - description: "Dem Webserver-Dienst M\xDCSSEN alle nicht notwendige Schreibberechtigungen\ - \ entzogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 - ref_id: APP.3.2.A1.6 - description: "Nicht ben\xF6tigte Module und Funktionen des Webservers M\xDC\ - SSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A2 - name: Schutz der Webserver-Dateien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.1 - description: "Der IT-Betrieb MUSS alle Dateien auf dem Webserver, insbesondere\ - \ Skripte und Konfigurationsdateien, so sch\xFCtzen, dass sie nicht unbefugt\ - \ gelesen und ge\xE4ndert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.2 - description: "Es MUSS sichergestellt werden, dass Webanwendungen nur auf einen\ - \ definierten Verzeichnisbaum zugreifen k\xF6nnen (WWW-Wurzelverzeichnis)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.3 - description: Der Webserver MUSS so konfiguriert sein, dass er nur Dateien ausliefert, - die sich innerhalb des WWW-Wurzelverzeichnisses befinden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.4 - description: "Der IT-Betrieb MUSS alle nicht ben\xF6tigten Funktionen, die Verzeichnisse\ - \ auflisten, deaktivieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.5 - description: "Vertrauliche Daten M\xDCSSEN vor unberechtigtem Zugriff gesch\xFC\ - tzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.6 - description: "Insbesondere MUSS der IT-Betrieb sicherstellen, dass vertrauliche\ - \ Dateien nicht in \xF6ffentlichen Verzeichnissen des Webservers liegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 - ref_id: APP.3.2.A2.7 - description: "Der IT-Betrieb MUSS regelm\xE4\xDFig \xFCberpr\xFCfen, ob vertrauliche\ - \ Dateien in \xF6ffentlichen Verzeichnissen gespeichert wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A3 - name: Absicherung von Datei-Uploads und -Downloads - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 - ref_id: APP.3.2.A3.1 - description: "Alle mithilfe des Webservers ver\xF6ffentlichten Dateien M\xDC\ - SSEN vorher auf Schadprogramme gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 - ref_id: APP.3.2.A3.2 - description: "Es MUSS eine Maximalgr\xF6\xDFe f\xFCr Datei-Uploads spezifiziert\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 - ref_id: APP.3.2.A3.3 - description: "F\xFCr Uploads MUSS gen\xFCgend Speicherplatz reserviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A4 - name: Protokollierung von Ereignissen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - ref_id: APP.3.2.A4.1 - description: 'Der Webserver MUSS mindestens folgende Ereignisse protokollieren:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - ref_id: APP.3.2.A4.2 - description: "\u2022 erfolgreiche Zugriffe auf Ressourcen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - ref_id: APP.3.2.A4.3 - description: "\u2022 fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder\ - \ Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - ref_id: APP.3.2.A4.4 - description: "\u2022 allgemeine Fehlermeldungen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 - ref_id: APP.3.2.A4.5 - description: "Die Protokollierungsdaten SOLLTEN regelm\xE4\xDFig ausgewertet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A5 - name: Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5 - ref_id: APP.3.2.A5.1 - description: "Wenn sich Clients mit Hilfe von Passw\xF6rtern am Webserver authentisieren,\ - \ M\xDCSSEN diese kryptografisch gesichert und vor unbefugtem Zugriff gesch\xFC\ - tzt gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A7 - name: "Rechtliche Rahmenbedingungen f\xFCr Webangebote" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 - ref_id: APP.3.2.A7.1 - description: "Werden \xFCber den Webserver Inhalte f\xFCr Dritte publiziert\ - \ oder Dienste angeboten, M\xDCSSEN dabei die relevanten rechtlichen Rahmenbedingungen\ - \ beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 - ref_id: APP.3.2.A7.2 - description: Die Institution MUSS die jeweiligen Telemedien- und Datenschutzgesetze - sowie das Urheberrecht einhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A8 - name: Planung des Einsatzes eines Webservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 - ref_id: APP.3.2.A8.1 - description: "Es SOLLTE geplant und dokumentiert werden, f\xFCr welchen Zweck\ - \ der Webserver eingesetzt und welche Inhalte er bereitstellen soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 - ref_id: APP.3.2.A8.2 - description: In der Dokumentation SOLLTEN auch die Informationen oder Dienstleistungen - des Webangebots und die jeweiligen Zielgruppen beschrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 - ref_id: APP.3.2.A8.3 - description: "F\xFCr den technischen Betrieb und die Webinhalte SOLLTEN geeignete\ - \ Zust\xE4ndige festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A9 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr den Webserver" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 - ref_id: APP.3.2.A9.1 - description: "Es SOLLTE eine Sicherheitsrichtlinie erstellt werden, in der die\ - \ erforderlichen Ma\xDFnahmen und Zust\xE4ndigkeiten benannt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 - ref_id: APP.3.2.A9.2 - description: "Weiterhin SOLLTE geregelt werden, wie Informationen zu aktuellen\ - \ Sicherheitsl\xFCcken besorgt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 - ref_id: APP.3.2.A9.3 - description: "Auch SOLLTE geregelt werden, wie Sicherheitsma\xDFnahmen umgesetzt\ - \ werden und wie vorgegangen werden soll, wenn Sicherheitsvorf\xE4lle eintreten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A10 - name: Auswahl eines geeigneten Webhosters - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.1 - description: 'Betreibt die Institution den Webserver nicht selbst, sondern nutzt - Angebote externer Unternehmen im Rahmen von Webhosting, SOLLTE die Institution - bei der Auswahl eines geeigneten Webhosters auf folgende Punkte achten:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.2 - description: "\u2022 Es SOLLTE vertraglich geregelt werden, wie die Dienste\ - \ zu erbringen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.3 - description: Dabei SOLLTEN Sicherheitsaspekte innerhalb des Vertrags schriftlich - in einem Service Level Agreement (SLA) festgehalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.4 - description: "\u2022 Die eingesetzten IT-Systeme SOLLTEN vom Webhoster regelm\xE4\ - \xDFig kontrolliert und gewartet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.5 - description: Der Webhoster SOLLTE dazu verpflichtet werden, bei technischen - Problemen oder einer Kompromittierung von Kundschaftssystemen zeitnah zu reagieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 - ref_id: APP.3.2.A10.6 - description: "\u2022 Der Webhoster SOLLTE grundlegende technische und organisatorische\ - \ Ma\xDFnahmen umsetzen, um seinen Informationsverbund zu sch\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A11 - name: "Verschl\xFCsselung \xFCber TLS" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 - ref_id: APP.3.2.A11.1 - description: "Der Webserver MUSS f\xFCr alle Verbindungen durch nicht vertrauensw\xFC\ - rdige Netze eine sichere Verschl\xFCsselung \xFCber TLS anbieten (HTTPS)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 - ref_id: APP.3.2.A11.2 - description: "Falls es aus Kompatibilit\xE4tsgr\xFCnden erforderlich ist, veraltete\ - \ Verfahren zu verwenden, SOLLTEN diese auf so wenige F\xE4lle wie m\xF6glich\ - \ beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 - ref_id: APP.3.2.A11.3 - description: "Wenn eine HTTPS-Verbindung genutzt wird, M\xDCSSEN alle Inhalte\ - \ \xFCber HTTPS ausgeliefert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 - ref_id: APP.3.2.A11.4 - description: Sogenannter Mixed Content DARF NICHT verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A12 - name: Geeigneter Umgang mit Fehlern und Fehlermeldungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - ref_id: APP.3.2.A12.1 - description: Aus den HTTP-Informationen und den angezeigten Fehlermeldungen - SOLLTEN weder der Produktname noch die verwendete Version des Webservers ersichtlich - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - ref_id: APP.3.2.A12.2 - description: Fehlermeldungen SOLLTEN keine Details zu Systeminformationen oder - Konfigurationen ausgeben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - ref_id: APP.3.2.A12.3 - description: "Der IT-Betrieb SOLLTE sicherstellen, dass der Webserver ausschlie\xDF\ - lich allgemeine Fehlermeldungen ausgibt, die Clients darauf hinweisen, dass\ - \ ein Fehler aufgetreten ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - ref_id: APP.3.2.A12.4 - description: "Die Fehlermeldung SOLLTE ein eindeutiges Merkmal enthalten, das\ - \ es dem IT-Betrieb erm\xF6glicht, den Fehler nachzuvollziehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 - ref_id: APP.3.2.A12.5 - description: "Bei unerwarteten Fehlern SOLLTE sichergestellt sein, dass der\ - \ Webserver nicht in einem Zustand verbleibt, in dem er anf\xE4llig f\xFC\ - r Angriffe ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A13 - name: "Zugriffskontrolle f\xFCr Webcrawler" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 - ref_id: APP.3.2.A13.1 - description: Der Zugriff von Webcrawlern SOLLTE nach dem Robots-Exclusion-Standard - geregelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 - ref_id: APP.3.2.A13.2 - description: "Inhalte SOLLTEN mit einem Zugriffsschutz versehen werden, um sie\ - \ vor Webcrawlern zu sch\xFCtzen, die sich nicht an diesen Standard halten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A14 - name: "Integrit\xE4tspr\xFCfungen und Schutz vor Schadsoftware" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 - ref_id: APP.3.2.A14.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig pr\xFCfen, ob die Konfigurationen\ - \ des Webservers und die von ihm bereitgestellten Dateien noch integer sind\ - \ und nicht durch Angriffe ver\xE4ndert wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 - ref_id: APP.3.2.A14.2 - description: "Die zur Ver\xF6ffentlichung vorgesehenen Dateien SOLLTEN regelm\xE4\ - \xDFig auf Schadsoftware gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A15 - name: Redundanz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 - ref_id: APP.3.2.A15.1 - description: Webserver SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 - ref_id: APP.3.2.A15.2 - description: Auch die Internetanbindung des Webservers und weiterer IT-Systeme, - wie etwa der Webanwendungsserver, SOLLTEN redundant ausgelegt sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A16 - name: Penetrationstest und Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - ref_id: APP.3.2.A16.1 - description: "Webserver SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme hin\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - ref_id: APP.3.2.A16.2 - description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - ref_id: APP.3.2.A16.3 - description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ - \ gesch\xFCtzt und vertraulich behandelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - ref_id: APP.3.2.A16.4 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 - ref_id: APP.3.2.A16.5 - description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A18 - name: Schutz vor Denial-of-Service-Angriffen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 - ref_id: APP.3.2.A18.1 - description: "Der Webserver SOLLTE st\xE4ndig \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 - ref_id: APP.3.2.A18.2 - description: "Des Weiteren SOLLTEN Ma\xDFnahmen definiert und umgesetzt werden,\ - \ die DDoS-Angriffe verhindern oder zumindest abschw\xE4chen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 - ref_id: APP.3.2.A20 - name: Benennung von Anzusprechenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 - ref_id: APP.3.2.A20.1 - description: "Bei umfangreichen Webangeboten SOLLTE die Institution zentrale\ - \ Anzusprechende f\xFCr die Webangebote bestimmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 - ref_id: APP.3.2.A20.2 - description: "Es SOLLTEN Prozesse, Vorgehensweisen und Zust\xE4ndige f\xFCr\ - \ Probleme oder Sicherheitsvorf\xE4lle benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 - ref_id: APP.3.2.A20.3 - description: "Die Institution SOLLTE eine Kontaktm\xF6glichkeit auf ihrer Webseite\ - \ ver\xF6ffentlichen, \xFCber die Sicherheitsprobleme an die Institution gemeldet\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 - ref_id: APP.3.2.A20.4 - description: "F\xFCr die Behandlung von externen Sicherheitsmeldungen SOLLTE\ - \ die Institution Prozesse definieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.3.3 - name: Fileserver - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A2 - name: Einsatz von RAID-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.1 - description: Der IT-Betrieb MUSS festlegen, ob im Fileserver ein RAID-System - eingesetzt werden soll. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.2 - description: Eine Entscheidung gegen ein solches System MUSS nachvollziehbar - dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.3 - description: 'Falls ein RAID-System eingesetzt werden soll, MUSS der IT-Betrieb - entscheiden:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.4 - description: "\u2022 welches RAID-Level benutzt werden soll," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.5 - description: "\u2022 wie lang die Zeitspanne f\xFCr einen RAID-Rebuild-Prozess\ - \ sein darf und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.6 - description: "\u2022 ob ein Software- oder ein Hardware-RAID eingesetzt werden\ - \ soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 - ref_id: APP.3.3.A2.7 - description: In einem RAID SOLLTEN Hotspare-Festplatten vorgehalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A3 - name: Einsatz von Viren-Schutzprogrammen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3 - ref_id: APP.3.3.A3.1 - description: "Alle Daten M\xDCSSEN durch ein Viren-Schutzprogramm auf Schadsoftware\ - \ untersucht werden, bevor sie auf dem Fileserver abgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A6 - name: Beschaffung eines Fileservers und Auswahl eines Dienstes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 - ref_id: APP.3.3.A6.1 - description: "Die Fileserver-Software SOLLTE geeignet ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 - ref_id: APP.3.3.A6.2 - description: "Der Fileserver-Dienst SOLLTE den Einsatzzweck des Fileservers\ - \ unterst\xFCtzen, z. B. Einbindung von Netzlaufwerken in den Clients, Streaming\ - \ von Multimedia-Inhalten, \xDCbertragung von Boot-Images von festplattenlosen\ - \ IT-Systemen oder ausschlie\xDFliche Datei\xFCbertragung \xFCber FTP." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 - ref_id: APP.3.3.A6.3 - description: "Die Leistung, die Speicherkapazit\xE4t, die Bandbreite sowie die\ - \ Anzahl der Benutzenden, die den Fileserver nutzen, SOLLTEN bei der Beschaffung\ - \ des Fileservers ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A7 - name: Auswahl eines Dateisystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 - ref_id: APP.3.3.A7.1 - description: Der IT-Betrieb SOLLTE eine Anforderungsliste erstellen, nach der - die Dateisysteme des Fileservers bewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 - ref_id: APP.3.3.A7.2 - description: Das Dateisystem SOLLTE den Anforderungen der Institution entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 - ref_id: APP.3.3.A7.3 - description: Das Dateisystem SOLLTE eine Journaling-Funktion bieten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 - ref_id: APP.3.3.A7.4 - description: "Auch SOLLTE es \xFCber einen Schutzmechanismus verf\xFCgen, der\ - \ verhindert, dass mehrere Benutzende oder Anwendungen gleichzeitig schreibend\ - \ auf eine Datei zugreifen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A8 - name: Strukturierte Datenhaltung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.1 - description: Es SOLLTE eine Struktur festgelegt werden, nach der Daten abzulegen - sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.2 - description: "Die Benutzenden SOLLTEN regelm\xE4\xDFig \xFCber die geforderte\ - \ strukturierte Datenhaltung informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.3 - description: "Die Dateien SOLLTEN ausschlie\xDFlich strukturiert auf den Fileserver\ - \ abgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.4 - description: "Es SOLLTE schriftlich festgelegt werden, welche Daten lokal und\ - \ welche auf dem Fileserver gespeichert werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.5 - description: Programm- und Arbeitsdaten SOLLTEN in getrennten Verzeichnissen - gespeichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 - ref_id: APP.3.3.A8.6 - description: "Die Institution SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ - \ Vorgaben zur strukturierten Datenhaltung eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A9 - name: Sicheres Speichermanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - ref_id: APP.3.3.A9.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ - \ Massenspeicher des Fileservers noch wie vorgesehen funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - ref_id: APP.3.3.A9.2 - description: Es SOLLTEN geeignete Ersatzspeicher vorgehalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - ref_id: APP.3.3.A9.3 - description: "Wurde eine Speicherhierarchie (Prim\xE4r-, Sekund\xE4r- bzw. Terti\xE4\ - rspeicher) aufgebaut, SOLLTE ein (teil-)automatisiertes Speichermanagement\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - ref_id: APP.3.3.A9.4 - description: "Werden Daten automatisiert verteilt, SOLLTE regelm\xE4\xDFig manuell\ - \ \xFCberpr\xFCft werden, ob dies korrekt funktioniert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 - ref_id: APP.3.3.A9.5 - description: "Es SOLLTEN mindestens nicht-autorisierte Zugriffsversuche auf\ - \ Dateien und \xC4nderungen von Zugriffsrechten protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A11 - name: "Einsatz von Speicherbeschr\xE4nkungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 - ref_id: APP.3.3.A11.1 - description: "Der IT-Betrieb SOLLTE bei mehreren Benutzenden auf dem Fileserver\ - \ pr\xFCfen, Beschr\xE4nkungen des Speicherplatzes f\xFCr einzelne Benutzende\ - \ (Quotas) einzurichten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 - ref_id: APP.3.3.A11.2 - description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ - \ genutzt werden, um die Benutzenden bei einem bestimmten F\xFCllstand der\ - \ Festplatte zu warnen oder in diesem Fall nur noch dem IT-Betrieb Schreibrechte\ - \ einzur\xE4umen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A12 - name: "Verschl\xFCsselung des Datenbestandes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 - ref_id: APP.3.3.A12.1 - description: "Die Massenspeicher des Fileservers SOLLTEN auf Dateisystem- oder\ - \ Hardwareebene verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 - ref_id: APP.3.3.A12.2 - description: "Falls Hardwareverschl\xFCsselung eingesetzt wird, SOLLTEN Produkte\ - \ verwendet werden, deren Verschl\xFCsselungsfunktion zertifiziert wurde." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 - ref_id: APP.3.3.A12.3 - description: "Es SOLLTE sichergestellt werden, dass der Virenschutz die verschl\xFC\ - sselten Daten auf Schadsoftware pr\xFCfen kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A13 - name: Replikation zwischen Standorten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 - ref_id: APP.3.3.A13.1 - description: "F\xFCr hochverf\xFCgbare Fileserver SOLLTE eine angemessene Replikation\ - \ der Daten auf mehreren Massenspeichern stattfinden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 - ref_id: APP.3.3.A13.2 - description: "Daten SOLLTEN zudem zwischen unabh\xE4ngigen Fileservern repliziert\ - \ werden, die sich an unabh\xE4ngigen Standorten befinden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 - ref_id: APP.3.3.A13.3 - description: "Daf\xFCr SOLLTE vom IT-Betrieb ein geeigneter Replikationsmechanismus\ - \ ausgew\xE4hlt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 - ref_id: APP.3.3.A13.4 - description: Damit die Replikation wie vorgesehen funktionieren kann, SOLLTEN - hinreichend genaue Zeitdienste genutzt und betrieben werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A14 - name: Einsatz von Error-Correction-Codes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 - ref_id: APP.3.3.A14.1 - description: Der IT-Betrieb SOLLTE ein fehlererkennendes bzw. fehlerkorrigierendes - Dateisystem einsetzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 - ref_id: APP.3.3.A14.2 - description: "Hierf\xFCr SOLLTE gen\xFCgend Speicherplatz vorgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 - ref_id: APP.3.3.A14.3 - description: "Der IT-Betrieb SOLLTE beachten, dass, je nach eingesetztem Verfahren,\ - \ Fehler nur mit einer gewissen Wahrscheinlichkeit erkannt und auch nur in\ - \ begrenzter Gr\xF6\xDFenordnung behoben werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 - ref_id: APP.3.3.A15 - name: Planung von Fileservern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.1 - description: "Bevor eine Institution einen oder mehrere Fileserver einf\xFC\ - hrt, SOLLTE sie entscheiden, wof\xFCr die Fileserver genutzt und welche Informationen\ - \ darauf verarbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.2 - description: "Die Institution SOLLTE jede benutzte Funktion eines Fileservers\ - \ einschlie\xDFlich deren Sicherheitsaspekte planen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.3 - description: "Arbeitsplatzrechner D\xDCRFEN NICHT als Fileserver eingesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.4 - description: Der Speicherplatz des Fileservers MUSS ausreichend dimensioniert - sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.5 - description: Auch ausreichende Speicherreserven SOLLTEN vorgehalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.6 - description: "Es SOLLTE ausschlie\xDFlich Massenspeicher verwendet werden, der\ - \ f\xFCr einen Dauerbetrieb ausgelegt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 - ref_id: APP.3.3.A15.7 - description: "Die Geschwindigkeit und die Anbindung der Massenspeicher MUSS\ - \ f\xFCr den Einsatzzweck angemessen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.3.4 - name: Samba - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A1 - name: Planung des Einsatzes eines Samba-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.1 - description: "Der IT-Betrieb MUSS die Einf\xFChrung eines Samba-Servers sorgf\xE4\ - ltig planen und regeln." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.2 - description: "Der IT-Betrieb MUSS abh\xE4ngig vom Einsatzszenario definieren,\ - \ welche Aufgaben der Samba-Server zuk\xFCnftig erf\xFCllen soll und in welcher\ - \ Betriebsart er betrieben wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.3 - description: "Au\xDFerdem MUSS festgelegt werden, welche Komponenten von Samba\ - \ und welche weiteren Komponenten daf\xFCr erforderlich sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.4 - description: "Soll die Cluster-L\xF6sung CTDB (Cluster Trivia Data Base) eingesetzt\ - \ werden, MUSS der IT-Betrieb diese L\xF6sung sorgf\xE4ltig konzeptionieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.5 - description: "Falls Samba die Active-Directory-(AD)-Dienste auch f\xFCr Linux-\ - \ und Unix-Systeme bereitstellen soll, M\xDCSSEN diese Dienste ebenfalls sorgf\xE4\ - ltig geplant und getestet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.6 - description: "Des Weiteren MUSS das Authentisierungsverfahren f\xFCr das AD\ - \ sorgf\xE4ltig konzipiert und implementiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.7 - description: "Die Einf\xFChrung und die Reihenfolge, in der die Stackable-Virtual-File-System-(VFS)-Module\ - \ ausgef\xFChrt werden, MUSS sorgf\xE4ltig konzipiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.8 - description: Die Umsetzung SOLLTE dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.9 - description: "Soll IPv6 unter Samba eingesetzt werden, MUSS auch dies sorgf\xE4\ - ltig geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 - ref_id: APP.3.4.A1.10 - description: "Zudem MUSS in einer betriebsnahen Testumgebung \xFCberpr\xFCft\ - \ werden, ob die Integration fehlerfrei funktioniert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A2 - name: Sichere Grundkonfiguration eines Samba-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.1 - description: Der IT-Betrieb MUSS den Samba-Server sicher konfigurieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.2 - description: "Hierf\xFCr M\xDCSSEN unter anderem die Einstellungen f\xFCr die\ - \ Zugriffskontrollen angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.3 - description: "Das gleiche SOLLTE auch f\xFCr Einstellungen gelten, welche die\ - \ Leistungsf\xE4higkeit des Servers beeinflussen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.4 - description: Samba MUSS vom IT-Betrieb so konfiguriert werden, dass Verbindungen - nur von sicheren Hosts und Netzen entgegengenommen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.5 - description: "\xC4nderungen an der Konfiguration SOLLTEN sorgf\xE4ltig dokumentiert\ - \ werden, sodass zu jeder Zeit nachvollzogen werden kann, wer aus welchem\ - \ Grund was ge\xE4ndert hat." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.6 - description: "Dabei MUSS nach jeder \xC4nderung \xFCberpr\xFCft werden, ob die\ - \ Syntax der Konfigurationsdatei noch korrekt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 - ref_id: APP.3.4.A2.7 - description: "Zus\xE4tzliche Softwaremodule wie SWAT D\xDCRFEN NICHT installiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A3 - name: Sichere Konfiguration eines Samba-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - ref_id: APP.3.4.A3.1 - description: Datenbanken im Trivial-Database-(TDB)-Format SOLLTEN NICHT auf - einer Partition gespeichert werden, die ReiserFS als Dateisystem benutzt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - ref_id: APP.3.4.A3.2 - description: "Wird eine netlogon-Freigabe konfiguriert, SOLLTEN unberechtigte\ - \ Benutzende KEINE Dateien in dieser Freigabe modifizieren k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - ref_id: APP.3.4.A3.3 - description: "Das Betriebssystem eines Samba-Servers SOLLTE Access Control Lists\ - \ (ACLs) in Verbindung mit dem eingesetzten Dateisystem unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - ref_id: APP.3.4.A3.4 - description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass das Dateisystem\ - \ mit den passenden Parametern eingebunden wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 - ref_id: APP.3.4.A3.5 - description: Die Voreinstellungen von SMB Message Signing SOLLTEN beibehalten - werden, sofern sie nicht im Widerspruch zu den existierenden Sicherheitsrichtlinien - im Informationsverbund stehen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A4 - name: Vermeidung der NTFS-Eigenschaften auf einem Samba-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4 - ref_id: APP.3.4.A4.1 - description: "Wird eine Version von Samba eingesetzt, die im New Technology\ - \ File System (NTFS) keine ADS abbilden kann und sollen Dateisystemobjekte\ - \ \xFCber Systemgrenzen hinweg kopiert oder verschoben werden, SOLLTEN Dateisystemobjekte\ - \ KEINE ADS mit wichtigen Informationen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A5 - name: Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 - ref_id: APP.3.4.A5.1 - description: "Die von Samba standardm\xE4\xDFig verwendeten Parameter, mit denen\ - \ DOS-Attribute auf das Unix-Dateisystem abgebildet werden, SOLLTEN NICHT\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 - ref_id: APP.3.4.A5.2 - description: Stattdessen SOLLTE Samba so konfiguriert werden, dass es DOS-Attribute - und die Statusindikatoren zur Vererbung (Flag) in Extended Attributes speichert. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 - ref_id: APP.3.4.A5.3 - description: "Die Freigaben SOLLTEN ausschlie\xDFlich \xFCber die Samba-Registry\ - \ verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 - ref_id: APP.3.4.A5.4 - description: "Ferner SOLLTEN die effektiven Zugriffsberechtigungen auf die Freigaben\ - \ des Samba-Servers regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A6 - name: Sichere Konfiguration von Winbind unter Samba - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 - ref_id: APP.3.4.A6.1 - description: "F\xFCr jedes Dom\xE4nen-Konto einer Windows-Dom\xE4ne SOLLTE im\ - \ Betriebssystem des Servers ein Konto mit allen notwendigen Gruppenmitgliedschaften\ - \ vorhanden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 - ref_id: APP.3.4.A6.2 - description: "Falls das nicht m\xF6glich ist, SOLLTE Winbind eingesetzt werden,\ - \ um Dom\xE4nen-Konten in Unix-Konten umsetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 - ref_id: APP.3.4.A6.3 - description: "Beim Einsatz von Winbind SOLLTE sichergestellt werden, dass Kollisionen\ - \ zwischen lokalen Benutzenden in Unix und Benutzenden in der Dom\xE4ne verhindert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 - ref_id: APP.3.4.A6.4 - description: Des Weiteren SOLLTEN die PAM (Pluggable Authentication Modules) - eingebunden werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A7 - name: Sichere Konfiguration von DNS unter Samba - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 - ref_id: APP.3.4.A7.1 - description: "Wenn Samba als DNS-Server eingesetzt wird, SOLLTE die Einf\xFC\ - hrung sorgf\xE4ltig geplant und die Umsetzung vorab getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 - ref_id: APP.3.4.A7.2 - description: "Da Samba verschiedene AD-Integrationsmodi unterst\xFCtzt, SOLLTE\ - \ der IT-Betrieb die DNS-Einstellungen entsprechend dem Verwendungsszenario\ - \ von Samba vornehmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A8 - name: Sichere Konfiguration von LDAP unter Samba - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 - ref_id: APP.3.4.A8.1 - description: "Werden die Benutzenden unter Samba mit LDAP verwaltet, SOLLTE\ - \ die Konfiguration sorgf\xE4ltig vom IT-Betrieb geplant und dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 - ref_id: APP.3.4.A8.2 - description: Die Zugriffsberechtigungen auf das LDAP SOLLTEN mittels ACLs geregelt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A9 - name: Sichere Konfiguration von Kerberos unter Samba - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - ref_id: APP.3.4.A9.1 - description: Zur Authentisierung SOLLTE das von Samba implementierte Heimdal - Kerberos Key Distribution Center (KDC) verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - ref_id: APP.3.4.A9.2 - description: Es SOLLTE darauf geachtet werden, dass die von Samba vorgegebene - Kerberos-Konfigurationsdatei verwendet wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - ref_id: APP.3.4.A9.3 - description: "Es SOLLTEN nur sichere Verschl\xFCsselungsverfahren f\xFCr Kerberos-Tickets\ - \ benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - ref_id: APP.3.4.A9.4 - description: Wird mit Kerberos authentisiert, SOLLTE der zentrale Zeitserver - lokal auf dem Samba-Server installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 - ref_id: APP.3.4.A9.5 - description: "Der NTP-Dienst SOLLTE so konfiguriert werden, dass nur autorisierte\ - \ Clients die Zeit abfragen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A10 - name: Sicherer Einsatz externer Programme auf einem Samba-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10 - ref_id: APP.3.4.A10.1 - description: "Vom IT-Betrieb SOLLTE sichergestellt werden, dass Samba nur auf\ - \ schadhafte Funktionen \xFCberpr\xFCfte und vertrauensw\xFCrdige externe\ - \ Programme aufruft." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A12 - name: Schulung der Administrierenden eines Samba-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12 - ref_id: APP.3.4.A12.1 - description: Die Administrierenden SOLLTEN zu den genutzten spezifischen Bereichen - von Samba wie z. B. Benutzendenauthentisierung, Windows- und Unix-Rechtemodelle, - aber auch zu NTFS ACLs und NTFS ADS geschult werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A13 - name: "Regelm\xE4\xDFige Sicherung wichtiger Systemkomponenten eines Samba-Servers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 - ref_id: APP.3.4.A13.1 - description: Es SOLLTEN alle Systemkomponenten in das institutionsweite Datensicherungskonzept - eingebunden werden, die erforderlich sind, um einen Samba-Server wiederherzustellen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 - ref_id: APP.3.4.A13.2 - description: "Auch die Kontoinformationen aus allen eingesetzten Backends SOLLTEN\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 - ref_id: APP.3.4.A13.3 - description: Ebenso SOLLTEN alle TDB-Dateien gesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 - ref_id: APP.3.4.A13.4 - description: "Des Weiteren SOLLTE die Samba-Registry mit gesichert werden, falls\ - \ sie f\xFCr Freigaben eingesetzt wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 - ref_id: APP.3.4.A15 - name: "Verschl\xFCsselung der Datenpakete unter Samba" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15 - ref_id: APP.3.4.A15.1 - description: "Um die Sicherheit der Datenpakete auf dem Transportweg zu gew\xE4\ - hrleisten, SOLLTEN die Datenpakete mit den ab SMB Version 3 integrierten Verschl\xFC\ - sselungsverfahren verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.3.6 - name: DNS-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A1 - name: Planung des DNS-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - ref_id: APP.3.6.A1.1 - description: "Der Einsatz von DNS-Servern MUSS sorgf\xE4ltig geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - ref_id: APP.3.6.A1.2 - description: Es MUSS zuerst festgelegt werden, wie der Netzdienst DNS aufgebaut - werden soll. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - ref_id: APP.3.6.A1.3 - description: "Es MUSS festgelegt werden, welche Domain-Informationen sch\xFC\ - tzenswert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - ref_id: APP.3.6.A1.4 - description: Es MUSS geplant werden, wie DNS-Server in das Netz des Informationsverbunds - eingebunden werden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 - ref_id: APP.3.6.A1.5 - description: "Die getroffenen Entscheidungen M\xDCSSEN geeignet dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A2 - name: Einsatz redundanter DNS-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 - ref_id: APP.3.6.A2.1 - description: "Advertising DNS-Server M\xDCSSEN redundant ausgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 - ref_id: APP.3.6.A2.2 - description: "F\xFCr jeden Advertising DNS-Server MUSS es mindestens einen zus\xE4\ - tzlichen Secondary DNS-Server geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A3 - name: "Verwendung von separaten DNS-Servern f\xFCr interne und externe Anfragen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 - ref_id: APP.3.6.A3.1 - description: "Advertising DNS-Server und Resolving DNS-Server M\xDCSSEN serverseitig\ - \ getrennt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 - ref_id: APP.3.6.A3.2 - description: "Die Resolver der internen IT-Systeme D\xDCRFEN NUR die internen\ - \ Resolving DNS-Server verwenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A4 - name: Sichere Grundkonfiguration eines DNS-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.1 - description: "Ein Resolving DNS-Server MUSS so konfiguriert werden, dass er\ - \ ausschlie\xDFlich Anfragen aus dem internen Netz akzeptiert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.2 - description: "Wenn ein Resolving DNS-Server Anfragen versendet, MUSS er zuf\xE4\ - llige Source Ports benutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.3 - description: Sind DNS-Server bekannt, die falsche Domain-Informationen liefern, - MUSS der Resolving DNS-Server daran gehindert werden, Anfragen dorthin zu - senden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.4 - description: Ein Advertising DNS-Server MUSS so konfiguriert werden, dass er - Anfragen aus dem Internet immer iterativ behandelt. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.5 - description: Es MUSS sichergestellt werden, dass DNS-Zonentransfers zwischen - Primary und Secondary DNS-Servern funktionieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.6 - description: "Zonentransfers M\xDCSSEN so konfiguriert werden, dass diese nur\ - \ zwischen Primary und Secondary DNS-Servern m\xF6glich sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.7 - description: "Zonentransfers M\xDCSSEN auf bestimmte IP-Adressen beschr\xE4\ - nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 - ref_id: APP.3.6.A4.8 - description: Die Version des verwendeten DNS-Server-Produktes MUSS verborgen - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A6 - name: Absicherung von dynamischen DNS-Updates - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 - ref_id: APP.3.6.A6.1 - description: "Es MUSS sichergestellt werden, dass nur legitimierte IT-Systeme\ - \ Domain-Informationen \xE4ndern d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 - ref_id: APP.3.6.A6.2 - description: "Es MUSS festgelegt werden, welche Domain-Informationen die IT-Systeme\ - \ \xE4ndern d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A7 - name: "\xDCberwachung von DNS-Servern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.1 - description: "DNS-Server M\xDCSSEN laufend \xFCberwacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.2 - description: "Es MUSS \xFCberwacht werden, wie ausgelastet die DNS-Server sind,\ - \ um rechtzeitig die Leistungskapazit\xE4t der Hardware anpassen zu k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.3 - description: "DNS-Server M\xDCSSEN so konfiguriert werden, dass mindestens die\ - \ folgenden sicherheitsrelevanten Ereignisse protokolliert werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.4 - description: "\u2022 Anzahl der DNS-Anfragen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.5 - description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.6 - description: "\u2022 EDNS-Fehler (EDNS - Extension Mechanisms for DNS)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.7 - description: "\u2022 auslaufende Zonen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 - ref_id: APP.3.6.A7.8 - description: "\u2022 fehlgeschlagene Zonentransfers." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A8 - name: Verwaltung von Domainnamen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 - ref_id: APP.3.6.A8.1 - description: "Es MUSS sichergestellt sein, dass die Registrierungen f\xFCr alle\ - \ Domains, die von einer Institution benutzt werden, regelm\xE4\xDFig und\ - \ rechtzeitig verl\xE4ngert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 - ref_id: APP.3.6.A8.2 - description: "Eine Person MUSS bestimmt werden, die daf\xFCr zust\xE4ndig ist,\ - \ die Internet-Domainnamen zu verwalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 - ref_id: APP.3.6.A8.3 - description: "Falls Dienstleistende mit der Domainverwaltung beauftragt werden,\ - \ MUSS darauf geachtet werden, dass die Institution die Kontrolle \xFCber\ - \ die Domains beh\xE4lt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A9 - name: "Erstellen eines Notfallplans f\xFCr DNS-Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - ref_id: APP.3.6.A9.1 - description: "Ein Notfallplan f\xFCr DNS-Server MUSS erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - ref_id: APP.3.6.A9.2 - description: "Der Notfallplan f\xFCr DNS-Server MUSS in die bereits vorhandenen\ - \ Notfallpl\xE4ne der Institution integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - ref_id: APP.3.6.A9.3 - description: "Im Notfallplan f\xFCr DNS-Server MUSS ein Datensicherungskonzept\ - \ f\xFCr die Zonen- und Konfigurationsdateien beschrieben sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - ref_id: APP.3.6.A9.4 - description: "Das Datensicherungskonzept f\xFCr die Zonen- und Konfigurationsdateien\ - \ MUSS in das existierende Datensicherungskonzept der Institution integriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 - ref_id: APP.3.6.A9.5 - description: "Der Notfallplan f\xFCr DNS-Server MUSS einen Wiederanlaufplan\ - \ f\xFCr alle DNS-Server im Informationsverbund enthalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A10 - name: Auswahl eines geeigneten DNS-Server-Produktes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 - ref_id: APP.3.6.A10.1 - description: "Wird ein DNS-Server-Produkt beschafft, dann SOLLTE darauf geachtet\ - \ werden, dass es sich in der Praxis ausreichend bew\xE4hrt hat." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 - ref_id: APP.3.6.A10.2 - description: "Das DNS-Server-Produkt SOLLTE die aktuellen RFC-Standards unterst\xFC\ - tzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 - ref_id: APP.3.6.A10.3 - description: "Das DNS-Server-Produkt SOLLTE die Zust\xE4ndigen dabei unterst\xFC\ - tzen, syntaktisch korrekte Master Files zu erstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A11 - name: Ausreichende Dimensionierung der DNS-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 - ref_id: APP.3.6.A11.1 - description: Die Hardware des DNS-Servers SOLLTE ausreichend dimensioniert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 - ref_id: APP.3.6.A11.2 - description: "Die Hardware des DNS-Servers SOLLTE ausschlie\xDFlich f\xFCr den\ - \ Betrieb dieses DNS-Servers benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 - ref_id: APP.3.6.A11.3 - description: "Die Netzanbindungen s\xE4mtlicher DNS-Server im Informationsverbund\ - \ SOLLTEN ausreichend bemessen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A13 - name: "Einschr\xE4nkung der Sichtbarkeit von Domain-Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 - ref_id: APP.3.6.A13.1 - description: "Der Namensraum eines Informationsverbunds SOLLTE in einen \xF6\ - ffentlichen und einen institutionsinternen Bereich aufgeteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 - ref_id: APP.3.6.A13.2 - description: "Im \xF6ffentlichen Teil SOLLTEN nur solche Domain-Informationen\ - \ enthalten sein, die von Diensten ben\xF6tigt werden, die von extern erreichbar\ - \ sein sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 - ref_id: APP.3.6.A13.3 - description: "IT-Systeme im internen Netz SOLLTEN selbst dann keinen von au\xDF\ - en aufl\xF6sbaren DNS-Namen erhalten, wenn sie eine \xF6ffentliche IP-Adresse\ - \ besitzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A14 - name: Platzierung der Nameserver - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14 - ref_id: APP.3.6.A14.1 - description: Primary und Secondary Advertising DNS-Server SOLLTEN in verschiedenen - Netzsegmenten platziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A15 - name: Auswertung der Logdaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.1 - description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.2 - description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig ausgewertet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.3 - description: 'Mindestens die folgenden sicherheitsrelevanten Ereignisse SOLLTEN - ausgewertet werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.4 - description: "\u2022 Anzahl der DNS-Anfragen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.5 - description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.6 - description: "\u2022 EDNS-Fehler," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.7 - description: "\u2022 auslaufende Zonen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.8 - description: "\u2022 fehlgeschlagene Zonentransfers sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 - ref_id: APP.3.6.A15.9 - description: "\u2022 Ver\xE4nderungen im Verh\xE4ltnis von Fehlern zu DNS-Anfragen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A16 - name: Integration eines DNS-Servers in eine "P-A-P"-Struktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 - ref_id: APP.3.6.A16.1 - description: "Die DNS-Server SOLLTEN in eine \u201EPaketfilter - Application-Level-Gateway\ - \ - Paketfilter\u201C-(P-A-P)-Struktur integriert werden (siehe auch NET.1.1\ - \ Netzarchitektur und -design)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 - ref_id: APP.3.6.A16.2 - description: "Der Advertising DNS-Server SOLLTE in diesem Fall in einer demilitarisierten\ - \ Zone (DMZ) des \xE4u\xDFeren Paketfilters angesiedelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 - ref_id: APP.3.6.A16.3 - description: Der Resolving DNS-Server SOLLTE in einer DMZ des inneren Paketfilters - aufgestellt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A17 - name: Einsatz von DNSSEC - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 - ref_id: APP.3.6.A17.1 - description: Die DNS-Protokollerweiterung DNSSEC SOLLTE sowohl auf Resolving - DNS-Servern als auch auf Advertising DNS-Servern aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 - ref_id: APP.3.6.A17.2 - description: "Die dabei verwendeten Schl\xFCssel Key-Signing-Keys (KSK) und\ - \ Zone-Signing-Keys (ZSK) SOLLTEN regelm\xE4\xDFig gewechselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A18 - name: Erweiterte Absicherung von Zonentransfers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18 - ref_id: APP.3.6.A18.1 - description: "Um Zonentransfers st\xE4rker abzusichern, SOLLTEN zus\xE4tzlich\ - \ Transaction Signatures (TSIG) eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A19 - name: Aussonderung von DNS-Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19 - ref_id: APP.3.6.A19.1 - description: "Der DNS-Server SOLLTE sowohl aus dem Domain-Namensraum als auch\ - \ aus dem Netzverbund gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A20 - name: "Pr\xFCfung des Notfallplans auf Durchf\xFChrbarkeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20 - ref_id: APP.3.6.A20.1 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob der Notfallplan\ - \ f\xFCr DNS-Server durchf\xFChrbar ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A21 - name: Hidden Master - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21 - ref_id: APP.3.6.A21.1 - description: "Um Angriffe auf den prim\xE4ren Advertising DNS-Server zu erschweren,\ - \ SOLLTE eine sogenannte Hidden-Master-Anordnung vorgenommen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 - ref_id: APP.3.6.A22 - name: "Anbindung der DNS-Server \xFCber unterschiedliche Provider" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22 - ref_id: APP.3.6.A22.1 - description: "Extern erreichbare DNS-Server SOLLTEN \xFCber unterschiedliche\ - \ Provider angebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.4.2 - name: SAP-ERP-System - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A1 - name: Sichere Konfiguration des SAP-ABAP-Stacks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 - ref_id: APP.4.2.A1.1 - description: Der SAP-ABAP-Stack MUSS sicher konfiguriert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 - ref_id: APP.4.2.A1.2 - description: "Dazu M\xDCSSEN die jeweiligen Profilparameter gesetzt werden,\ - \ z. B. f\xFCr die Passwortsicherheit, Authentisierung und Verschl\xFCsselung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 - ref_id: APP.4.2.A1.3 - description: "Auch M\xDCSSEN die System\xE4nderbarkeit und die Mandanten konfiguriert,\ - \ das IMG-Customizing durchgef\xFChrt und die Betriebssystemkommandos abgesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A2 - name: Sichere Konfiguration des SAP-JAVA-Stacks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 - ref_id: APP.4.2.A2.1 - description: Der SAP-JAVA-Stack MUSS sicher konfiguriert werden, falls dieser - eingesetzt wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 - ref_id: APP.4.2.A2.2 - description: "Daf\xFCr M\xDCSSEN andere Sicherheitsmechanismen und -konzepte\ - \ erstellt werden als f\xFCr den SAP-ABAP-Stack." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 - ref_id: APP.4.2.A2.3 - description: "Deshalb M\xDCSSEN Administrierende die Architektur des JAVA-Stacks\ - \ kennen und wissen, wie er administriert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 - ref_id: APP.4.2.A2.4 - description: "Zudem M\xDCSSEN nicht ben\xF6tigte Dienste abgeschaltet, Standardinhalte\ - \ entfernt, HTTP-Dienste gesch\xFCtzt und Zugriffe auf Administrationsschnittstellen\ - \ eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A3 - name: Netzsicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 - ref_id: APP.4.2.A3.1 - description: "Um die Netzsicherheit zu gew\xE4hrleisten, M\xDCSSEN entsprechende\ - \ Konzepte unter Ber\xFCcksichtigung des SAP-ERP-Systems erstellt und Einstellungen\ - \ am System durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 - ref_id: APP.4.2.A3.2 - description: Weiterhin SOLLTEN der SAP-Router und SAP Web Dispatcher eingesetzt - werden, um ein sicheres SAP-Netz zu implementieren und aufrechtzuerhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 - ref_id: APP.4.2.A3.3 - description: "Um Sicherheitsl\xFCcken aufgrund von Fehlinterpretationen oder\ - \ Missverst\xE4ndnissen zu vermeiden, M\xDCSSEN sich die Bereiche IT-Betrieb,\ - \ Firewall-Betrieb, Portalbetrieb und SAP-Betrieb miteinander abstimmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A4 - name: Absicherung der ausgelieferten SAP-Standard-Konten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 - ref_id: APP.4.2.A4.1 - description: "Direkt nach der Installation eines SAP-ERP-Systems M\xDCSSEN die\ - \ voreingestellten Passw\xF6rter der SAP-Standard-Konten ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 - ref_id: APP.4.2.A4.2 - description: "Auch M\xDCSSEN die eingerichteten SAP-Standard-Konten mithilfe\ - \ geeigneter Ma\xDFnahmen abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 - ref_id: APP.4.2.A4.3 - description: "Bestimmte SAP-Standard-Konten D\xDCRFEN NICHT benutzt werden,\ - \ z. B. f\xFCr RFC-Verbindungen und Background-Jobs." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A5 - name: Konfiguration und Absicherung der SAP-Konten-Verwaltung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 - ref_id: APP.4.2.A5.1 - description: "Die SAP-Konten-Verwaltung f\xFCr ABAP-Systeme MUSS sorgf\xE4ltig\ - \ und sicher administriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 - ref_id: APP.4.2.A5.2 - description: "Aktivit\xE4ten, wie Konten anlegen, \xE4ndern und l\xF6schen,\ - \ Passw\xF6rter zur\xFCcksetzen und entsperren sowie Rollen und Profile zuordnen,\ - \ M\xDCSSEN zu den Aufgaben der Konto-Administration geh\xF6ren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A6 - name: Erstellung und Umsetzung eines Konten- und Berechtigungskonzeptes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.1 - description: "F\xFCr SAP-ERP-Systeme MUSS ein Konten- und Berechtigungskonzept\ - \ ausgearbeitet und umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.2 - description: "Dabei M\xDCSSEN folgende Punkte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.3 - description: "\u2022 Identit\xE4tsprinzip, Minimalprinzip, Stellenprinzip, Belegprinzip\ - \ der Buchhaltung, Belegprinzip der Berechtigungsverwaltung, Funktionstrennungsprinzip\ - \ (Segregation of Duties, SoD), Genehmigungsprinzip, Standardprinzip, Schriftformprinzip\ - \ und Kontrollprinzip M\xDCSSEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.4 - description: "\u2022 Konto-, Berechtigungs- und gegebenenfalls Profiladministrierender\ - \ M\xDCSSEN getrennte Verantwortlichkeiten und damit Berechtigungen haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.5 - description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsadministration\ - \ f\xFCr Rollen anlegen, \xE4ndern, l\xF6schen, transportieren und SU24 Vorschlagswerte\ - \ transportieren M\xDCSSEN definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.6 - description: Dabei SOLLTEN Berechtigungsrollen nur im Entwicklungssystem angelegt - und gepflegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.7 - description: Sie SOLLTEN mit Hilfe des Transport-Management-Systems (TMS) transportiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.8 - description: Berechtigungen SOLLTEN in Berechtigungsrollen (PFCG-Rollen) angelegt, - gespeichert und den Konten zugeordnet werden (rollenbasiertes Berechtigungskonzept). - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.9 - description: Da sich einzelne kritische Aktionen in den Rollen nicht immer vermeiden - lassen, SOLLTEN sie von kompensierenden Kontrollen (mitigation controls) abgedeckt - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.10 - description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsvergabe f\xFC\ - r Konten und Berechtigungen beantragen, genehmigen, \xE4ndern und l\xF6schen\ - \ M\xDCSSEN definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.11 - description: "\u2022 Namenskonventionen f\xFCr Konten-Kennungen und technische\ - \ Rollennamen M\xDCSSEN definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.12 - description: "\u2022 Vorschlagswerte und Pr\xFCfkennzeichen SOLLTEN in der Transaktion\ - \ SU24 gepflegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.13 - description: Die Vorgehensweise dazu SOLLTE im Konten- und Berechtigungskonzept - beschrieben sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.14 - description: "\u2022 Gesetzliche und interne Rahmenbedingungen wie die Grunds\xE4\ - tze ordnungsgem\xE4\xDFer Buchf\xFChrung (GoB), das Handelsgesetzbuch (HGB)\ - \ oder interne Vorgaben der Institution M\xDCSSEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.15 - description: Das Konten- und Berechtigungskonzept SOLLTE auch den Betrieb technischer - Konten abdecken, also auch die Berechtigung von Hintergrund- und Schnittstellenkonten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.16 - description: "Es SOLLTEN geeignete Kontrollmechanismen angewandt werden, um\ - \ SoD-Konfliktfreiheit von Rollen und die Vergabe von kritischen Berechtigungen\ - \ an Konten zu \xFCberwachen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 - ref_id: APP.4.2.A6.17 - description: "Werden neben dem ABAP-Backend weitere Komponenten wie SAP HANA\ - \ und SAP NetWeaver Gateway (f\xFCr Fiori-Anwendungen) verwendet, MUSS das\ - \ Design der Berechtigungen zwischen den Komponenten abgestimmt und synchronisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A7 - name: Absicherung der SAP-Datenbanken - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - ref_id: APP.4.2.A7.1 - description: Der Zugriff auf SAP-Datenbanken MUSS abgesichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - ref_id: APP.4.2.A7.2 - description: "Administrierende SOLLTEN m\xF6glichst nur mit SAP-Tools auf die\ - \ Datenbanken zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - ref_id: APP.4.2.A7.3 - description: "Wird dazu Software von fremden Institutionen benutzt, M\xDCSSEN\ - \ zus\xE4tzliche Sicherheitsma\xDFnahmen umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - ref_id: APP.4.2.A7.4 - description: "Es DARF dann kein Schema-Konto des SAP Systems f\xFCr die Verbindung\ - \ zur Datenbank genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 - ref_id: APP.4.2.A7.5 - description: "Au\xDFerdem M\xDCSSEN Standardpassw\xF6rter ge\xE4ndert und bestimmte\ - \ Datenbanktabellen (z. B. USR* Tabellen) besonders gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A8 - name: Absicherung der SAP-RFC-Schnittstelle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.1 - description: "Zum Schutz der Remote-Function-Call (RFC)-Schnittstelle M\xDC\ - SSEN RFC-Verbindungen, RFC-Berechtigungen und die RFC-Gateways sicher konfiguriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.2 - description: "Es M\xDCSSEN f\xFCr alle RFC-Verbindungen einheitliche Verwaltungsrichtlinien\ - \ erstellt und umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.3 - description: "Dazu SOLLTEN die ben\xF6tigten RFC-Verbindungen definiert und\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.4 - description: "Verbindungen mit hinterlegtem Passwort SOLLTEN nicht von niedriger\ - \ privilegierten auf h\xF6her privilegierte Systeme (z. B. von Dev nach Prod)\ - \ konfiguriert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.5 - description: "Nicht mehr benutzte RFC-Verbindungen M\xDCSSEN gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.6 - description: "Alle RFC-Gateways M\xDCSSEN sicher administriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.7 - description: "Dazu M\xDCSSEN geeignete Profilparameter gesetzt werden, z. B.\ - \ gw/monitor, gw/reg_no_conn_info und snc/permit_insecure_start." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.8 - description: "Alle Verbindungen \xFCber ein Gateway M\xDCSSEN unter dem Sicherheitsaspekt\ - \ analysiert und bewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.9 - description: "Au\xDFerdem MUSS die Protokollierung aktiv sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 - ref_id: APP.4.2.A8.10 - description: "Es M\xDCSSEN Zugriffssteuerungslisten (ACLs) definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A9 - name: "Absicherung und \xDCberwachung des Message-Servers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 - ref_id: APP.4.2.A9.1 - description: Der Message-Server MUSS durch geeignete Einstellungen in den Profilparametern - abgesichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 - ref_id: APP.4.2.A9.2 - description: "Es MUSS unter anderem entschieden werden, ob f\xFCr den internen\ - \ Message-Server noch ACLs aufgebaut werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 - ref_id: APP.4.2.A9.3 - description: "Der Message-Server MUSS mithilfe von geeigneten Mechanismen \xFC\ - berwacht werden, damit z. B. Systemausf\xE4lle des Message-Servers schnell\ - \ erkannt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A11 - name: Sichere Installation eines SAP-ERP-Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 - ref_id: APP.4.2.A11.1 - description: "Bei der Installation eines SAP-ERP-Systems SOLLTEN aktuelle SAP-Sicherheitsleitf\xE4\ - den und - Dokumentationen ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 - ref_id: APP.4.2.A11.2 - description: "Au\xDFerdem SOLLTEN die Sicherheitsrichtlinien der Institution\ - \ eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 - ref_id: APP.4.2.A11.3 - description: "Ebenso SOLLTE gew\xE4hrleistet sein, dass das SAP-ERP-System auf\ - \ einem abgesicherten Betriebssystem installiert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A12 - name: SAP-Berechtigungsentwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.1 - description: Die technischen Berechtigungen SOLLTEN aufgrund fachlicher Vorgaben - entwickelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.2 - description: Des Weiteren SOLLTEN SAP-Berechtigungen auf dem Entwicklungssystem - der SAP-Landschaft angepasst oder neu erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.3 - description: "Das SOLLTE auch bei S/4HANA die Berechtigungsentwicklung auf HANA-Datenbanken\ - \ mit einschlie\xDFen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.4 - description: Hier SOLLTEN Repository-Rollen aufgebaut und transportiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.5 - description: Datenbankprivilegien SOLLTEN NICHT direkt an Konten vergeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.6 - description: "Bei Eigenentwicklungen f\xFCr z. B. Transaktionen oder Berechtigungsobjekte\ - \ SOLLTE die Transaktion SU24 gepflegt werden (Zuordnungen von Berechtigungsobjekten\ - \ zu Transaktionen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.7 - description: "Die Gesamtberechtigung * oder Intervalle in Objektauspr\xE4gungen\ - \ SOLLTEN vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.8 - description: "Die Berechtigungsentwicklung SOLLTE im Rahmen eines \xC4nderungsmanagements\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.9 - description: "Es SOLLTE sichergestellt sein, dass das Produktivsystem ausreichend\ - \ vor Berechtigungs\xE4nderungen gesch\xFCtzt ist und keine Entwicklerschl\xFC\ - ssel vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 - ref_id: APP.4.2.A12.10 - description: "Das Qualit\xE4tssicherungssystem SOLLTE bei der Berechtigungsvergabe\ - \ und erg\xE4nzenden Einstellungen analog zum Produktivsystem betrieben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A13 - name: SAP-Passwortsicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 - ref_id: APP.4.2.A13.1 - description: "Um eine sichere Anmeldung am SAP-ERP-System zu gew\xE4hrleisten,\ - \ SOLLTEN Profilparameter, Customizing-Schalter oder Sicherheitsrichtlinien\ - \ geeignet eingestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 - ref_id: APP.4.2.A13.2 - description: "Die eingesetzten Hash-Algorithmen f\xFCr die gespeicherten Hashwerte\ - \ der Passw\xF6rter in einem SAP-ERP-System SOLLTEN den aktuellen Sicherheitsstandards\ - \ entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 - ref_id: APP.4.2.A13.3 - description: "Zugriffe auf Tabellen mit Hashwerten SOLLTEN eingeschr\xE4nkt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A14 - name: Identifizierung kritischer SAP-Berechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.1 - description: Der Umgang mit kritischen Berechtigungen SOLLTE streng kontrolliert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.2 - description: Es SOLLTE darauf geachtet werden, dass diese Berechtigungen, Rollen - und Profile nur restriktiv vergeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.3 - description: "Dies SOLLTE auch f\xFCr kritische Rollenkombinationen und additive\ - \ Effekte wie z. B. Kreuzberechtigungen sichergestellt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.4 - description: "Kritische Berechtigungen SOLLTEN regelm\xE4\xDFig identifiziert,\ - \ \xFCberpr\xFCft und bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.5 - description: "Die SAP-Profile SAP_ALL und SAP_NEW* sowie das SAP-Berechtigungsobjekt\ - \ S_DEVELOP (mit \xC4nderungsberechtigungen ACTVT 01 und 02) SOLLTEN im Produktivsystem\ - \ nicht vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 - ref_id: APP.4.2.A14.6 - description: Notfall-Konten SOLLTEN von dieser Vorgabe ausgeschlossen sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A15 - name: Sichere Konfiguration des SAP-Routers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 - ref_id: APP.4.2.A15.1 - description: "Der SAP-Router SOLLTE den Zugang zum Netz regeln und die bestehende\ - \ Firewall-Architektur zweckm\xE4\xDFig erg\xE4nzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 - ref_id: APP.4.2.A15.2 - description: Auch SOLLTE er den Zugang zum SAP-ERP-System kontrollieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A16 - name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Windows" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.1 - description: Das SAP-ERP-System SOLLTE NICHT auf einem Windows-Domaincontroller - installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.2 - description: Die SAP-spezifischen Konten wie adm oder SAPService - SOLLTEN abgesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.3 - description: Nach der Installation SOLLTE das Konto gesperrt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.4 - description: Das Konto SAPService SOLLTE KEINE Rechte zur interaktiven - Anmeldung besitzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.5 - description: "In Bezug auf diese Berechtigungen SOLLTEN die zum SAP-ERP-System\ - \ dazugeh\xF6rigen Systemressourcen wie Dateien, Prozesse und gemeinsam genutzte\ - \ Speicher gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 - ref_id: APP.4.2.A16.6 - description: Die spezifischen Berechtigungen der vom SAP-ERP-System angelegten - Konten Guest, System, SAP system users = adm, SAPService und - Database users = und Benutzendengruppen SOLLTEN - mithilfe geeigneter Einstellungen abgesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A17 - name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Unix" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 - ref_id: APP.4.2.A17.1 - description: "F\xFCr die SAP-ERP-Systemverzeichnisse unter Unix SOLLTEN Zugriffsberechtigungen\ - \ festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 - ref_id: APP.4.2.A17.2 - description: "Auch SOLLTEN die Passw\xF6rter der systemspezifischen Konten adm\ - \ und ge\xE4ndert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 - ref_id: APP.4.2.A17.3 - description: Nach der Installation SOLLTE das Konto gesperrt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A18 - name: Abschaltung von unsicherer Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 - ref_id: APP.4.2.A18.1 - description: Die Kommunikation mit und zwischen SAP-ERP-Systemen SOLLTE mit - SNC abgesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 - ref_id: APP.4.2.A18.2 - description: "Sofern Datenbank und SAP-Applikationsserver auf verschiedenen\ - \ Systemen betrieben werden, SOLLTE die Datenbankverbindung in geeigneter\ - \ Weise verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 - ref_id: APP.4.2.A18.3 - description: Die internen Dienste des SAP-Applikationsservers SOLLTEN NUR mittels - TLS miteinander kommunizieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A19 - name: "Definition der Sicherheitsrichtlinien f\xFCr Konten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 - ref_id: APP.4.2.A19.1 - description: "F\xFCr die jeweiligen Konten und Kontengruppen SOLLTEN spezifische\ - \ Sicherheitsrichtlinien f\xFCr Passw\xF6rter und Anmelderestriktionen erstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 - ref_id: APP.4.2.A19.2 - description: So SOLLTEN beispielsweise Konten mit kritischen Berechtigungen - durch starke Passwortregeln abgesichert sein (Transaktion SECPOL). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 - ref_id: APP.4.2.A19.3 - description: "Die Sicherheitsrichtlinien SOLLTEN den Konten korrekt zugeordnet\ - \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A20 - name: Sichere SAP-GUI-Einstellungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 - ref_id: APP.4.2.A20.1 - description: "Die SAP GUI SOLLTE auf allen Clients installiert und regelm\xE4\ - \xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 - ref_id: APP.4.2.A20.2 - description: Auch SOLLTEN SAP GUI ACLs aktiviert sowie angemessene Administrationsregeln - verteilt und aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A22 - name: Schutz des Spools im SAP-ERP-System - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 - ref_id: APP.4.2.A22.1 - description: "Es SOLLTE sichergestellt sein, dass auf Daten der sequenziellen\ - \ Datenverarbeitung wie Spool oder Druck nur eingeschr\xE4nkt zugegriffen\ - \ werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 - ref_id: APP.4.2.A22.2 - description: "Auch SOLLTE verhindert werden, dass unberechtigte Konten auf die\ - \ vom SAP-Spoolsystem benutzte Datenablage TemSe zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 - ref_id: APP.4.2.A22.3 - description: "Die hierf\xFCr vergebenen Berechtigungen SOLLTEN regelm\xE4\xDF\ - ig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A23 - name: Schutz der SAP-Hintergrundverarbeitung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 - ref_id: APP.4.2.A23.1 - description: "Die SAP-Hintergrundverarbeitung SOLLTE vor unberechtigten Zugriffen\ - \ gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 - ref_id: APP.4.2.A23.2 - description: "Daf\xFCr SOLLTEN f\xFCr Batch-Jobs verschiedene System-Konten\ - \ nach ihren Funktionsbereichen definiert und angelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 - ref_id: APP.4.2.A23.3 - description: "Der so genannte Benutzertyp Dialog SOLLTE daf\xFCr grunds\xE4\ - tzlich NICHT zugelassen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A24 - name: Aktivierung und Absicherung des Internet Communication Frameworks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 - ref_id: APP.4.2.A24.1 - description: Es SOLLTE darauf geachtet werden, dass nur notwendige ICF-Dienste - aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 - ref_id: APP.4.2.A24.2 - description: Alle ICF-Dienste, die unter einem ICF-Objekt sind, SOLLTEN nur - einzeln aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 - ref_id: APP.4.2.A24.3 - description: ICF-Berechtigungen SOLLTEN restriktiv vergeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 - ref_id: APP.4.2.A24.4 - description: "Die Kommunikation SOLLTE verschl\xFCsselt erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A25 - name: Sichere Konfiguration des SAP Web Dispatchers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 - ref_id: APP.4.2.A25.1 - description: Der SAP Web Dispatcher SOLLTE nicht der erste Einstiegspunkt aus - dem Internet zum SAP-ERP-System sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 - ref_id: APP.4.2.A25.2 - description: Der SAP Web Dispatcher SOLLTE auf dem aktuellen Stand sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 - ref_id: APP.4.2.A25.3 - description: Er SOLLTE sicher konfiguriert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A26 - name: Schutz von selbstentwickeltem Code im SAP-ERP-System - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 - ref_id: APP.4.2.A26.1 - description: Es SOLLTE ein Custom-Code-Managementprozess definiert werden, damit - selbstentwickelter Code ausgetauscht oder entfernt wird, falls er durch SAP-Standard-Code - ersetzt werden kann oder er nicht mehr benutzt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 - ref_id: APP.4.2.A26.2 - description: "Ferner SOLLTEN die Anforderungen aus der Richtlinie f\xFCr die\ - \ Entwicklung von ABAP-Programmen ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A27 - name: Audit des SAP-ERP-Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 - ref_id: APP.4.2.A27.1 - description: "Damit sichergestellt ist, dass alle internen und externen Richtlinien\ - \ sowie Vorgaben eingehalten werden, SOLLTEN alle SAP-ERP-Systeme regelm\xE4\ - \xDFig auditiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 - ref_id: APP.4.2.A27.2 - description: "Daf\xFCr SOLLTE der Security Optimization Service im SAP Solution\ - \ Manager benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 - ref_id: APP.4.2.A27.3 - description: Die Ergebnisse des Audits SOLLTEN ausgewertet und dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A28 - name: Erstellung eines Notfallkonzeptes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.1 - description: "F\xFCr SAP-ERP-Systeme SOLLTE ein Notfallkonzept erstellt und\ - \ betrieben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.2 - description: "Es SOLLTE die Gesch\xE4ftsaktivit\xE4ten absichern und mit den\ - \ Vorgaben aus dem Krisenmanagement oder dem Business-Continuity-Management\ - \ \xFCbereinstimmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.3 - description: 'Im Notfallkonzept SOLLTEN folgende Punkte beschrieben und definiert - werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.4 - description: "\u2022 Detektion von und Reaktion auf Zwischenf\xE4lle," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.5 - description: "\u2022 Datensicherungs- und Wiederherstellungskonzept sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.6 - description: "\u2022 Notfalladministration." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 - ref_id: APP.4.2.A28.7 - description: "Das Notfallkonzept SOLLTE regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A29 - name: Einrichten von Notfall-Konten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 - ref_id: APP.4.2.A29.1 - description: Es SOLLTEN Notfall-Konten angelegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 - ref_id: APP.4.2.A29.2 - description: Die eingerichteten Konten und Berechtigungen SOLLTEN stark kontrolliert - und genau dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 - ref_id: APP.4.2.A29.3 - description: "Au\xDFerdem SOLLTEN alle von Notfall-Konten durchgef\xFChrten\ - \ Aktivit\xE4ten protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A30 - name: Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 - ref_id: APP.4.2.A30.1 - description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob alle Sicherheitseinstellungen\ - \ des SAP-ERP-Systems korrekt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 - ref_id: APP.4.2.A30.2 - description: "Au\xDFerdem SOLLTE \xFCberwacht werden, ob alle Patches und Updates\ - \ ordnungsgem\xE4\xDF eingespielt wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 - ref_id: APP.4.2.A30.3 - description: "Das SAP-Monitoring SOLLTE in die allgemeine System\xFCberwachung\ - \ der Institution integriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A31 - name: Konfiguration von SAP Single-Sign-On - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 - ref_id: APP.4.2.A31.1 - description: Sind mehrere SAP-ERP-Systeme vorhanden, SOLLTEN die Benutzenden - auf die Systeme mit SAP Single-Sign-On (SAP SSO) zugreifen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 - ref_id: APP.4.2.A31.2 - description: Es SOLLTE in der Planungsphase entschieden werden, zwischen welchen - SAP-ERP-Systemen der SSO-Mechanismus benutzt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 - ref_id: APP.4.2.A31.3 - description: Das SSO SOLLTE sicher konfiguriert und betrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 - ref_id: APP.4.2.A32 - name: "Echtzeiterfassung und Alarmierung von irregul\xE4ren Vorg\xE4ngen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 - ref_id: APP.4.2.A32.1 - description: "Die wichtigsten Sicherheitsaufzeichnungsfunktionen der SAP-ERP-Systeme\ - \ wie Security Audit Log oder System Log SOLLTEN kontinuierlich \xFCberwacht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 - ref_id: APP.4.2.A32.2 - description: "Bei verd\xE4chtigen Vorg\xE4ngen SOLLTEN automatisch die zust\xE4\ - ndigen Mitarbeitenden alarmiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 - ref_id: APP.4.2.A32.3 - description: "Um SAP-spezifische Sicherheitsvorf\xE4lle analysieren und Falschmeldungen\ - \ von echten Sicherheitsvorf\xE4llen abgrenzen zu k\xF6nnen, SOLLTEN entweder\ - \ Mitarbeitende geschult oder entsprechende Serviceleistungen von Drittanbietenden\ - \ genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.4.3 - name: Relationale Datenbanken - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A1 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Datenbanksysteme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr Datenbanksysteme erstellt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.2 - description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ - \ sein, wie Datenbanksysteme sicher betrieben werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.3 - description: "Die Richtlinie MUSS allen im Bereich Datenbanksysteme zust\xE4\ - ndigen Mitarbeitenden bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.4 - description: "Sie MUSS grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.5 - description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ - \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.6 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ - \ noch korrekt umgesetzt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 - ref_id: APP.4.3.A1.7 - description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A3 - name: "Basish\xE4rtung des Datenbankmanagementsystems" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 - ref_id: APP.4.3.A3.1 - description: "Das Datenbankmanagementsystem MUSS geh\xE4rtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 - ref_id: APP.4.3.A3.2 - description: "Hierf\xFCr MUSS eine Checkliste mit den durchzuf\xFChrenden Schritten\ - \ zusammengestellt und abgearbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 - ref_id: APP.4.3.A3.3 - description: "Passw\xF6rter D\xDCRFEN NICHT im Klartext gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 - ref_id: APP.4.3.A3.4 - description: "Die Basish\xE4rtung MUSS regelm\xE4\xDFig \xFCberpr\xFCft und,\ - \ falls erforderlich, angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A4 - name: Geregeltes Anlegen neuer Datenbanken - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 - ref_id: APP.4.3.A4.1 - description: "Neue Datenbanken M\xDCSSEN nach einem definierten Prozess angelegt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 - ref_id: APP.4.3.A4.2 - description: "Wenn eine neue Datenbank angelegt wird, M\xDCSSEN Grundinformationen\ - \ zur Datenbank nachvollziehbar dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A9 - name: Datensicherung eines Datenbanksystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.1 - description: "Es M\xDCSSEN regelm\xE4\xDFig Systemsicherungen des DBMS und der\ - \ Daten durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.2 - description: Auch bevor eine Datenbank neu erzeugt wird, MUSS das Datenbanksystem - gesichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.3 - description: "Hierf\xFCr SOLLTEN die daf\xFCr zul\xE4ssigen Dienstprogramme\ - \ benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.4 - description: Alle Transaktionen SOLLTEN so gesichert werden, dass sie jederzeit - wiederherstellbar sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.5 - description: "Wenn die Datensicherung die verf\xFCgbaren Kapazit\xE4ten \xFC\ - bersteigt, SOLLTE ein erweitertes Konzept erstellt werden, um die Datenbank\ - \ zu sichern, z. B. eine inkrementelle Sicherung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 - ref_id: APP.4.3.A9.6 - description: "Abh\xE4ngig vom Schutzbedarf der Daten SOLLTEN die Wiederherstellungsparameter\ - \ vorgegeben werden (siehe CON.3 Datensicherungskonzept)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A11 - name: Ausreichende Dimensionierung der Hardware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 - ref_id: APP.4.3.A11.1 - description: Datenbankmanagementsysteme SOLLTEN auf ausreichend dimensionierter - Hardware installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 - ref_id: APP.4.3.A11.2 - description: "Die Hardware SOLLTE \xFCber gen\xFCgend Reserven verf\xFCgen,\ - \ um auch eventuell steigenden Anforderungen gerecht zu werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 - ref_id: APP.4.3.A11.3 - description: "Zeichnen sich trotzdem w\xE4hrend des Betriebs Ressourcenengp\xE4\ - sse ab, SOLLTEN diese fr\xFChzeitig behoben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 - ref_id: APP.4.3.A11.4 - description: "Wenn die Hardware dimensioniert wird, SOLLTE das erwartete Wachstum\ - \ f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A12 - name: Einheitlicher Konfigurationsstandard von Datenbankmanagementsystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 - ref_id: APP.4.3.A12.1 - description: "F\xFCr alle eingesetzten Datenbankmanagementsysteme SOLLTE ein\ - \ einheitlicher Konfigurationsstandard definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 - ref_id: APP.4.3.A12.2 - description: Alle Datenbankmanagementsysteme SOLLTEN nach diesem Standard konfiguriert - und einheitlich betrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 - ref_id: APP.4.3.A12.3 - description: Falls es bei einer Installation notwendig ist, vom Konfigurationsstandard - abzuweichen, SOLLTEN alle Schritte von dem oder der ISB freigegeben und nachvollziehbar - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 - ref_id: APP.4.3.A12.4 - description: "Der Konfigurationsstandard SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft und, falls erforderlich, angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A13 - name: Restriktive Handhabung von Datenbank-Links - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 - ref_id: APP.4.3.A13.1 - description: "Es SOLLTE sichergestellt sein, dass nur Zust\xE4ndige dazu berechtigt\ - \ sind, Datenbank-Links (DB-Links) anzulegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 - ref_id: APP.4.3.A13.2 - description: "Werden solche Links angelegt, M\xDCSSEN so genannte Private DB-Links\ - \ vor Public DB-Links bevorzugt angelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 - ref_id: APP.4.3.A13.3 - description: "Alle von den Zust\xE4ndigen angelegten DB-Links SOLLTEN dokumentiert\ - \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 - ref_id: APP.4.3.A13.4 - description: "Zudem SOLLTEN DB-Links mitber\xFCcksichtigt werden, wenn das Datenbanksystem\ - \ gesichert wird (siehe APP.4.3.A9 Datensicherung eines Datenbanksystems)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A16 - name: "Verschl\xFCsselung der Datenbankanbindung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 - ref_id: APP.4.3.A16.1 - description: "Das Datenbankmanagementsystem SOLLTE so konfiguriert werden, dass\ - \ Datenbankverbindungen immer verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 - ref_id: APP.4.3.A16.2 - description: Die dazu eingesetzten kryptografischen Verfahren und Protokolle - SOLLTEN den internen Vorgaben der Institution entsprechen (siehe CON.1 Kryptokonzept). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A17 - name: "Daten\xFCbernahme oder Migration" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 - ref_id: APP.4.3.A17.1 - description: "Es SOLLTE vorab definiert werden, wie initial oder regelm\xE4\xDF\ - ig Daten in eine Datenbank \xFCbernommen werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 - ref_id: APP.4.3.A17.2 - description: "Nachdem Daten \xFCbernommen wurden, SOLLTE gepr\xFCft werden,\ - \ ob sie vollst\xE4ndig und unver\xE4ndert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A18 - name: "\xDCberwachung des Datenbankmanagementsystems" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.1 - description: "Die f\xFCr den sicheren Betrieb kritischen Parameter, Ereignisse\ - \ und Betriebszust\xE4nde des Datenbankmanagementsystems SOLLTEN definiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.2 - description: "Diese SOLLTEN mithilfe eines Monitoring-Systems \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.3 - description: "F\xFCr alle kritischen Parameter, Ereignisse und Betriebszust\xE4\ - nde SOLLTEN Schwellwerte festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.4 - description: "Wenn diese Werte \xFCberschritten werden, MUSS geeignet reagiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.5 - description: "Hierbei SOLLTEN die zust\xE4ndigen Mitarbeitenden alarmiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 - ref_id: APP.4.3.A18.6 - description: "Anwendungsspezifische Parameter, Ereignisse, Betriebszust\xE4\ - nde und deren Schwellwerte SOLLTEN mit den Zust\xE4ndigen f\xFCr die Fachanwendungen\ - \ abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A19 - name: "Schutz vor sch\xE4dlichen Datenbank-Skripten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 - ref_id: APP.4.3.A19.1 - description: "Werden Datenbank-Skripte entwickelt, SOLLTEN daf\xFCr verpflichtende\ - \ Qualit\xE4tskriterien definiert werden (siehe CON.8 Software-Entwicklung)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 - ref_id: APP.4.3.A19.2 - description: "Datenbank-Skripte SOLLTEN ausf\xFChrlichen Funktionstests auf\ - \ gesonderten Testsystemen unterzogen werden, bevor sie produktiv eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 - ref_id: APP.4.3.A19.3 - description: Die Ergebnisse SOLLTEN dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A20 - name: "Regelm\xE4\xDFige Audits" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.1 - description: "Bei allen Komponenten des Datenbanksystems SOLLTE regelm\xE4\xDF\ - ig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen umgesetzt\ - \ und diese korrekt konfiguriert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.2 - description: "Dabei SOLLTE gepr\xFCft werden, ob der dokumentierte Stand dem\ - \ Ist-Zustand entspricht und ob die Konfiguration des Datenbankmanagementsystems\ - \ der dokumentierten Standardkonfiguration entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.3 - description: "Zudem SOLLTE gepr\xFCft werden, ob alle Datenbank-Skripte ben\xF6\ - tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.4 - description: "Auch SOLLTE gepr\xFCft werden, ob sie dem Qualit\xE4tsstandard\ - \ der Institution gen\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.5 - description: "Zus\xE4tzlich SOLLTEN die Protokolldateien des Datenbanksystems\ - \ und des Betriebssystems nach Auff\xE4lligkeiten untersucht werden (siehe\ - \ DER.1 Detektion von sicherheitsrelevanten Ereignissen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.6 - description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.7 - description: Sie SOLLTEN mit dem Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 - ref_id: APP.4.3.A20.8 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A21 - name: Einsatz von Datenbank Security Tools - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.1 - description: "Es SOLLTEN Informationssicherheitsprodukte f\xFCr Datenbanken\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.2 - description: 'Die eingesetzten Produkte SOLLTEN folgende Funktionen bereitstellen:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.3 - description: "\u2022 Erstellung einer \xDCbersicht \xFCber alle Datenbanksysteme," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.4 - description: "\u2022 erweiterte Konfigurationsm\xF6glichkeiten und Rechtemanagement\ - \ der Datenbanken," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.5 - description: "\u2022 Erkennung und Unterbindung von m\xF6glichen Angriffen (z.\ - \ B. Brute Force Angriffe auf Konten, SQL-Injection) und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 - ref_id: APP.4.3.A21.6 - description: "\u2022 Auditfunktionen (z. B. \xDCberpr\xFCfung von Konfigurationsvorgaben)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A22 - name: Notfallvorsorge - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - ref_id: APP.4.3.A22.1 - description: "F\xFCr das Datenbankmanagementsystem SOLLTE ein Notfallplan erstellt\ - \ werden, der festlegt, wie ein Notbetrieb realisiert werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - ref_id: APP.4.3.A22.2 - description: "Die f\xFCr den Notfallplan notwendigen Ressourcen SOLLTEN ermittelt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - ref_id: APP.4.3.A22.3 - description: "Zus\xE4tzlich SOLLTE der Notfallplan definieren, wie aus dem Notbetrieb\ - \ der Regelbetrieb wiederhergestellt werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - ref_id: APP.4.3.A22.4 - description: "Der Notfallplan SOLLTE die n\xF6tigen Meldewege, Reaktionswege,\ - \ Ressourcen und Reaktionszeiten der Fachverantwortlichen festlegen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 - ref_id: APP.4.3.A22.5 - description: "Auf Basis eines Koordinationsplans zum Wiederanlauf SOLLTEN alle\ - \ von der Datenbank abh\xE4ngigen IT-Systeme vorab ermittelt und ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A23 - name: Archivierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.1 - description: Ist es erforderlich, Daten eines Datenbanksystems zu archivieren, - SOLLTE ein entsprechendes Archivierungskonzept erstellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.2 - description: "Es SOLLTE sichergestellt sein, dass die Datenbest\xE4nde zu einem\ - \ sp\xE4teren Zeitpunkt wieder vollst\xE4ndig und konsistent verf\xFCgbar\ - \ sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.3 - description: Im Archivierungskonzept SOLLTEN sowohl die Intervalle der Archivierung - als auch die Vorhaltefristen der archivierten Daten festgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.4 - description: "Zus\xE4tzlich SOLLTE dokumentiert werden, mit welcher Technik\ - \ die Datenbanken archiviert wurden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.5 - description: "Mit den archivierten Daten SOLLTEN regelm\xE4\xDFig Wiederherstellungstests\ - \ durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 - ref_id: APP.4.3.A23.6 - description: Die Ergebnisse SOLLTEN dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A24 - name: "Datenverschl\xFCsselung in der Datenbank" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.1 - description: "Die Daten in den Datenbanken SOLLTEN verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.2 - description: 'Dabei SOLLTEN vorher unter anderem folgende Faktoren betrachtet - werden:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.3 - description: "\u2022 Einfluss auf die Performance," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.4 - description: "\u2022 Schl\xFCsselverwaltungsprozesse und -verfahren, einschlie\xDF\ - lich separater Schl\xFCsselaufbewahrung und -sicherung," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.5 - description: "\u2022 Einfluss auf Backup-Recovery-Konzepte," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 - ref_id: APP.4.3.A24.6 - description: "\u2022 funktionale Auswirkungen auf die Datenbank, beispielsweise\ - \ Sortierm\xF6glichkeiten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 - ref_id: APP.4.3.A25 - name: "Sicherheitspr\xFCfungen von Datenbanksystemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 - ref_id: APP.4.3.A25.1 - description: "Datenbanksysteme SOLLTEN regelm\xE4\xDFig mithilfe von Sicherheitspr\xFC\ - fungen kontrolliert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 - ref_id: APP.4.3.A25.2 - description: "Bei den Sicherheitspr\xFCfungen SOLLTEN die systemischen und spezifischen\ - \ Aspekte des herstellenden Unternehmens der eingesetzten Datenbank-Infrastruktur\ - \ (z. B. Verzeichnisdienste) sowie des eingesetzten Datenbankmanagementsystems\ - \ betrachtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.4.4 - name: Kubernetes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A1 - name: Planung der Separierung der Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.1 - description: Vor der Inbetriebnahme MUSS geplant werden, wie die in den Pods - betriebenen Anwendungen und deren unterschiedlichen Test- und Produktions-Betriebsumgebungen - separiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.2 - description: Auf Basis des Schutzbedarfs der Anwendungen MUSS festgelegt werden, - welche Architektur der Namespaces, Meta-Tags, Cluster und Netze angemessen - auf die Risiken eingeht und ob auch virtualisierte Server und Netze zum Einsatz - kommen sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.3 - description: Die Planung MUSS Regelungen zu Netz-, CPU- und Festspeicherseparierung - enthalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.4 - description: Die Separierung SOLLTE auch das Netzzonenkonzept und den Schutzbedarf - beachten und auf diese abgestimmt sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.5 - description: Anwendungen SOLLTEN jeweils in einem eigenen Kubernetes-Namespace - laufen, der alle Programme der Anwendung umfasst. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 - ref_id: APP.4.4.A1.6 - description: "Nur Anwendungen mit \xE4hnlichem Schutzbedarf und \xE4hnlichen\ - \ m\xF6glichen Angriffsvektoren SOLLTEN einen Kubernetes-Cluster teilen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A2 - name: Planung der Automatisierung mit CI/CD - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 - ref_id: APP.4.4.A2.1 - description: Wenn eine Automatisierung des Betriebs von Anwendungen in Kubernetes - mithilfe von CI/CD stattfindet, DARF diese NUR nach einer geeigneten Planung - erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 - ref_id: APP.4.4.A2.2 - description: "Die Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ - \ Au\xDFerbetriebnahme inklusive Entwicklung, Tests, Betrieb, \xDCberwachung\ - \ und Updates umfassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 - ref_id: APP.4.4.A2.3 - description: "Das Rollen- und Rechtekonzept sowie die Absicherung von Kubernetes\ - \ Secrets M\xDCSSEN Teil der Planung sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A3 - name: "Identit\xE4ts- und Berechtigungsmanagement bei Kubernetes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.1 - description: "Kubernetes und alle anderen Anwendungen der Control Plane M\xDC\ - SSEN jede Aktion eines Benutzenden oder, im automatisierten Betrieb, einer\ - \ entsprechenden Software authentifizieren und autorisieren, unabh\xE4ngig\ - \ davon, ob die Aktionen \xFCber einen Client, eine Weboberfl\xE4che oder\ - \ \xFCber eine entsprechende Schnittstelle (API) erfolgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.2 - description: "Administrative Handlungen D\xDCRFEN NICHT anonym erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.3 - description: "Benutzende D\xDCRFEN NUR die unbedingt notwendigen Rechte erhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.4 - description: "Berechtigungen ohne Einschr\xE4nkungen M\xDCSSEN sehr restriktiv\ - \ vergeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.5 - description: Nur ein kleiner Kreis von Personen SOLLTE berechtigt sein, Prozesse - der Automatisierung zu definieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 - ref_id: APP.4.4.A3.6 - description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes das\ - \ Recht erhalten, Freigaben f\xFCr Festspeicher (Persistent Volumes) anzulegen\ - \ oder zu \xE4ndern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A4 - name: Separierung von Pods - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 - ref_id: APP.4.4.A4.1 - description: "Der Betriebssystem-Kernel der Nodes MUSS \xFCber Isolationsmechanismen\ - \ zur Beschr\xE4nkung von Sichtbarkeit und Ressourcennutzung der Pods untereinander\ - \ verf\xFCgen (vergleiche Linux Namespaces und cgroups)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 - ref_id: APP.4.4.A4.2 - description: Die Trennung MUSS dabei mindestens IDs von Prozessen sowie Benutzenden, - Inter-Prozess-Kommunikation, Dateisystem und Netz inklusive Hostname umfassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A5 - name: Datensicherung im Cluster - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.1 - description: Es MUSS eine Datensicherung des Clusters erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.2 - description: 'Die Datensicherung MUSS umfassen:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.3 - description: "\u2022 Festspeicher (Persistent Volumes)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.4 - description: "\u2022 Konfigurationsdateien von Kubernetes und den weiteren Programmen\ - \ der Control Plane," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.5 - description: "\u2022 den aktuellen Zustand des Kubernetes-Clusters inklusive\ - \ der Erweiterungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.6 - description: "\u2022 Datenbanken der Konfiguration, namentlich hier etcd," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.7 - description: "\u2022 alle Infrastrukturanwendungen, die zum Betrieb des Clusters\ - \ und der darin befindlichen Dienste notwendig sind und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.8 - description: "\u2022 die Datenhaltung der Code und Image Registries." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.9 - description: "Es SOLLTEN auch Snapshots f\xFCr den Betrieb der Anwendungen betrachtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 - ref_id: APP.4.4.A5.10 - description: "Snapshots D\xDCRFEN die Datensicherung NICHT ersetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A6 - name: Initialisierung von Pods - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 - ref_id: APP.4.4.A6.1 - description: Sofern im Pod zum Start eine Initialisierung z. B. einer Anwendung - erfolgt, SOLLTE diese in einem eigenen Init-Container stattfinden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 - ref_id: APP.4.4.A6.2 - description: Es SOLLTE sichergestellt sein, dass die Initialisierung alle bereits - laufenden Prozesse beendet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 - ref_id: APP.4.4.A6.3 - description: Kubernetes SOLLTE nur bei erfolgreicher Initialisierung die weiteren - Container starten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A7 - name: Separierung der Netze bei Kubernetes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - ref_id: APP.4.4.A7.1 - description: "Die Netze f\xFCr die Administration der Nodes, der Control Plane\ - \ sowie die einzelnen Netze der Anwendungsdienste SOLLTEN separiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - ref_id: APP.4.4.A7.2 - description: "Es SOLLTEN NUR die f\xFCr den Betrieb notwendigen Netzports der\ - \ Pods in die daf\xFCr vorgesehenen Netze freigegeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - ref_id: APP.4.4.A7.3 - description: "Bei mehreren Anwendungen auf einem Kubernetes-Cluster SOLLTEN\ - \ zun\xE4chst alle Netzverbindungen zwischen den Kubernetes-Namespaces untersagt\ - \ und nur ben\xF6tigte Netzverbindungen gestattet sein (Whitelisting)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - ref_id: APP.4.4.A7.4 - description: "Die zur Administration der Nodes, der Runtime und von Kubernetes\ - \ inklusive seiner Erweiterungen notwendigen Netzports SOLLTEN NUR aus dem\ - \ Administrationsnetz und von Pods, die diese ben\xF6tigen, erreichbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 - ref_id: APP.4.4.A7.5 - description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes berechtigt\ - \ sein, das CNI zu verwalten und Regeln f\xFCr das Netz anzulegen oder zu\ - \ \xE4ndern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A8 - name: Absicherung von Konfigurationsdateien bei Kubernetes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 - ref_id: APP.4.4.A8.1 - description: Die Konfigurationsdateien des Kubernetes-Clusters, inklusive aller - Erweiterungen und Anwendungen, SOLLTEN versioniert und annotiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 - ref_id: APP.4.4.A8.2 - description: Zugangsrechte auf die Verwaltungssoftware der Konfigurationsdateien - SOLLTEN minimal vergeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 - ref_id: APP.4.4.A8.3 - description: "Zugriffsrechte f\xFCr lesenden und schreibenden Zugriff auf die\ - \ Konfigurationsdateien der Control Plane SOLLTEN besonders sorgf\xE4ltig\ - \ vergeben und eingeschr\xE4nkt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A9 - name: Nutzung von Kubernetes Service-Accounts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.1 - description: Pods SOLLTEN NICHT den "default"-Service-Account nutzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.2 - description: "Dem \"default\"-Service-Account SOLLTEN keine Rechte einger\xE4\ - umt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.3 - description: "Pods f\xFCr unterschiedliche Anwendungen SOLLTEN jeweils unter\ - \ eigenen Service-Accounts laufen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.4 - description: "Berechtigungen f\xFCr die Service-Accounts der Pods der Anwendungen\ - \ SOLLTEN auf die unbedingt notwendigen Rechte beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.5 - description: "Pods, die keinen Service-Account ben\xF6tigen, SOLLTEN diesen\ - \ nicht einsehen k\xF6nnen und keinen Zugriff auf entsprechende Token haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.6 - description: "Nur Pods der Control Plane und Pods, die diese unbedingt ben\xF6\ - tigen, SOLLTEN privilegierte Service-Accounts nutzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 - ref_id: APP.4.4.A9.7 - description: "Programme der Automatisierung SOLLTEN jeweils eigene Token erhalten,\ - \ auch wenn sie aufgrund \xE4hnlicher Aufgaben einen gemeinsamen Service-Account\ - \ nutzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A10 - name: Absicherung von Prozessen der Automatisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 - ref_id: APP.4.4.A10.1 - description: Alle Prozesse der Automatisierungssoftware, wie CI/CD und deren - Pipelines, SOLLTEN nur mit unbedingt notwendigen Rechten arbeiten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 - ref_id: APP.4.4.A10.2 - description: "Wenn unterschiedliche Gruppen von Benutzenden die Konfiguration\ - \ \xFCber die Automatisierungssoftware ver\xE4ndern oder Pods starten k\xF6\ - nnen, SOLLTE dies f\xFCr jede Gruppe durch eigene Prozesse durchgef\xFChrt\ - \ werden, die nur die f\xFCr die jeweilige Gruppe notwendigen Rechte besitzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A11 - name: "\xDCberwachung der Container" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - ref_id: APP.4.4.A11.1 - description: "In Pods SOLLTE jeder Container einen Health Check f\xFCr den Start\ - \ und den Betrieb (\u201Ereadiness\u201C und \u201Eliveness\u201C) definieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - ref_id: APP.4.4.A11.2 - description: "Diese Checks SOLLTEN Auskunft \xFCber die Verf\xFCgbarkeit der\ - \ im Pod ausgef\xFChrten Software geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - ref_id: APP.4.4.A11.3 - description: "Die Checks SOLLTEN fehlschlagen, wenn die \xFCberwachte Software\ - \ ihre Aufgaben nicht ordnungsgem\xE4\xDF wahrnehmen kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - ref_id: APP.4.4.A11.4 - description: "F\xFCr jede dieser Kontrollen SOLLTE eine dem im Pod betriebenen\ - \ Dienst angemessene Zeitspanne definieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 - ref_id: APP.4.4.A11.5 - description: "Auf Basis dieser Checks SOLLTE Kubernetes die Pods l\xF6schen\ - \ oder neu starten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A12 - name: Absicherung der Infrastruktur-Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.1 - description: "Sofern eine eigene Registry f\xFCr Images oder eine Software zur\ - \ Automatisierung, zur Verwaltung des Festspeichers, zur Speicherung von Konfigurationsdateien\ - \ oder \xE4hnliches im Einsatz ist, SOLLTE deren Absicherung mindestens betrachten:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.2 - description: "\u2022 Verwendung von personenbezogenen und Service-Accounts f\xFC\ - r den Zugang," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.3 - description: "\u2022 verschl\xFCsselte Kommunikation auf allen Netzports," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.4 - description: "\u2022 minimale Vergabe der Berechtigungen an Benutzende und Service\ - \ Accounts," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.5 - description: "\u2022 Protokollierung der Ver\xE4nderungen und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 - ref_id: APP.4.4.A12.6 - description: "\u2022 regelm\xE4\xDFige Datensicherung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A13 - name: Automatisierte Auditierung der Konfiguration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 - ref_id: APP.4.4.A13.1 - description: Es SOLLTE ein automatisches Audit der Einstellungen der Nodes, - von Kubernetes und der Pods der Anwendungen gegen eine definierte Liste der - erlaubten Einstellungen und gegen standardisierte Benchmarks erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 - ref_id: APP.4.4.A13.2 - description: Kubernetes SOLLTE die aufgestellten Regeln im Cluster durch Anbindung - geeigneter Werkzeuge durchsetzen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A14 - name: Verwendung dedizierter Nodes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 - ref_id: APP.4.4.A14.1 - description: In einem Kubernetes-Cluster SOLLTEN die Nodes dedizierte Aufgaben - zugewiesen bekommen und jeweils nur Pods betreiben, welche der jeweiligen - Aufgabe zugeordnet sind. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 - ref_id: APP.4.4.A14.2 - description: "Bastion Nodes SOLLTEN alle ein- und ausgehenden Datenverbindungen\ - \ der Anwendungen zu anderen Netzen \xFCbernehmen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 - ref_id: APP.4.4.A14.3 - description: "Management Nodes SOLLTEN die Pods der Control Plane betreiben\ - \ und sie SOLLTEN nur die Datenverbindungen der Control Plane \xFCbernehmen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 - ref_id: APP.4.4.A14.4 - description: Sofern eingesetzt, SOLLTEN Speicher-Nodes nur die Pods der Festspeicherdienste - im Cluster betreiben. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A15 - name: Trennung von Anwendungen auf Node- und Cluster-Ebene - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15 - ref_id: APP.4.4.A15.1 - description: "Anwendungen mit einem sehr hohen Schutzbedarf SOLLTEN jeweils\ - \ eigene Kubernetes-Cluster oder dedizierte Nodes nutzen, die nicht f\xFC\ - r andere Anwendungen bereitstehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A16 - name: Verwendung von Operatoren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16 - ref_id: APP.4.4.A16.1 - description: Die Automatisierung von Betriebsaufgaben in Operatoren SOLLTE bei - besonders kritischen Anwendungen und den Programmen der Control Plane zum - Einsatz kommen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A17 - name: Attestierung von Nodes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 - ref_id: APP.4.4.A17.1 - description: "Nodes SOLLTEN eine kryptografisch und m\xF6glichst mit einem TPM\ - \ verifizierte gesicherte Zustandsmeldung an die Control Plane senden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 - ref_id: APP.4.4.A17.2 - description: Die Control Plane SOLLTE nur Nodes in den Cluster aufnehmen, die - erfolgreich ihre Unversehrtheit nachweisen konnten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A18 - name: Verwendung von Mikro-Segmentierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 - ref_id: APP.4.4.A18.1 - description: "Die Pods SOLLTEN auch innerhalb eines Kubernetes-Namespace nur\ - \ \xFCber die notwendigen Netzports miteinander kommunizieren k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 - ref_id: APP.4.4.A18.2 - description: "Es SOLLTEN Regeln innerhalb des CNI existieren, die alle bis auf\ - \ die f\xFCr den Betrieb notwendigen Netzverbindungen innerhalb des Kubernetes-Namespace\ - \ unterbinden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 - ref_id: APP.4.4.A18.3 - description: "Diese Regeln SOLLTEN Quelle und Ziel der Verbindungen genau definieren\ - \ und daf\xFCr mindestens eines der folgenden Kriterien nutzen: Service-Name,\ - \ Metadaten (\u201ELabels\"), die Kubernetes Service Accounts oder zertifikatsbasierte\ - \ Authentifizierung." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 - ref_id: APP.4.4.A18.4 - description: "Alle Kriterien, die als Bezeichnung f\xFCr diese Verbindung dienen,\ - \ SOLLTEN so abgesichert sein, dass sie nur von berechtigten Personen und\ - \ Verwaltungs-Diensten ver\xE4ndert werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A19 - name: "Hochverf\xFCgbarkeit von Kubernetes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 - ref_id: APP.4.4.A19.1 - description: "Der Betrieb SOLLTE so aufgebaut sein, dass bei Ausfall eines Standortes\ - \ die Cluster und damit die Anwendungen in den Pods entweder ohne Unterbrechung\ - \ weiterlaufen oder in kurzer Zeit an einem anderen Standort neu anlaufen\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 - ref_id: APP.4.4.A19.2 - description: "F\xFCr den Wiederanlauf SOLLTEN alle notwendigen Konfigurationsdateien,\ - \ Images, Nutzdaten, Netzverbindungen und sonstige f\xFCr den Betrieb ben\xF6\ - tigten Ressourcen inklusive der zum Betrieb n\xF6tigen Hardware bereits an\ - \ diesem Standort verf\xFCgbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 - ref_id: APP.4.4.A19.3 - description: "F\xFCr den unterbrechungsfreien Betrieb des Clusters SOLLTEN die\ - \ Control Plane von Kubernetes, die Infrastruktur-Anwendungen der Cluster\ - \ sowie die Pods der Anwendungen anhand von Standort-Daten der Nodes \xFC\ - ber mehrere Brandabschnitte so verteilt werden, dass der Ausfall eines Brandabschnitts\ - \ nicht zum Ausfall der Anwendung f\xFChrt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A20 - name: "Verschl\xFCsselte Datenhaltung bei Pods" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20 - ref_id: APP.4.4.A20.1 - description: "Die Dateisysteme mit den persistenten Daten der Control Plane\ - \ (hier besonders etcd) und der Anwendungsdienste SOLLTEN verschl\xFCsselt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 - ref_id: APP.4.4.A21 - name: "Regelm\xE4\xDFiger Restart von Pods" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 - ref_id: APP.4.4.A21.1 - description: "Bei einem erh\xF6hten Risiko f\xFCr Fremdeinwirkung und einem\ - \ sehr hohen Schutzbedarf SOLLTEN Pods regelm\xE4\xDFig gestoppt und neu gestartet\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 - ref_id: APP.4.4.A21.2 - description: "Kein Pod SOLLTE l\xE4nger als 24 Stunden laufen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 - ref_id: APP.4.4.A21.3 - description: "Dabei SOLLTE die Verf\xFCgbarkeit der Anwendungen im Pod sichergestellt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.4.6 - name: SAP ABAP-Programmierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A1 - name: "Absicherung von Reports mit Berechtigungspr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 - ref_id: APP.4.6.A1.1 - description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen selbst\ - \ programmierte Auswertungen (Reports) starten k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 - ref_id: APP.4.6.A1.2 - description: "Deswegen MUSS jeder Report explizite, zum Kontext passende Berechtigungspr\xFC\ - fungen durchf\xFChren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A2 - name: "Formal korrekte Auswertung von Berechtigungspr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2 - ref_id: APP.4.6.A2.1 - description: "Jede Berechtigungspr\xFCfung im Code MUSS durch Abfrage des R\xFC\ - ckgabewertes SY-SUBRC ausgewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A3 - name: "Berechtigungspr\xFCfung vor dem Start einer Transaktion" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3 - ref_id: APP.4.6.A3.1 - description: "Wenn Entwickelnde den Befehl CALL TRANSACTION verwenden, MUSS\ - \ vorher immer eine Startberechtigungspr\xFCfung durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A4 - name: "Verzicht auf propriet\xE4re Berechtigungspr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 - ref_id: APP.4.6.A4.1 - description: "Jede Berechtigungspr\xFCfung MUSS technisch \xFCber den daf\xFC\ - r vorgesehenen Befehl AUTHORITY-CHECK erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 - ref_id: APP.4.6.A4.2 - description: "Propriet\xE4re Berechtigungspr\xFCfungen, z. B. basierend auf\ - \ Konto-Kennungen, D\xDCRFEN NICHT benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A5 - name: "Erstellung einer Richtlinie f\xFCr die ABAP-Entwicklung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 - ref_id: APP.4.6.A5.1 - description: "Es SOLLTE eine Richtlinie f\xFCr die Entwicklung von ABAP-Programmen\ - \ erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 - ref_id: APP.4.6.A5.2 - description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ - \ ABAP-Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFC\ - rfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 - ref_id: APP.4.6.A5.3 - description: Die Anforderungen aus diesem Baustein SOLLTEN in die Richtlinie - aufgenommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 - ref_id: APP.4.6.A5.4 - description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A6 - name: "Vollst\xE4ndige Ausf\xFChrung von Berechtigungspr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 - ref_id: APP.4.6.A6.1 - description: "Bei einer Berechtigungspr\xFCfung im ABAP-Code (AUTHORITY-CHECK\ - \ ) SOLLTE sichergestellt sein, dass alle Felder des relevanten Berechtigungsobjekts\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 - ref_id: APP.4.6.A6.2 - description: "Wenn einzelne Felder tats\xE4chlich nicht ben\xF6tigt werden,\ - \ SOLLTEN sie als DUMMY gekennzeichnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 - ref_id: APP.4.6.A6.3 - description: "Zus\xE4tzlich SOLLTE am Feld der Grund f\xFCr die Ausnahme dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A7 - name: "Berechtigungspr\xFCfung w\xE4hrend der Eingabeverarbeitung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 - ref_id: APP.4.6.A7.1 - description: Funktionscodes und Bildschirmelemente von ABAP-Dynpro-Anwendungen - SOLLTEN konsistent sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 - ref_id: APP.4.6.A7.2 - description: "Wenn ein Bildschirmelement abgeschaltet wurde, dann SOLLTE eine\ - \ Anwendung NICHT ohne ad\xE4quate Berechtigungspr\xFCfungen auf Ereignisse\ - \ dieses Elements reagieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 - ref_id: APP.4.6.A7.3 - description: "Wenn bestimmte Eintr\xE4ge eines Dynpro-Men\xFCs ausgeblendet\ - \ oder einzelne Schaltfl\xE4chen deaktiviert werden, dann SOLLTEN auch die\ - \ zugeh\xF6rigen Funktionscodes nicht ausgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A8 - name: Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8 - ref_id: APP.4.6.A8.1 - description: "Wenn Zugriffe auf Dateien des SAP-Servers von Eingaben der Benutzenden\ - \ abh\xE4ngen, SOLLTEN diese Eingaben vor dem Zugriff validiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A9 - name: "Berechtigungspr\xFCfung in remote-f\xE4higen Funktionsbausteinen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9 - ref_id: APP.4.6.A9.1 - description: "Es SOLLTE sichergestellt werden, dass alle remote-f\xE4higen Funktionsbausteine\ - \ im Programmcode explizit pr\xFCfen, ob der Aufrufende berechtigt ist, die\ - \ zugeh\xF6rige Businesslogik auszuf\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A10 - name: "Verhinderung der Ausf\xFChrung von Betriebssystemkommandos" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 - ref_id: APP.4.6.A10.1 - description: "Jedem Aufruf eines erlaubten Betriebssystemkommandos SOLLTE eine\ - \ entsprechende Berechtigungspr\xFCfung (Berechtigungsobjekt S_LOG_COM) vorangestellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 - ref_id: APP.4.6.A10.2 - description: Eingaben von Benutzenden SOLLTEN NICHT Teil eines Kommandos sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 - ref_id: APP.4.6.A10.3 - description: "Deswegen SOLLTEN Betriebssystemaufrufe ausschlie\xDFlich \xFC\ - ber daf\xFCr vorgesehene SAP-Standardfunktionsbausteine ausgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A11 - name: Vermeidung von eingeschleustem Schadcode - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11 - ref_id: APP.4.6.A11.1 - description: Die ABAP-Befehle INSERT REPORT und GENERATE SUBROUTINE POOL SOLLTEN - NICHT verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A12 - name: "Vermeidung von generischer Modulausf\xFChrung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 - ref_id: APP.4.6.A12.1 - description: "Transaktionen, Programme, Funktionsbausteine und Methoden SOLLTEN\ - \ NICHT generisch ausf\xFChrbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 - ref_id: APP.4.6.A12.2 - description: "Sollte es wichtige Gr\xFCnde f\xFCr eine generische Ausf\xFChrung\ - \ geben, SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 - ref_id: APP.4.6.A12.3 - description: "Zus\xE4tzlich SOLLTE eine Allowlist definiert werden, die alle\ - \ erlaubten Module enth\xE4lt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 - ref_id: APP.4.6.A12.4 - description: Bevor ein Modul aufgerufen wird, SOLLTE die Eingabe von Benutzenden - mit der Allowlist abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A13 - name: Vermeidung von generischem Zugriff auf Tabelleninhalte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 - ref_id: APP.4.6.A13.1 - description: Tabelleninhalte SOLLTEN NICHT generisch ausgelesen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 - ref_id: APP.4.6.A13.2 - description: "Sollte es wichtige Gr\xFCnde daf\xFCr geben, dies doch zu tun,\ - \ SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 - ref_id: APP.4.6.A13.3 - description: "Au\xDFerdem SOLLTE dann gew\xE4hrleistet sein, dass sich der dynamische\ - \ Tabellenname auf eine kontrollierbare Liste von Werten beschr\xE4nkt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A14 - name: Vermeidung von nativen SQL-Anweisungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 - ref_id: APP.4.6.A14.1 - description: Die Schnittstelle ABAP Database Connectivity (ADBC) SOLLTE NICHT - verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 - ref_id: APP.4.6.A14.2 - description: Eingaben von Benutzenden SOLLTEN NICHT Teil von ADBC-Befehlen sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A15 - name: Vermeidung von Datenlecks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 - ref_id: APP.4.6.A15.1 - description: "Es SOLLTE eine ausreichend sichere Berechtigungspr\xFCfung durchgef\xFC\ - hrt werden, bevor gesch\xE4ftskritische Daten angezeigt, \xFCbermittelt oder\ - \ exportiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 - ref_id: APP.4.6.A15.2 - description: "Vorgesehene (gewollte) M\xF6glichkeiten des Exports SOLLTEN dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A16 - name: "Verzicht auf systemabh\xE4ngige Funktionsausf\xFChrung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 - ref_id: APP.4.6.A16.1 - description: "ABAP-Programme SOLLTEN NICHT systemabh\xE4ngig programmiert werden,\ - \ so dass sie nur auf einem bestimmten SAP-System ausgef\xFChrt werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 - ref_id: APP.4.6.A16.2 - description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 - ref_id: APP.4.6.A16.3 - description: "Au\xDFerdem SOLLTE der Code dann manuell \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A17 - name: "Verzicht auf mandantenabh\xE4ngige Funktionsausf\xFChrung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 - ref_id: APP.4.6.A17.1 - description: "ABAP-Programme SOLLTEN NICHT mandantenabh\xE4ngig programmiert\ - \ werden, so dass sie nur von einem bestimmten Mandanten ausgef\xFChrt werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 - ref_id: APP.4.6.A17.2 - description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 - ref_id: APP.4.6.A17.3 - description: "Au\xDFerdem SOLLTEN dann zus\xE4tzliche Sicherheitsma\xDFnahmen\ - \ ergriffen werden, wie beispielsweise eine manuelle Code-\xDCberpr\xFCfung\ - \ (manuelles Code-Review) oder eine Qualit\xE4tssicherung auf dem entsprechenden\ - \ Mandanten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A18 - name: Vermeidung von Open-SQL-Injection-Schwachstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 - ref_id: APP.4.6.A18.1 - description: Dynamisches Open SQL SOLLTE NICHT verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 - ref_id: APP.4.6.A18.2 - description: "Falls Datenbankzugriffe mit dynamischen SQL-Bedingungen notwendig\ - \ sind, SOLLTEN KEINE Eingaben von Benutzenden in der jeweiligen Abfrage \xFC\ - bertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 - ref_id: APP.4.6.A18.3 - description: "Wenn das dennoch der Fall ist, SOLLTEN die Eingaben von Benutzenden\ - \ zwingend gepr\xFCft werden (Output Encoding)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A19 - name: Schutz vor Cross-Site-Scripting - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19 - ref_id: APP.4.6.A19.1 - description: "Auf selbst entwickeltes HTML in Business-Server-Pages-(BSP)-Anwendungen\ - \ oder HTTP-Handlern SOLLTE m\xF6glichst verzichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A20 - name: Keine Zugriffe auf Daten eines anderen Mandanten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 - ref_id: APP.4.6.A20.1 - description: Die automatische Mandantentrennung SOLLTE NICHT umgangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 - ref_id: APP.4.6.A20.2 - description: Auf Daten anderer Mandanten SOLLTE NICHT mittels EXEC SQL oder - der Open SQL Option CLIENT SPECIFIED zugegriffen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A21 - name: Verbot von verstecktem ABAP-Quelltext - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 - ref_id: APP.4.6.A21.1 - description: Der Quelltext eines selbst erstellten ABAP-Programms SOLLTE immer - lesbar sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 - ref_id: APP.4.6.A21.2 - description: Techniken, die das verhindern (Obfuskation), SOLLTEN NICHT verwendet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 - ref_id: APP.4.6.A22 - name: Einsatz von ABAP-Codeanalyse Werkzeugen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22 - ref_id: APP.4.6.A22.1 - description: "Zur automatisierten \xDCberpr\xFCfung von ABAP-Code auf sicherheitsrelevante\ - \ Programmierfehler, funktionale und technische Fehler sowie auf qualitative\ - \ Schwachstellen SOLLTE ein ABAP-Codeanalyse-Werkzeug eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.5.2 - name: Microsoft Exchange und Outlook - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A1 - name: Planung des Einsatzes von Exchange und Outlook - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.1 - description: "Bevor Exchange und Outlook eingesetzt werden, MUSS die Institution\ - \ deren Einsatz sorgf\xE4ltig planen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.2 - description: 'Dabei MUSS sie mindestens folgende Punkte beachten:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.3 - description: "\u2022 Aufbau der E-Mail-Infrastruktur," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.4 - description: "\u2022 einzubindende Clients beziehungsweise Server," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.5 - description: "\u2022 Nutzung von funktionalen Erweiterungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 - ref_id: APP.5.2.A1.6 - description: "\u2022 die zu verwendenden Protokolle." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A2 - name: Auswahl einer geeigneten Exchange-Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 - ref_id: APP.5.2.A2.1 - description: Der IT-Betrieb MUSS auf Basis der Planung des Einsatzes von Exchange - entscheiden, mit welchen IT-Systemen und Anwendungskomponenten sowie in welcher - hierarchischen Abstufung die Exchange-Infrastruktur realisiert wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 - ref_id: APP.5.2.A2.2 - description: Im Rahmen der Auswahl MUSS auch entschieden werden, ob die Exchange-Systeme - als Cloud- oder lokaler Dienst betrieben werden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A3 - name: Berechtigungsmanagement und Zugriffsrechte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 - ref_id: APP.5.2.A3.1 - description: "Zus\xE4tzlich zum allgemeinen Berechtigungskonzept MUSS die Institution\ - \ ein Berichtigungskonzept f\xFCr die Systeme der Exchange-Infrastruktur erstellen,\ - \ geeignet dokumentieren und anwenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 - ref_id: APP.5.2.A3.2 - description: "Der IT-Betrieb MUSS serverseitige Benutzendenprofile f\xFCr einen\ - \ rechnerunabh\xE4ngigen Zugriff der Benutzenden auf Exchange-Daten verwenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 - ref_id: APP.5.2.A3.3 - description: "Er MUSS die Standard-NTFS-Berechtigungen f\xFCr das Exchange-Verzeichnis\ - \ so anpassen, dass nur autorisierte Administrierende und Systemkonten auf\ - \ die Daten in diesem Verzeichnis zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A5 - name: Datensicherung von Exchange - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 - ref_id: APP.5.2.A5.1 - description: "Exchange-Server M\xDCSSEN vor Installationen und Konfigurations\xE4\ - nderungen sowie in zyklischen Abst\xE4nden gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 - ref_id: APP.5.2.A5.2 - description: "Dabei M\xDCSSEN insbesondere die Exchange-Server-Datenbanken gesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 - ref_id: APP.5.2.A5.3 - description: "Gel\xF6schte Exchange-Objekte SOLLTEN erst nach einiger Zeit aus\ - \ der Datenbank entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A7 - name: Migration von Exchange-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 - ref_id: APP.5.2.A7.1 - description: "Der IT-Betrieb SOLLTE alle Migrationsschritte gr\xFCndlich planen\ - \ und dokumentieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 - ref_id: APP.5.2.A7.2 - description: "Der IT-Betrieb SOLLTE dabei Postf\xE4cher, Objekte, Sicherheitsrichtlinien,\ - \ Active-Directory-Konzepte sowie die Anbindung an andere E-Mail-Systeme ber\xFC\ - cksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 - ref_id: APP.5.2.A7.3 - description: "Au\xDFerdem SOLLTE er Funktionsunterschiede zwischen verschiedenen\ - \ Versionen von Exchange beachten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 - ref_id: APP.5.2.A7.4 - description: "Das neue Exchange-System SOLLTE, bevor es installiert wird, in\ - \ einem separaten Testnetz gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A9 - name: Sichere Konfiguration von Exchange-Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - ref_id: APP.5.2.A9.1 - description: Der IT-Betrieb SOLLTE Exchange-Server entsprechend der Vorgaben - aus der Sicherheitsrichtlinie installieren und konfigurieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - ref_id: APP.5.2.A9.2 - description: Konnektoren SOLLTEN sicher konfiguriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - ref_id: APP.5.2.A9.3 - description: Der IT-Betrieb SOLLTE die Protokollierung des Exchange-Systems - aktivieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - ref_id: APP.5.2.A9.4 - description: "F\xFCr vorhandene benutzendenspezifische Anpassungen SOLLTE ein\ - \ entsprechendes Konzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 - ref_id: APP.5.2.A9.5 - description: "Bei der Verwendung von funktionalen Erweiterungen SOLLTE sichergestellt\ - \ sein, dass die definierten Anforderungen an die Schutzziele Vertraulichkeit,\ - \ Integrit\xE4t und Verf\xFCgbarkeit weiterhin erf\xFCllt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A10 - name: Sichere Konfiguration von Outlook - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 - ref_id: APP.5.2.A10.1 - description: "Der IT-Betrieb SOLLTE f\xFCr jeden Benutzenden ein eigenes Outlook-Profil\ - \ mit benutzendenspezifischen Einstellungen anlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 - ref_id: APP.5.2.A10.2 - description: "Der IT-Betrieb SOLLTE Outlook so konfigurieren, dass nur notwendige\ - \ Informationen an andere Benutzende \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 - ref_id: APP.5.2.A10.3 - description: "Der IT-Betrieb SOLLTE die Benutzenden dar\xFCber informieren,\ - \ welche Informationen automatisiert an andere Benutzende \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 - ref_id: APP.5.2.A10.4 - description: "Lesebest\xE4tigungen und Informationen, die auf die interne Struktur\ - \ der Institution schlie\xDFen lassen, SOLLTEN NICHT an Externe \xFCbermittelt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A11 - name: Absicherung der Kommunikation zwischen Exchange-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.1 - description: Der IT-Betrieb SOLLTE nachvollziehbar entscheiden, mit welchen - Schutzmechanismen die Kommunikation zwischen Exchange-Systemen abgesichert - wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.2 - description: 'Insbesondere SOLLTE der IT-Betrieb festlegen, wie die Kommunikation - zu folgenden Schnittstellen abgesichert wird:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.3 - description: "\u2022 Administrationsschnittstellen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.4 - description: "\u2022 Client-Server-Kommunikation," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.5 - description: "\u2022 vorhandene Web-based-Distributed-Authoring-and-Versioning-(WebDAV)-Schnittstellen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.6 - description: "\u2022 Server-Server-Kommunikation und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 - ref_id: APP.5.2.A11.7 - description: "\u2022 Public-Key-Infrastruktur, auf der die E-Mail-Verschl\xFC\ - sselung von Outlook basiert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A12 - name: Einsatz von Outlook Anywhere, MAPI over HTTP und Outlook im Web - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 - ref_id: APP.5.2.A12.1 - description: Der IT-Betrieb SOLLTE Outlook Anywhere, MAPI over HTTP und Outlook - im Web entsprechend den Sicherheitsanforderungen der Institution konfigurieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 - ref_id: APP.5.2.A12.2 - description: "Der Zugriff auf Exchange \xFCber das Internet SOLLTE auf die notwendigen\ - \ Benutzenden beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 - ref_id: APP.5.2.A17 - name: "Verschl\xFCsselung von Exchange-Datenbankdateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.1 - description: "Der IT-Betrieb SOLLTE ein Konzept f\xFCr die Verschl\xFCsselung\ - \ von PST-Dateien und Informationsspeicher-Dateien erstellen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.2 - description: "Die Institution SOLLTE die Benutzenden \xFCber die Funktionsweise\ - \ und die Schutzmechanismen bei der Verschl\xFCsselung von PST-Dateien informieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.3 - description: "Weitere Aspekte f\xFCr lokale PST-Dateien, die ber\xFCcksichtigt\ - \ werden SOLLTEN, wenn Exchange-Systemdatenbanken verschl\xFCsselt werden,\ - \ sind:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.4 - description: "\u2022 eigene Verschl\xFCsselungsfunktionen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.5 - description: "\u2022 Verschl\xFCsselungsgrade sowie" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.6 - description: "\u2022 Mechanismen zur Absicherung der Daten in einer PST-Datei." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 - ref_id: APP.5.2.A17.7 - description: "Mechanismen wie z. B. Encrypting File System oder Windows BitLocker\ - \ Laufwerkverschl\xFCsselung SOLLTEN zur Absicherung der PST-Dateien genutzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.5.3 - name: Allgemeiner E-Mail-Client und -Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A1 - name: Sichere Konfiguration der E-Mail-Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.1 - description: "Die Institution MUSS eine sichere Konfiguration f\xFCr die E-Mail-Clients\ - \ vorgeben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.2 - description: "Die E-Mail-Clients M\xDCSSEN den Benutzenden vorkonfiguriert zur\ - \ Verf\xFCgung gestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.3 - description: "Die Institution SOLLTE sicherstellen, dass sicherheitsrelevante\ - \ Teile der Konfiguration nicht von Benutzenden ge\xE4ndert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.4 - description: "Ist dies nicht m\xF6glich, MUSS die Institution darauf hinweisen,\ - \ dass die Konfiguration nicht selbstst\xE4ndig ge\xE4ndert werden darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.5 - description: "Bevor Dateianh\xE4nge aus E-Mails ge\xF6ffnet werden, M\xDCSSEN\ - \ sie auf Schadsoftware \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.6 - description: "Die Dateianh\xE4nge M\xDCSSEN auf dem Client oder auf dem E-Mail-Server\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.7 - description: "E-Mail-Clients M\xDCSSEN so konfiguriert werden, dass sie eventuell\ - \ vorhandenen HTML-Code und andere aktive Inhalte in E-Mails nicht automatisch\ - \ interpretieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.8 - description: "Vorschaufunktionen f\xFCr Datei-Anh\xE4nge M\xDCSSEN so konfiguriert\ - \ werden, dass sie Dateien nicht automatisch interpretieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.9 - description: "E-Mail-Filterregeln sowie die automatische Weiterleitung von E-Mails\ - \ M\xDCSSEN auf notwendige Anwendungsf\xE4lle beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 - ref_id: APP.5.3.A1.10 - description: "E-Mail-Clients M\xDCSSEN f\xFCr die Kommunikation mit E-Mail-Servern\ - \ \xFCber nicht vertrauensw\xFCrdige Netze eine sichere Transportverschl\xFC\ - sselung einsetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A2 - name: Sicherer Betrieb von E-Mail-Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.1 - description: "F\xFCr den E-Mail-Empfang \xFCber nicht vertrauensw\xFCrdige Netze\ - \ M\xDCSSEN E-Mail-Server eine sichere Transportverschl\xFCsselung anbieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.2 - description: "Der Empfang von E-Mails \xFCber unverschl\xFCsselte Verbindungen\ - \ SOLLTE deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.3 - description: "Versenden E-Mail-Server von sich aus E-Mails an andere E-Mail-Server,\ - \ SOLLTEN sie eine sichere Transportverschl\xFCsselung nutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.4 - description: "Der IT-Betrieb SOLLTE den E-Mail-Versand durch unsichere Netze\ - \ \xFCber unverschl\xFCsselte Verbindungen deaktivieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.5 - description: "Der IT-Betrieb MUSS den E-Mail-Server so konfigurieren, dass E-Mail-Clients\ - \ nur \xFCber eine sichere Transportverschl\xFCsselung auf Postf\xE4cher zugreifen\ - \ k\xF6nnen, wenn dies \xFCber nicht vertrauensw\xFCrdige Netze passiert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.6 - description: Die Institution MUSS alle erlaubten E-Mail-Protokolle und Dienste - festlegen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.7 - description: Der IT-Betrieb MUSS Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken - ergreifen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.8 - description: "Werden Nachrichten auf einem E-Mail-Server gespeichert, MUSS der\ - \ IT-Betrieb eine geeignete Gr\xF6\xDFenbeschr\xE4nkung f\xFCr das serverseitige\ - \ Postfach einrichten und dokumentieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 - ref_id: APP.5.3.A2.9 - description: "Au\xDFerdem MUSS der IT-Betrieb den E-Mail-Server so einstellen,\ - \ dass er nicht als Spam-Relay missbraucht werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A3 - name: Datensicherung und Archivierung von E-Mails - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 - ref_id: APP.5.3.A3.1 - description: "Der IT-Betrieb MUSS die Daten der E-Mail-Server und -Clients regelm\xE4\ - \xDFig sichern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 - ref_id: APP.5.3.A3.2 - description: "Daf\xFCr MUSS die Institution regeln, wie die gesendeten und empfangenen\ - \ E-Mails der E-Mail-Clients sowie die E-Mails auf den Servern gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 - ref_id: APP.5.3.A3.3 - description: "Die Institution SOLLTE ebenfalls bei der Archivierung beachten,\ - \ dass E-Mails m\xF6glicherweise nur lokal auf Clients gespeichert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A4 - name: Spam- und Virenschutz auf dem E-Mail-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 - ref_id: APP.5.3.A4.1 - description: "Der IT-Betrieb MUSS sicherstellen, dass auf E-Mail-Servern eingehende\ - \ und ausgehende E-Mails, insbesondere deren Anh\xE4nge, auf Spam-Merkmale\ - \ und sch\xE4dliche Inhalte \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 - ref_id: APP.5.3.A4.2 - description: "Die Einf\xFChrung und Nutzung von E-Mail-Filterprogrammen MUSS\ - \ mit den Datenschutzbeauftragten und der Personalvertretung abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 - ref_id: APP.5.3.A4.3 - description: "Die Institution MUSS festlegen, wie mit verschl\xFCsselten E-Mails\ - \ zu verfahren ist, wenn diese nicht durch das Virenschutzprogramm entschl\xFC\ - sselt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A5 - name: Festlegung von Vertretungsregelungen bei E-Mail-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - ref_id: APP.5.3.A5.1 - description: "Die Institution SOLLTE Vertretungsregelungen f\xFCr die Bearbeitung\ - \ von E-Mails festlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - ref_id: APP.5.3.A5.2 - description: "Werden E-Mails weitergeleitet, SOLLTEN die Vertretenen mindestens\ - \ dar\xFCber informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - ref_id: APP.5.3.A5.3 - description: "Bei der Weiterleitung von E-Mails M\xDCSSEN datenschutzrechtliche\ - \ Aspekte ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - ref_id: APP.5.3.A5.4 - description: "Die Institution SOLLTE f\xFCr Autoreply-Funktionen in E-Mail-Programmen\ - \ Regelungen etablieren, die beschreiben, wie diese Funktionen sicher verwendet\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 - ref_id: APP.5.3.A5.5 - description: Wenn die Autoreply-Funktion benutzt wird, SOLLTEN keine internen - Informationen weitergegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A6 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr E-Mail" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.1 - description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr die Nutzung\ - \ von E-Mails erstellen und regelm\xE4\xDFig aktualisieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.2 - description: "Die Institution SOLLTE alle Benutzenden und Administrierenden\ - \ \xFCber neue oder ver\xE4nderte Sicherheitsvorgaben f\xFCr E-Mail-Anwendungen\ - \ informieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.3 - description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE konform zu den geltenden\ - \ \xFCbergeordneten Sicherheitsrichtlinien der Institution sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.4 - description: "Die Institution SOLLTE pr\xFCfen, ob die Sicherheitsrichtlinie\ - \ korrekt angewendet wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.5 - description: "Die E-Mail-Sicherheitsrichtlinie f\xFCr Benutzende SOLLTE vorgeben," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.6 - description: "\u2022 welche Zugriffsrechte es gibt," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.7 - description: "\u2022 wie E-Mails auf gef\xE4lschte Absendeadressen \xFCberpr\xFC\ - ft werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.8 - description: "\u2022 wie sich \xFCbermittelte Informationen absichern lassen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.9 - description: "\u2022 wie die Integrit\xE4t von E-Mails \xFCberpr\xFCft werden\ - \ soll," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.10 - description: "\u2022 welche offenen E-Mail-Verteiler verwendet werden d\xFC\ - rfen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.11 - description: "\u2022 ob E-Mails privat genutzt werden d\xFCrfen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.12 - description: "\u2022 wie mit E-Mails und Postf\xE4chern ausscheidender Personen\ - \ umgegangen werden soll," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.13 - description: "\u2022 ob und wie Webmail-Dienste genutzt werden d\xFCrfen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.14 - description: "\u2022 wer f\xFCr Gruppenpostf\xE4cher zust\xE4ndig ist," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.15 - description: "\u2022 wie mit Datei-Anh\xE4ngen umgegangen werden soll und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.16 - description: "\u2022 ob Benutzende die HTML-Darstellung von E-Mails aktivieren\ - \ d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.17 - description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE erg\xE4nzend f\xFCr die\ - \ Administrierenden die Einstellungsoptionen der E-Mail-Anwendungen beinhalten,\ - \ au\xDFerdem die Vorgaben f\xFCr m\xF6gliche Zugriffe von anderen Servern\ - \ auf einen E-Mail-Server." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.18 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.18 - description: Auch Angaben zu berechtigten Zugriffspunkten, von denen aus auf - einen E-Mail-Server zugegriffen werden darf, SOLLTEN in der Richtlinie enthalten - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.19 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 - ref_id: APP.5.3.A6.19 - description: Die E-Mail-Sicherheitsrichtlinie SOLLTE den Umgang mit Newsgroups - und Mailinglisten regeln. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A7 - name: "Schulung zu Sicherheitsmechanismen von E-Mail-Clients f\xFCr Benutzende" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - ref_id: APP.5.3.A7.1 - description: "Die Institution SOLLTE das Personal dar\xFCber aufkl\xE4ren, welche\ - \ Risiken entstehen, wenn E-Mail-Anwendungen benutzt werden und wie sicher\ - \ mit E-Mails umgegangen werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - ref_id: APP.5.3.A7.2 - description: "Dies SOLLTE zus\xE4tzlich zur allgemeinen Schulung und Sensibilisierung\ - \ geschehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - ref_id: APP.5.3.A7.3 - description: "Die Institution SOLLTE zu den Gefahren sensibilisieren, die entstehen\ - \ k\xF6nnen, wenn E-Mail-Anh\xE4nge ge\xF6ffnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - ref_id: APP.5.3.A7.4 - description: "Die Schulungen SOLLTEN ebenfalls darauf eingehen, wie E-Mails\ - \ von gef\xE4lschten Absendeadressen erkannt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 - ref_id: APP.5.3.A7.5 - description: Die Institution SOLLTE davor warnen, an E-Mail-Kettenbriefen teilzunehmen - oder zu viele Mailinglisten zu abonnieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A8 - name: Umgang mit Spam durch Benutzende - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 - ref_id: APP.5.3.A8.1 - description: "Grunds\xE4tzlich SOLLTEN die Benutzenden alle Spam-E-Mails ignorieren\ - \ und l\xF6schen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 - ref_id: APP.5.3.A8.2 - description: "Die Benutzenden SOLLTEN auf unerw\xFCnschte E-Mails nicht antworten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 - ref_id: APP.5.3.A8.3 - description: Sie SOLLTEN Links in diesen E-Mails nicht folgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 - ref_id: APP.5.3.A8.4 - description: "Falls die Institution \xFCber ein zentrales Spam-Management verf\xFC\ - gt, SOLLTEN die Benutzenden Spam-E-Mails an dieses weiterleiten und die E-Mails\ - \ danach l\xF6schen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A9 - name: "Erweiterte Sicherheitsma\xDFnahmen auf dem E-Mail-Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.1 - description: "Die E-Mail-Server einer Institution SOLLTEN eingehende E-Mails\ - \ mittels des Sender Policy Framework (SPF) und mit Hilfe von DomainKeys Identified\ - \ Mail (DKIM) \xFCberpr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.2 - description: Die Institution SOLLTE selbst DKIM und SPF einsetzen, um von ihr - versendete E-Mails zu authentisieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.3 - description: "Wird SPF verwendet, SOLLTEN alle sendeberechtigten E-Mail-Server\ - \ f\xFCr eine Domain im SPF-Eintrag angegeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.4 - description: Der SPF-Eintrag SOLLTE den "-all" Parameter enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.5 - description: "Der Softfail-Parameter (\u201E~\u201C) SOLLTE nur zu Testzwecken\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.6 - description: "Die Institution SOLLTE Domain-based Message Authentication, Reporting\ - \ and Conformance (DMARC) nutzen, um festzulegen, wie von ihr versendete E-Mails\ - \ durch den empfangenden E-Mail-Server \xFCberpr\xFCft werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.7 - description: "DMARC-Eintr\xE4ge SOLLTEN vorgeben, dass E-Mails im Fehlerfall\ - \ abgewiesen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.8 - description: "DMARC-Reporte SOLLTEN regelm\xE4\xDFig ausgewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.9 - description: "Die Institution SOLLTE festlegen, ob DMARC-Reporte \xFCber empfangene\ - \ E-Mails an andere Institutionen versendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 - ref_id: APP.5.3.A9.10 - description: "Die Institution SOLLTE die E-Mail-Kommunikation \xFCber DANE und\ - \ MTA-STS absichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A10 - name: "Ende-zu-Ende-Verschl\xFCsselung und Signatur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 - ref_id: APP.5.3.A10.1 - description: "Die Institution SOLLTE eine Ende-zu-Ende-Verschl\xFCsselung sowie\ - \ digitale Signaturen f\xFCr E-Mails einsetzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 - ref_id: APP.5.3.A10.2 - description: "Es SOLLTEN nur Protokolle zur Verschl\xFCsselung und Signatur\ - \ genutzt werden, die dem aktuellen Stand der Technik entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A11 - name: Einsatz redundanter E-Mail-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 - ref_id: APP.5.3.A11.1 - description: Die Institution SOLLTE redundante E-Mail-Server betreiben. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 - ref_id: APP.5.3.A11.2 - description: "Die redundanten E-Mail-Server SOLLTEN mit geeigneter Priorit\xE4\ - t in den MX-Records der betroffenen Domains hinterlegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 - ref_id: APP.5.3.A11.3 - description: Die Institution SOLLTE festlegen, wie E-Mails zwischen den E-Mail-Servern - synchronisiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A12 - name: "\xDCberwachung \xF6ffentlicher Block-Listen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12 - ref_id: APP.5.3.A12.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ - \ E-Mail-Server der Institution auf \xF6ffentlichen Spam- oder Block-Listen\ - \ aufgef\xFChrt sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 - ref_id: APP.5.3.A13 - name: TLS-Reporting - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 - ref_id: APP.5.3.A13.1 - description: Die Institution SOLLTE TLS-Reporting einsetzen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 - ref_id: APP.5.3.A13.2 - description: Es SOLLTE festgelegt werden, ob TLS-Reports an andere Institutionen - versendet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.5.4 - name: 'Unified Communications und Collaboration (UCC) ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A1 - name: Planung von UCC - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.1 - description: "Es MUSS umfassend und detailliert geplant werden, wie und f\xFC\ - r welchen Zweck UCC eingesetzt werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.2 - description: "Die Planung MUSS insbesondere die Wechselwirkungen der UCC-Dienste\ - \ ber\xFCcksichtigen und mindestens folgende Aspekte beinhalten:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.3 - description: "\u2022 Einsatzzwecke der vorgesehenen UCC-Dienste" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.4 - description: "\u2022 Funktionale Anforderungen an UCC als Gesamtheit und an\ - \ die einzelnen UCC-Dienste" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.5 - description: "\u2022 Anforderungen zur Absicherung von UCC" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.6 - description: "\u2022 Festlegung zu Informationen und Daten, die \xFCber UCC\ - \ \xFCbertragen werden d\xFCrfen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.7 - description: "\u2022 Analyse der Kommunikation und der Abh\xE4ngigkeiten von\ - \ UCC-Diensten untereinander" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.8 - description: "\u2022 Produkt- und Dienstauswahl ausgehend von den definierten\ - \ Anforderungen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.9 - description: "\u2022 Aufstellen von organisatorischen Regelungen, um die UCC-Dienste\ - \ zu benutzen Bei der Planung MUSS ber\xFCcksichtigt werden, wie UCC in die\ - \ IT-Infrastruktur der Institution integriert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 - ref_id: APP.5.4.A1.10 - description: Hierbei MUSS insbesondere betrachtet werden, ob und wie die Systeme - der UCC-Dienste innerhalb des Netzes separiert werden sollen und welche Schnittstellen - zu weiteren benutzten Anwendungen notwendig sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A2 - name: "Ber\xFCcksichtigung von UCC in der Netzplanung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.1 - description: "Bevor UCC-Dienste eingef\xFChrt werden, MUSS gepr\xFCft werden,\ - \ ob das Netz die UCC-spezifischen Leistungsparameter erf\xFCllt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.2 - description: "Falls die Leistungsparameter nicht erf\xFCllt werden, MUSS festgelegt\ - \ werden, wie hiermit umgegangen wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.3 - description: "Sollen UCC-Dienste benutzt werden, SOLLTEN im Rahmen der allgemeinen\ - \ Netzplanung insbesondere folgende Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.4 - description: "\u2022 Erf\xFCllung der UCC-spezifischen Leistungsparameter wie\ - \ Paketverlust, Jitter und Latenz" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.5 - description: "\u2022 Netzkapazit\xE4ten (Bandbreite) f\xFCr die festgelegte\ - \ Benutzung der UCC-Dienste wie Videokonferenzen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.6 - description: "\u2022 Ber\xFCcksichtigung von Power over Ethernet (PoE) f\xFC\ - r station\xE4re Endger\xE4te" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 - ref_id: APP.5.4.A2.7 - description: "\u2022 Verf\xFCgbarkeit von WLAN f\xFCr mobile Endger\xE4te Falls\ - \ die UCC-Dienste erweitert werden, SOLLTEN diese Aspekte erneut gepr\xFC\ - ft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A3 - name: "Initiales und regelm\xE4\xDFiges Testen der UCC-Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 - ref_id: APP.5.4.A3.1 - description: "F\xFCr die UCC-Dienste M\xDCSSEN initial Tests durchgef\xFChrt\ - \ werden, die verifizieren, dass die UCC-Komponenten untereinander und mit\ - \ anderen UCC-Diensten interferenzfrei funktionieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 - ref_id: APP.5.4.A3.2 - description: "Ebenfalls M\xDCSSEN Tests mit ausgew\xE4hlten Benutzenden durchgef\xFC\ - hrt werden, um insbesondere Wechselwirkungen mit anderen Anwendungen zu \xFC\ - berpr\xFCfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 - ref_id: APP.5.4.A3.3 - description: "Diese Tests SOLLTEN wiederholt werden, wenn die UCC-Dienste erweitert\ - \ oder ver\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 - ref_id: APP.5.4.A3.4 - description: "Zus\xE4tzlich SOLLTE die Konfiguration der UCC-Dienste in regelm\xE4\ - \xDFigen Abst\xE4nden auf Plausibilit\xE4t und Konformit\xE4t f\xFCr die festgelegten\ - \ Einsatzzwecke \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A4 - name: "Deaktivierung nicht ben\xF6tigter Funktionen und Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.1 - description: "UCC-Dienste D\xDCRFEN NUR mit dem geringsten notwendigen Funktionsumfang\ - \ betrieben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.2 - description: "Die verf\xFCgbaren Funktionen und Dienste M\xDCSSEN entsprechend\ - \ der definierten Einsatzzwecke ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.3 - description: "Dabei M\xDCSSEN gegebenenfalls auftretende Wechselwirkungen zwischen\ - \ den verschiedenen Komponenten eines UCC-Dienstes ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.4 - description: "Au\xDFerdem M\xDCSSEN insbesondere die folgenden Dienste und Funktionen\ - \ auf Notwendigkeit gepr\xFCft und gegebenenfalls deaktiviert oder eingeschr\xE4\ - nkt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.5 - description: "\u2022 Speicherung von personenbezogenen Daten durch die UCC-Komponenten" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.6 - description: "\u2022 Zugriff und Verarbeitung von personenbezogenen Daten durch\ - \ Benutzende und den UCC-Dienst" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.7 - description: "\u2022 Benutzbarkeit von Funktionen wie Chat, Erreichbarkeitsstatus,\ - \ Dateiablagen oder Team-Bereiche durch externe Teilnehmende" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.8 - description: "\u2022 Senden von Daten und Dateien an externe UCC-Dienste Konversationsbezogene\ - \ Log-Daten D\xDCRFEN NUR in minimal notwendigem Umfang gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 - ref_id: APP.5.4.A4.9 - description: "Funktionen und Dienste, die auf (dauerhaft) gespeicherte Log-Daten\ - \ zugreifen, M\xDCSSEN auf ihre Notwendigkeit gepr\xFCft und gegebenenfalls\ - \ deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A5 - name: "Rollen- und Berechtigungskonzept f\xFCr UCC" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.1 - description: "Das Rollen- und Berechtigungskonzept MUSS um UCC-spezifische Definitionen\ - \ von Rollen und Berechtigungen erg\xE4nzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.2 - description: "Solche Definitionen M\xDCSSEN sowohl f\xFCr alle internen Benutzenden\ - \ als auch f\xFCr die externen Benutzenden getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.3 - description: "Es M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.4 - description: "\u2022 Berechtigungen zur zielgerichteten Benutzung von UCC-Diensten\ - \ gem\xE4\xDF festgelegter Einsatzzwecke" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.5 - description: "\u2022 Berechtigungen zur Anpassung der Konfiguration von Konversationen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.6 - description: "\u2022 Berechtigungen f\xFCr spezielle Funktionen von UCC-Diensten\ - \ wie Aufzeichnung von Konversationen und Zugriff auf Dateiablagen eines UCC-Dienstes\ - \ Dar\xFCber hinaus M\xDCSSEN die Berechtigungen der Konten ebenfalls auf\ - \ das notwendige Minimum reduziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.7 - description: "Dienste, die nur f\xFCr einen Teil der Benutzenden zur Verf\xFC\ - gung stehen, D\xDCRFEN NICHT f\xFCr die restlichen Benutzenden zug\xE4nglich\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.8 - description: "Zudem SOLLTEN nur Benutzende mit einer entsprechenden Berechtigung\ - \ auf Daten wie Aufzeichnungen oder Dateiablagen zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 - ref_id: APP.5.4.A5.9 - description: "Die Festlegungen M\xDCSSEN festgehalten, regelm\xE4\xDFig und\ - \ anlassbezogen gepr\xFCft und aktualisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A6 - name: "Verschl\xFCsselung von UCC-Daten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.1 - description: "S\xE4mtliche Kommunikation \xFCber unzureichend vertrauensw\xFC\ - rdige Netze MUSS mit sicheren Verfahren verschl\xFCsselt werden, sofern dies\ - \ durch die jeweilige UCC-Komponente unterst\xFCtzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.2 - description: "Falls eine Verschl\xFCsselung f\xFCr einzelne UCC-Komponenten\ - \ oder einzelne Konversationen nicht m\xF6glich ist, MUSS die Festlegung,\ - \ welche Informationen \xFCber diese UCC-Komponenten \xFCbertragen werden\ - \ d\xFCrfen, gepr\xFCft und gegebenenfalls angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.3 - description: "Insbesondere MUSS bei anwendungs\xFCbergreifender Kommunikation\ - \ festgelegt werden, f\xFCr welche Konversationen die Medienstr\xF6me und\ - \ die Signalisierung und welche weiteren Daten wie Chat oder Dateitransfer\ - \ verschl\xFCsselt \xFCbertragen werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.4 - description: "Dateiablagen, die persistente personenbezogene oder vertrauliche\ - \ Daten enthalten, M\xDCSSEN mit Hilfe von sicheren Verschl\xFCsselungsmechanismen\ - \ abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.5 - description: "Hierbei M\xDCSSEN sowohl interne Dateiablagen der UCC-Dienste\ - \ als auch \xFCber Schnittstellen angebundene externe Dateiablagen ber\xFC\ - cksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 - ref_id: APP.5.4.A6.6 - description: "Die Benutzenden M\xDCSSEN zudem \xFCber den Status der Verschl\xFC\ - sselung innerhalb von Konversationen informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A7 - name: "Regelungen f\xFCr eine sichere Benutzung der UCC-Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.1 - description: "Konversationen, die mit Hilfe von UCC durchgef\xFChrt werden,\ - \ M\xDCSSEN abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.2 - description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.3 - description: "\u2022 Auswahl der Teilnehmenden entsprechend dem Inhalt der Konversation" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.4 - description: "\u2022 zus\xE4tzliche Absicherung von geplanten Konversationen\ - \ \xFCber Mechanismen wie PIN oder ein Passwort" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.5 - description: "\u2022 Zuweisung von Moderationsrechten an ausgew\xE4hlte Benutzende\ - \ der einladenden Institution" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.6 - description: "\u2022 Regelungen zum Umgang mit Aufzeichnungen von Konversationen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.7 - description: "\u2022 Regelungen f\xFCr Endger\xE4te, die von mehreren Benutzenden\ - \ verwendet werden Die Benutzenden M\xDCSSEN \xFCber Funktionen informiert\ - \ werden, \xFCber die Konversationen abgesichert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 - ref_id: APP.5.4.A7.8 - description: "Ebenso M\xDCSSEN die Benutzenden daf\xFCr sensibilisiert werden,\ - \ wie die UCC-Dienste sicher benutzt werden, insbesondere f\xFCr externe Chats\ - \ oder Videokonferenzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A8 - name: "Einsatz eines Session Border Controller am Provider-\xDCbergang" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 - ref_id: APP.5.4.A8.1 - description: "F\xFCr die UCC-Kommunikation \xFCber eingeschr\xE4nkt vertrauensw\xFC\ - rdige Netze SOLLTE mindestens f\xFCr Sprachdienste ein Session Border Controller\ - \ (SBC) am Netz\xFCbergang bzw. beim \xDCbergang zum SIP-Provider eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 - ref_id: APP.5.4.A8.2 - description: "Der SBC SOLLTE als Verschl\xFCsselungsendpunkt die Signalisierung\ - \ und die Medienstr\xF6me terminieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 - ref_id: APP.5.4.A8.3 - description: "Der SBC SOLLTE f\xFCr die Signalisierung und die Medienstr\xF6\ - me Filterfunktionen unterst\xFCtzen, die die jeweiligen Konversationen zus\xE4\ - tzlich absichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A9 - name: Sichere Konfiguration von UCC - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.1 - description: "Um UCC sicher zu konfigurieren, SOLLTEN mindestens die folgenden\ - \ Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.2 - description: "\u2022 Verschl\xFCsselung von Signalisierungs- und Mediendaten\ - \ auch auf vertrauensw\xFCrdigen \xDCbertragungsstrecken" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.3 - description: "\u2022 Absicherung von gespeicherten Daten, insbesondere Festlegung\ - \ f\xFCr Zugriffsberechtigung auf Aufzeichnungen von Konversationen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.4 - description: "\u2022 Einschr\xE4nkung der zur Verf\xFCgung stehenden Dienste\ - \ auf ausschlie\xDFlich interne Benutzende" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.5 - description: "\u2022 Einschr\xE4nkung der \xDCbertragung von Erreichbarkeitsinformationen\ - \ Gespeicherte Daten SOLLTEN verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.6 - description: "Auf gespeicherte Daten SOLLTEN Benutzende nur nach vorheriger\ - \ Authentisierung zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.7 - description: Der IT-Betrieb SOLLTE sichere Einstellungen vorgeben, die verwendet - werden, wenn Konversationen erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.8 - description: "F\xFCr textbasierte Konversationen SOLLTE ein Malware-Schutz aktiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 - ref_id: APP.5.4.A9.9 - description: "Die Umsetzung SOLLTE festgehalten, regelm\xE4\xDFig und anlassbezogen\ - \ auf Einhaltung der Vorgaben gepr\xFCft und angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A10 - name: "Absicherung und Einschr\xE4nkung von Auswertungen von Inhalten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - ref_id: APP.5.4.A10.1 - description: "Die Art einer (automatischen) Auswertung von Konversationsinhalten\ - \ SOLLTE schon im Vorfeld sorgf\xE4ltig gepr\xFCft werden und ihr Nutzen gegen\ - \ den Schutzbedarf abgewogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - ref_id: APP.5.4.A10.2 - description: "Es SOLLTE die M\xF6glichkeit bestehen, entsprechende Funktionen\ - \ entweder vollst\xE4ndig oder pro Konversation zu deaktivieren und eine inhaltliche\ - \ Auswertung der Kommunikation zu verhindern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - ref_id: APP.5.4.A10.3 - description: "Besondere Beachtung SOLLTEN KI-Funktionen und die \xDCbertragung\ - \ von Daten an Onlinedienste erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - ref_id: APP.5.4.A10.4 - description: "Werden Inhalte \xFCber den Zweck der Konversation hinausgehend\ - \ ausgewertet, MUSS dazu auch eine Zustimmung der an der Konversation teilnehmenden\ - \ Personen eingeholt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 - ref_id: APP.5.4.A10.5 - description: "Werden w\xE4hrend der Auswertung von Konversationen persistente\ - \ Daten erzeugt, SOLLTEN f\xFCr diese geeignete Schutzma\xDFnahmen umgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A11 - name: "Sicherstellung der Verf\xFCgbarkeit von Kommunikationsdiensten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.1 - description: "Die Verf\xFCgbarkeit von UCC-Diensten SOLLTE insbesondere durch\ - \ folgende technische Ma\xDFnahmen sichergestellt werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.2 - description: "\u2022 redundante Auslegung zentraler Server und Dienste" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.3 - description: "\u2022 Benutzung von Call Admission Control (CAC) zur Qualit\xE4\ - tssicherung von Telefonie und Video-Diensten" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.4 - description: "\u2022 m\xF6glichst autark funktionierende UCC-Dienste Dar\xFC\ - ber hinaus SOLLTE bei Cloud-basierten UCC-Diensten der Cloud-Provider sowie\ - \ der Internet-Provider ausfallsicher an das eigene Netz angebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.5 - description: "Zudem SOLLTE ein SIP-Provider, der Rufnummern bereitstellt und\ - \ den \xDCbergang ins \xF6ffentliche Telefonnetz bildet, hochverf\xFCgbar\ - \ an das eigene Netz angebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 - ref_id: APP.5.4.A11.6 - description: "Die Verf\xFCgbarkeit SOLLTE durch ein Monitoring der UCC-Dienste\ - \ \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A12 - name: Einbindung von UCC in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - ref_id: APP.5.4.A12.1 - description: "Ausgehend von einer Business Impact Analyse SOLLTE gepr\xFCft\ - \ werden, welche UCC-Dienste in der Notfallplanung ber\xFCcksichtigt werden\ - \ sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - ref_id: APP.5.4.A12.2 - description: "Hierbei SOLLTEN in Notfallsituationen f\xFCr einzelne UCC-Dienste\ - \ alternative Anwendungen bereitgestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - ref_id: APP.5.4.A12.3 - description: "Insbesondere SOLLTE f\xFCr die Benutzenden die Erreichbarkeit\ - \ von wichtigen Diensten wie der Notruf gew\xE4hrleistet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - ref_id: APP.5.4.A12.4 - description: "Zudem SOLLTE ein Notfallplan f\xFCr die UCC-Dienste erstellt werden,\ - \ in dem notwendige Konfigurationen sowie Routing-Anpassungen, die \xFCber\ - \ den Telefonie-Provider realisiert werden, behandelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 - ref_id: APP.5.4.A12.5 - description: "Ebenso SOLLTE der Wiederanlauf der UCC-Komponenten und -Dienste\ - \ unter Ber\xFCcksichtigung der Wechselwirkungen innerhalb der UCC-Dienste\ - \ festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A13 - name: Sichere Administration von SIP-Trunks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - ref_id: APP.5.4.A13.1 - description: "Wenn SIP-Trunks administriert werden, SOLLTE f\xFCr folgende T\xE4\ - tigkeiten ein 4-Augen-Prinzip angewendet werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - ref_id: APP.5.4.A13.2 - description: "\u2022 \xC4nderungen an Routing-Konfigurationen" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - ref_id: APP.5.4.A13.3 - description: "\u2022 \xC4nderungen an Parametern, die im Rahmen von Call Admission\ - \ Control benutzt werden" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - ref_id: APP.5.4.A13.4 - description: "\u2022 \xC4nderungen hinsichtlich der Verschl\xFCsselung sowohl\ - \ in Richtung des eigenen Netzes als auch in Richtung des Provider-Netzes" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 - ref_id: APP.5.4.A13.5 - description: "\u2022 \xC4nderungen an weiteren sicherheitsrelevanten Konfigurationen\ - \ wie der lokalen Speicherung von Verbindungsdaten" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A14 - name: "Ende-zu-Ende-Verschl\xFCsselung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 - ref_id: APP.5.4.A14.1 - description: "F\xFCr UCC-Kommunikation SOLLTE eine sichere Ende-zu-Ende-Verschl\xFC\ - sselung benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 - ref_id: APP.5.4.A14.2 - description: "Die Ende-zu-Ende-Verschl\xFCsselung SOLLTE sich sowohl auf die\ - \ Signalisierung als auch auf die Mediendaten von Audio- und Videokommunikation\ - \ mit zwei oder mehr Teilnehmenden erstrecken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 - ref_id: APP.5.4.A14.3 - description: "Bei Konversationen zwischen UCC-Diensten von verschiedenen Herstellenden\ - \ SOLLTEN die \xFCbertragenen Informationen eingeschr\xE4nkt werden, sofern\ - \ eine Ende-zu-Ende-Verschl\xFCsselung nach Stand der Technik nicht m\xF6\ - glich ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A15 - name: "Einschr\xE4nkung von KI-Funktionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 - ref_id: APP.5.4.A15.1 - description: Die Benutzung von KI-Funktionen SOLLTE deaktiviert oder auf ein - Minimum reduziert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 - ref_id: APP.5.4.A15.2 - description: "Ist eine permanente Deaktivierung nicht m\xF6glich oder erw\xFC\ - nscht, SOLLTE festgelegt werden, dass Benutzende der UCC-Dienste zu Beginn\ - \ einer Konversation zielgerichtet KI-Funktionen deaktivieren, falls dies\ - \ m\xF6glich ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A16 - name: "Einsatz eines SBC an weiteren Netz\xFCberg\xE4ngen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 - ref_id: APP.5.4.A16.1 - description: "Erg\xE4nzend zu einem SBC am Netz\xFCbergang zum Provider, SOLLTEN\ - \ weitere SBC an internen Netz\xFCberg\xE4ngen eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 - ref_id: APP.5.4.A16.2 - description: "Hierbei SOLLTEN insbesondere Netz\xFCberg\xE4nge zwischen Netzsegmenten\ - \ mit unterschiedlichem Schutzbedarf ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 - ref_id: APP.5.4.A16.3 - description: "Der SBC SOLLTE sicherstellen, dass die Verschl\xFCsselungsmechanismen\ - \ an den SBC-gesicherten Netzsegment\xFCberg\xE4ngen anforderungskonform realisiert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A17 - name: "Einschr\xE4nkung der Benutzung von UCC-Diensten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.1 - description: "Folgende Aspekte SOLLTEN mindestens ber\xFCcksichtigt werden,\ - \ um die UCC-Dienste sowie die \xFCbertragenen Daten zus\xE4tzlich abzusichern:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.2 - description: "\u2022 Einschr\xE4nkung der Dienste entsprechend des Schutzbedarfs\ - \ der \xFCbertragenen Informationen" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.3 - description: "\u2022 Benutzung einer Multi-Faktor-Authentisierung f\xFCr Benutzende" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.4 - description: "\u2022 Deaktivierung von Funktionen f\xFCr externe Benutzende" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.5 - description: "\u2022 Deaktivierung der Speicherung von Metadaten" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 - ref_id: APP.5.4.A17.6 - description: "\u2022 Einschr\xE4nkung der Sichtbarkeit von kommunikationsbezogenen\ - \ Daten f\xFCr Administrierende Dar\xFCber hinaus SOLLTEN zus\xE4tzliche technische\ - \ und organisatorische Vorkehrungen getroffen werden, um Konversationen \xFC\ - ber die Vergabe von PINs bzw. Passw\xF6rtern hinaus abzusichern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 - ref_id: APP.5.4.A18 - name: Einbindung von UCC in ein Sicherheitsmonitoring - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 - ref_id: APP.5.4.A18.1 - description: "Die zentralen UCC-Komponenten SOLLTEN durch ein Sicherheitsmonitoring\ - \ \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 - ref_id: APP.5.4.A18.2 - description: "Dies SOLLTE mindestens f\xFCr Komponenten umgesetzt werden, die\ - \ wie Multipoint Control Units Verschl\xFCsselungsendpunkte realisieren oder\ - \ die wie SBCs an Vertrauensgrenzen positioniert sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 - ref_id: APP.5.4.A18.3 - description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ - \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ - \ SOLLTEN die zentralen UCC-Komponenten hierin eingebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.6 - name: Allgemeine Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A1 - name: Planung des Software-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.1 - description: "Bevor eine Institution eine (neue) Software einf\xFChrt, MUSS\ - \ sie entscheiden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.2 - description: "\u2022 wof\xFCr die Software genutzt und welche Informationen\ - \ damit verarbeitet werden sollen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.3 - description: "\u2022 wie die Benutzenden bei der Anforderungserhebung beteiligt\ - \ und bei der Einf\xFChrung unterst\xFCtzt werden sollen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.4 - description: "\u2022 wie die Software an weitere Anwendungen und IT-Systeme\ - \ \xFCber welche Schnittstellen angebunden wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.5 - description: "\u2022 auf welchen IT-Systemen die Software ausgef\xFChrt werden\ - \ soll und welche Ressourcen zur Ausf\xFChrung der Software erforderlich sind,\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.6 - description: "\u2022 ob sich die Institution in Abh\xE4ngigkeit zu einem Hersteller\ - \ oder einer Herstellerin begibt, wenn sie diese Software einsetzt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.7 - description: "Hierbei M\xDCSSEN bereits Sicherheitsaspekte ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.8 - description: "Zus\xE4tzlich MUSS die Institution die Zust\xE4ndigkeiten f\xFC\ - r fachliche Betreuung, Freigabe und betriebliche Administration schon im Vorfeld\ - \ kl\xE4ren und festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 - ref_id: APP.6.A1.9 - description: "Die Zust\xE4ndigkeiten M\xDCSSEN dokumentiert und bei Bedarf aktualisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A2 - name: "Erstellung eines Anforderungskatalogs f\xFCr Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.1 - description: "Auf Basis der Ergebnisse der Planung M\xDCSSEN die Anforderungen\ - \ an die Software in einem Anforderungskatalog erhoben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.2 - description: Der Anforderungskatalog MUSS dabei die grundlegenden funktionalen - Anforderungen umfassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.3 - description: "Dar\xFCber hinaus M\xDCSSEN die nichtfunktionalen Anforderungen\ - \ und hier insbesondere die Sicherheitsanforderungen in den Anforderungskatalog\ - \ integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.4 - description: "Hierbei M\xDCSSEN sowohl die Anforderungen von den Fachverantwortlichen\ - \ als auch vom IT-Betrieb ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.5 - description: "Insbesondere M\xDCSSEN auch die rechtlichen Anforderungen, die\ - \ sich aus dem Kontext der zu verarbeitenden Daten ergeben, ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 - ref_id: APP.6.A2.6 - description: Der fertige Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen - abgestimmt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A3 - name: Sichere Beschaffung von Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - ref_id: APP.6.A3.1 - description: "Wenn Software beschafft wird, MUSS auf Basis des Anforderungskatalogs\ - \ eine geeignete Software ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - ref_id: APP.6.A3.2 - description: "Die ausgew\xE4hlte Software MUSS aus vertrauensw\xFCrdigen Quellen\ - \ beschafft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - ref_id: APP.6.A3.3 - description: "Die vertrauensw\xFCrdige Quelle SOLLTE eine M\xF6glichkeit bereitstellen,\ - \ die Software auf Integrit\xE4t zu \xFCberpr\xFCfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - ref_id: APP.6.A3.4 - description: "Dar\xFCber hinaus SOLLTE die Software mit einem geeigneten Wartungsvertrag\ - \ oder einer vergleichbaren Zusage des herstellenden oder anbietenden Unternehmens\ - \ beschafft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 - ref_id: APP.6.A3.5 - description: "Diese Vertr\xE4ge oder Zusagen SOLLTEN insbesondere garantieren,\ - \ dass auftretende Sicherheitsl\xFCcken und Schwachstellen der Software w\xE4\ - hrend des gesamten Nutzungszeitraums zeitnah behoben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A4 - name: "Regelung f\xFCr die Installation und Konfiguration von Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.1 - description: Die Installation und Konfiguration der Software MUSS durch den - IT-Betrieb so geregelt werden, dass - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.2 - description: "\u2022 die Software nur mit dem geringsten notwendigen Funktionsumfang\ - \ installiert und ausgef\xFChrt wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.3 - description: "\u2022 die Software mit den geringsten m\xF6glichen Berechtigungen\ - \ ausgef\xFChrt wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.4 - description: "\u2022 die datensparsamsten Einstellungen (in Bezug auf die Verarbeitung\ - \ von personenbezogenen Daten) konfiguriert werden sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.5 - description: "\u2022 alle relevanten Sicherheitsupdates und -patches installiert\ - \ sind, bevor die Software produktiv eingesetzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.6 - description: "Hierbei M\xDCSSEN auch abh\xE4ngige Komponenten (unter anderem\ - \ Laufzeitumgebungen, Bibliotheken, Schnittstellen sowie weitere Programme)\ - \ mitbetrachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.7 - description: Der IT-Betrieb MUSS in Abstimmung mit den Fachverantwortlichen - festlegen, wer die Software wie installieren darf. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.8 - description: Idealerweise SOLLTE Software immer zentral durch den IT-Betrieb - installiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.9 - description: "Ist es erforderlich, dass die Software (teilweise) manuell installiert\ - \ wird, dann MUSS der IT-Betrieb eine Installationsanweisung erstellen, in\ - \ der klar geregelt wird, welche Zwischenschritte zur Installation durchzuf\xFC\ - hren und welche Konfigurationen vorzunehmen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.10 - description: "Dar\xFCber hinaus MUSS der IT-Betrieb regeln, wie die Integrit\xE4\ - t der Installationsdateien \xFCberpr\xFCft wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.11 - description: "Falls zu einem Installationspaket digitale Signaturen oder Pr\xFC\ - fsummen verf\xFCgbar sind, M\xDCSSEN mit diesen die Integrit\xE4t \xFCberpr\xFC\ - ft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.12 - description: Sofern erforderlich, SOLLTE der IT-Betrieb eine sichere Standardkonfiguration - der Software festlegen, mit der die Software konfiguriert wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 - ref_id: APP.6.A4.13 - description: Die Standardkonfiguration SOLLTE dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A5 - name: Sichere Installation von Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 - ref_id: APP.6.A5.1 - description: "Software MUSS entsprechend der Regelung f\xFCr die Installation\ - \ auf den IT-Systemen installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 - ref_id: APP.6.A5.2 - description: "Dabei M\xDCSSEN ausschlie\xDFlich unver\xE4nderte Versionen der\ - \ freigegebenen Software verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 - ref_id: APP.6.A5.3 - description: Wird von diesen Anweisungen abgewichen, MUSS dies durch Vorgesetzte - und den IT-Betrieb genehmigt werden und entsprechend dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A6 - name: "Ber\xFCcksichtigung empfohlener Sicherheitsanforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.1 - description: "Die Institution SOLLTE die nachfolgenden Sicherheitsanforderungen\ - \ im Anforderungskatalog f\xFCr die Software ber\xFCcksichtigen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.2 - description: "\u2022 Die Software SOLLTE generelle Sicherheitsfunktionen wie\ - \ Protokollierung und Authentifizierung umfassen, die im Anwendungskontext\ - \ erforderlich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.3 - description: "\u2022 Die Software SOLLTE es erm\xF6glichen, die H\xE4rtungsfunktionen\ - \ der Einsatzumgebung zu nutzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.4 - description: "Hierbei SOLLTEN insbesondere die H\xE4rtungsfunktionen des geplanten\ - \ Betriebssystems und der geplanten Ausf\xFChrungsumgebung ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.5 - description: "\u2022 Wenn durch die Software Informationen \xFCber ungesicherte,\ - \ \xF6ffentliche Netze \xFCbertragen werden, dann SOLLTE die Software sichere\ - \ Verschl\xFCsselungsfunktionen einsetzen, die dem Stand der Technik entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.6 - description: "Dar\xFCber hinaus SOLLTEN die \xFCbertragenen Daten auf Integrit\xE4\ - t \xFCberpr\xFCft werden, indem Pr\xFCfsummen oder digitale Signaturen eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.7 - description: "\u2022 Verwendet die Software Zertifikate, dann SOLLTE sie die\ - \ M\xF6glichkeit bieten, die Zertifikate transparent darzustellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.8 - description: "Zudem SOLLTE es m\xF6glich sein, Zertifikate zu sperren, ihnen\ - \ das Vertrauen zu entziehen oder eigene Zertifikate zu erg\xE4nzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 - ref_id: APP.6.A6.9 - description: Die sich aus den Sicherheitsanforderungen ergebenden Funktionen - der Software SOLLTEN im Betrieb verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A7 - name: Auswahl und Bewertung potentieller Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - ref_id: APP.6.A7.1 - description: "Anhand des Anforderungskatalogs SOLLTEN die am Markt erh\xE4ltlichen\ - \ Produkte gesichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - ref_id: APP.6.A7.2 - description: Sie SOLLTEN mithilfe einer Bewertungsskala miteinander verglichen - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - ref_id: APP.6.A7.3 - description: "Danach SOLLTE untersucht werden, ob die Produkte aus der engeren\ - \ Wahl die Anforderungen der Institution erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - ref_id: APP.6.A7.4 - description: "Gibt es mehrere Alternativen f\xFCr Produkte, SOLLTEN auch die\ - \ Akzeptanz der Benutzenden und der zus\xE4tzliche Aufwand f\xFCr z. B. Schulungen\ - \ oder die Migration ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 - ref_id: APP.6.A7.5 - description: "Fachverantwortliche SOLLTEN gemeinsam mit dem IT-Betrieb anhand\ - \ der Bewertungen und Testergebnisse ein geeignetes Softwareprodukt ausw\xE4\ - hlen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A8 - name: "Regelung zur Verf\xFCgbarkeit der Installationsdateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.1 - description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit der Installationsdateien\ - \ sicherstellen, um die Installation reproduzieren zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.2 - description: Hierzu SOLLTE der IT-Betrieb - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.3 - description: "\u2022 die Installationsdateien geeignet sichern oder" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.4 - description: "\u2022 die Verf\xFCgbarkeit der Installationsdateien durch die\ - \ Bezugsquelle (z. B. App-Store) sicherstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.5 - description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass Software reproduzierbar\ - \ konfiguriert werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.6 - description: Hierzu SOLLTEN die Konfigurationsdateien gesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.7 - description: Alternativ SOLLTE geeignet dokumentiert werden, wie die Software - konfiguriert wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 - ref_id: APP.6.A8.8 - description: Diese Regelung SOLLTE in das Datensicherungskonzept der Institution - integriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A9 - name: Inventarisierung von Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.1 - description: Software SOLLTE inventarisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.2 - description: In einem Bestandsverzeichnis SOLLTE dokumentiert werden, auf welchen - Systemen die Software unter welcher Lizenz eingesetzt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.3 - description: "Bei Bedarf SOLLTEN zus\xE4tzlich die sicherheitsrelevanten Einstellungen\ - \ miterfasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.4 - description: Software SOLLTE nur mit Lizenzen eingesetzt werden, die dem Einsatzzweck - und den vertraglichen Bestimmungen entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.5 - description: Die Lizenz SOLLTE den gesamten vorgesehenen Benutzungszeitraum - der Software abdecken. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.6 - description: Wird von einer Standardkonfiguration abgewichen, SOLLTE dies dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.7 - description: Das Bestandsverzeichnis SOLLTE anlassbezogen durch den IT-Betrieb - aktualisiert werden, insbesondere wenn Software installiert wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 - ref_id: APP.6.A9.8 - description: "Das Bestandsverzeichnis SOLLTE so aufgebaut sein, dass bei Sicherheitsvorf\xE4\ - llen eine schnelle Gesamt\xFCbersicht mit den notwendigen Details erm\xF6\ - glicht wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A10 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz der Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - ref_id: APP.6.A10.1 - description: Die Institution SOLLTE die Regelungen, die festlegen, wie die Software - eingesetzt und betrieben wird, in einer Sicherheitsrichtlinie zusammenfassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - ref_id: APP.6.A10.2 - description: "Die Richtlinie SOLLTE allen relevanten Verantwortlichen, Zust\xE4\ - ndigen und Mitarbeitenden der Institution bekannt sein und die Grundlage f\xFC\ - r ihre Arbeit und ihr Handeln bilden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - ref_id: APP.6.A10.3 - description: "Inhaltlich SOLLTE die Richtlinie auch ein Benutzenden-Handbuch\ - \ umfassen, dass erl\xE4utert, wie die Software zu benutzen und zu administrieren\ - \ ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - ref_id: APP.6.A10.4 - description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ - ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 - ref_id: APP.6.A10.5 - description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A11 - name: Verwendung von Plug-ins und Erweiterungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 - ref_id: APP.6.A11.1 - description: Es SOLLTEN nur unbedingt notwendige Plug-ins und Erweiterungen - installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 - ref_id: APP.6.A11.2 - description: "Werden Erweiterungen eingesetzt, SOLLTE die Software die M\xF6\ - glichkeit bieten, Erweiterungen zu konfigurieren und abzuschalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A12 - name: "Geregelte Au\xDFerbetriebnahme von Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 - ref_id: APP.6.A12.1 - description: "Wenn Software au\xDFer Betrieb genommen wird, SOLLTE der IT-Betrieb\ - \ mit den Fachverantwortlichen regeln, wie dies im Detail durchzuf\xFChren\ - \ ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 - ref_id: APP.6.A12.2 - description: "Ebenfalls SOLLTE geregelt werden, wie die Benutzenden hier\xFC\ - ber zu informieren sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 - ref_id: APP.6.A12.3 - description: "Hierbei SOLLTE gekl\xE4rt werden, ob die funktionalen Anforderungen\ - \ fortbestehen (z. B. zur Bearbeitung von Fachaufgaben)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 - ref_id: APP.6.A12.4 - description: "Ist dies der Fall, dann SOLLTE geregelt werden, wie die ben\xF6\ - tigten Funktionen der betroffenen Software weiter verf\xFCgbar sein werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A13 - name: Deinstallation von Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 - ref_id: APP.6.A13.1 - description: "Wird Software deinstalliert, SOLLTEN alle angelegten und nicht\ - \ mehr ben\xF6tigten Dateien entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 - ref_id: APP.6.A13.2 - description: "Alle Eintr\xE4ge in Systemdateien, die f\xFCr das Produkt vorgenommen\ - \ wurden und nicht l\xE4nger ben\xF6tigt werden, SOLLTEN r\xFCckg\xE4ngig\ - \ gemacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 - ref_id: APP.6.A14 - name: Nutzung zertifizierter Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 - ref_id: APP.6.A14.1 - description: "Bei der Beschaffung von Software SOLLTE festgelegt werden, ob\ - \ Zusicherungen des herstellenden oder anbietenden Unternehmens \xFCber implementierte\ - \ Sicherheitsfunktionen als ausreichend vertrauensw\xFCrdig anerkannt werden\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 - ref_id: APP.6.A14.2 - description: Ist dies nicht der Fall, SOLLTE eine Zertifizierung der Anwendung - z. B. nach Common Criteria als Entscheidungskriterium herangezogen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 - ref_id: APP.6.A14.3 - description: "Stehen mehrere Produkte zur Auswahl, SOLLTEN insbesondere dann\ - \ Sicherheitszertifikate ber\xFCcksichtigt werden, wenn der evaluierte Funktionsumfang\ - \ die Mindestfunktionalit\xE4t (weitestgehend) umfasst und die Mechanismenst\xE4\ - rke dem Schutzbedarf entspricht." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app - ref_id: APP.7 - name: Entwicklung von Individualsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A1 - name: Erweiterung der Planung des Software-Einsatzes um Aspekte von Individualsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - ref_id: APP.7.A1.1 - description: "Die Planung des Software-Einsatzes MUSS um Aspekte von Individualsoftware\ - \ erg\xE4nzt werden, indem definiert wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - ref_id: APP.7.A1.2 - description: "\u2022 wer daf\xFCr zust\xE4ndig ist, die Software-Entwicklung\ - \ bzw. den Auftragnehmenden zu steuern und zu koordinieren, sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - ref_id: APP.7.A1.3 - description: "\u2022 in was f\xFCr einen organisatorischen Rahmen die Software\ - \ zu entwickeln ist (Projektmanagementmodell)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - ref_id: APP.7.A1.4 - description: Individualsoftware SOLLTE im Rahmen eines Entwicklungsprojektes - entwickelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 - ref_id: APP.7.A1.5 - description: Das Entwicklungsprojekt sollte anhand eines Ablaufplans zeitlich - grob geplant werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A2 - name: Festlegung von Sicherheitsanforderungen an den Prozess der Software-Entwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 - ref_id: APP.7.A2.1 - description: Die Institution MUSS klare Anforderungen an den Prozess der Software-Entwicklung - definieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 - ref_id: APP.7.A2.2 - description: "Aus den Anforderungen MUSS hervorgehen, in was f\xFCr einer Umgebung\ - \ die Software entwickelt werden darf und welche technischen und organisatorischen\ - \ Ma\xDFnahmen von Seiten der beauftragten Software-Entwickelnden umzusetzen\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A3 - name: Festlegung der Sicherheitsfunktionen zur Systemintegration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.1 - description: "Der IT-Betrieb und die zust\xE4ndigen Fachverantwortlichen M\xDC\ - SSEN Anforderungen an die technische Einsatzumgebung der geplanten Individualsoftware\ - \ erstellen und mit der Software-Entwicklung abstimmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.2 - description: 'Aus den Anforderungen MUSS klar hervorgehen:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.3 - description: "\u2022 auf was f\xFCr einer Hardware-Plattform," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.4 - description: "\u2022 auf was f\xFCr einer Software-Plattform (inklusive gesamten\ - \ Software-Stack)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.5 - description: "\u2022 mit welchen zur Verf\xFCgung stehenden Ressourcen (z. B.\ - \ CPU-Cluster oder Arbeitsspeicher)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.6 - description: "\u2022 mit welchen Schnittstellen mit anderen IT-Systemen oder\ - \ Anwendungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.7 - description: "\u2022 mit welchen sich hieraus ergebenen Sicherheitsfunktionen\ - \ die Anwendung eingesetzt werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 - ref_id: APP.7.A3.8 - description: Schnittstellen mit anderen IT-Systemen SOLLTEN in standardisierten - technischen Formaten modelliert und definiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A4 - name: Anforderungsgerechte Beauftragung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 - ref_id: APP.7.A4.1 - description: "Wird Individualsoftware durch die eigene Institution entwickelt\ - \ oder extern beauftragt, dann M\xDCSSEN neben den bestehenden rechtlichen\ - \ und organisatorischen Vorgaben insbesondere" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 - ref_id: APP.7.A4.2 - description: "\u2022 der Anforderungskatalog (siehe hierzu APP.6 Allgemeine\ - \ Software)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 - ref_id: APP.7.A4.3 - description: "\u2022 die Sicherheitsanforderungen an den Prozess der Software-Entwicklung,\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 - ref_id: APP.7.A4.4 - description: "\u2022 die Sicherheitsfunktionen zur Systemintegration als Grundlage\ - \ zur Software-Entwicklung verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A5 - name: Geeignete Steuerung der Anwendungsentwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.1 - description: Bei der Entwicklung von Individualsoftware SOLLTE ein geeignetes - Steuerungs- und Projektmanagementmodell verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.2 - description: "Hierbei SOLLTE das ausgew\xE4hlte Modell mit dem Auftragnehmenden\ - \ abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.3 - description: "Bei der Steuerung SOLLTE es ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.4 - description: "Es SOLLTE insbesondere ber\xFCcksichtigt werden, dass das ben\xF6\ - tigte Personal ausreichend qualifiziert ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.5 - description: "Alle relevanten Phasen SOLLTEN w\xE4hrend des Lebenszyklus der\ - \ Software abgedeckt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 - ref_id: APP.7.A5.6 - description: "Au\xDFerdem SOLLTE es ein geeignetes Entwicklungsmodell, ein Risikomanagement\ - \ sowie Qualit\xE4tsziele enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A6 - name: Dokumentation der Anforderungen an die Individualsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - ref_id: APP.7.A6.1 - description: Die Anforderungen aus den Anforderungskatalog, die Sicherheitsanforderungen - an den Prozess der Software-Entwicklung, sowie die Sicherheitsfunktionen zur - Systemintegration SOLLTEN umfassend dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - ref_id: APP.7.A6.2 - description: "Insbesondere SOLLTE ein Sicherheitsprofil f\xFCr die Anwendung\ - \ erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - ref_id: APP.7.A6.3 - description: Dieses SOLLTE den Schutzbedarf der zu verarbeitenden Daten und - Funktionen dokumentieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - ref_id: APP.7.A6.4 - description: "Die Dokumentation mitsamt Sicherheitsprofil SOLLTE den Entwickelnden\ - \ zur Software-Entwicklung zur Verf\xFCgung gestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 - ref_id: APP.7.A6.5 - description: "Die Dokumentation SOLLTE bei \xC4nderungen an der Individualsoftware\ - \ sowie bei funktionalen Updates aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A7 - name: Sichere Beschaffung von Individualsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - ref_id: APP.7.A7.1 - description: "Das Entwicklungsprojekt SOLLTE im Rahmen des hierf\xFCr bestens\ - \ geeigneten Projektmanagementmodells beauftragt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - ref_id: APP.7.A7.2 - description: "Sicherheitsaspekte SOLLTEN dabei bereits bei der Ausschreibung\ - \ und Vergabe ber\xFCcksichtigt werden, sodass" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - ref_id: APP.7.A7.3 - description: "\u2022 einerseits nur geeignete Auftragnehmende beauftragt werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - ref_id: APP.7.A7.4 - description: "\u2022 andererseits aber keine weitreichenden R\xFCckschl\xFC\ - sse auf die Sicherheitsarchitektur durch die \xF6ffentlich verf\xFCgbaren\ - \ Informationen m\xF6glich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 - ref_id: APP.7.A7.5 - description: "In der Institution SOLLTEN definierte Prozesse und festgelegte\ - \ Kontaktpersonen existieren, die sicherstellen, dass die jeweiligen Rahmenbedingungen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A8 - name: "Fr\xFChzeitige Beteiligung der Fachverantwortlichen bei entwicklungsbegleitenden\ - \ Software-Tests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 - ref_id: APP.7.A8.1 - description: "Fachverantwortliche SOLLTEN schon vor der endg\xFCltigen Abnahme\ - \ fr\xFChzeitig an entwicklungsbegleitenden Tests der Software-Entwickelnden\ - \ beteiligt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 - ref_id: APP.7.A8.2 - description: "Dies SOLLTE in Abstimmung mit dem Auftragnehmenden bereits initial\ - \ im Projektablaufplan ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A9 - name: "Treuh\xE4nderische Hinterlegung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - ref_id: APP.7.A9.1 - description: "F\xFCr institutionskritische Anwendungen SOLLTE gepr\xFCft werden,\ - \ ob diese gegen Ausfall des herstellenden Unternehmens abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - ref_id: APP.7.A9.2 - description: "Daf\xFCr SOLLTEN nicht zum Lieferumfang der Anwendung geh\xF6\ - rende Materialien und Informationen treuh\xE4nderisch hinterlegt werden, etwa\ - \ bei einer Escrow-Agentur." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - ref_id: APP.7.A9.3 - description: "Dokumentierter Code, Konstruktionspl\xE4ne, Schl\xFCssel oder\ - \ Passw\xF6rter SOLLTEN dazu geh\xF6ren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - ref_id: APP.7.A9.4 - description: Die Pflichten der Escrow-Agentur zur Hinterlegung und Herausgabe - SOLLTEN vertraglich geregelt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 - ref_id: APP.7.A9.5 - description: "Es SOLLTE gekl\xE4rt werden, wann das Hinterlegte an wen herausgegeben\ - \ werden darf." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 - ref_id: APP.7.A10 - name: Beauftragung zertifizierter Software-Entwicklungsunternehmen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 - ref_id: APP.7.A10.1 - description: Werden besonders sicherheitskritische Anwendungen entwickelt, SOLLTEN - hierzu zertifizierte Software-Entwicklungsunternehmen beauftragt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 - ref_id: APP.7.A10.2 - description: "Die Zertifizierung SOLLTE Sicherheitsaspekte f\xFCr relevante\ - \ Aspekte der Software-Entwicklung umfassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - assessable: false - depth: 1 - ref_id: CON - name: Konzeption und Vorgehensweisen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.1 - name: Kryptokonzept - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A1 - name: Auswahl geeigneter kryptografischer Verfahren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - ref_id: CON.1.A1.1 - description: "Es M\xDCSSEN geeignete kryptografische Verfahren ausgew\xE4hlt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - ref_id: CON.1.A1.2 - description: "Dabei MUSS sichergestellt sein, dass etablierte Algorithmen verwendet\ - \ werden, die von der Fachwelt intensiv untersucht wurden und von denen keine\ - \ Sicherheitsl\xFCcken bekannt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - ref_id: CON.1.A1.3 - description: "Ebenso M\xDCSSEN aktuell empfohlene Schl\xFCssell\xE4ngen verwendet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - ref_id: CON.1.A1.4 - description: "Um eine geeignete Schl\xFCssell\xE4nge auszuw\xE4hlen, SOLLTE\ - \ ber\xFCcksichtigt werden, wie lange das kryptografische Verfahren eingesetzt\ - \ werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 - ref_id: CON.1.A1.5 - description: "Bei einer l\xE4ngeren Einsatzdauer SOLLTEN entsprechend l\xE4\ - ngere Schl\xFCssell\xE4ngen eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A2 - name: Datensicherung beim Einsatz kryptografischer Verfahren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - ref_id: CON.1.A2.1 - description: "In Datensicherungen M\xDCSSEN kryptografische Schl\xFCssel vom\ - \ IT-Betrieb derart gespeichert oder aufbewahrt werden, dass Unbefugte nicht\ - \ darauf zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - ref_id: CON.1.A2.2 - description: "Langlebige kryptografische Schl\xFCssel M\xDCSSEN offline, au\xDF\ - erhalb der eingesetzten IT-Systeme, aufbewahrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - ref_id: CON.1.A2.3 - description: "Bei einer Langzeitspeicherung verschl\xFCsselter Informationen\ - \ SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die verwendeten kryptografischen\ - \ Algorithmen und die Schl\xFCssell\xE4ngen noch f\xFCr die jeweiligen Informationen\ - \ geeignet sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - ref_id: CON.1.A2.4 - description: "Der IT-Betrieb MUSS sicherstellen, dass auf verschl\xFCsselt gespeicherte\ - \ Informationen auch nach l\xE4ngeren Zeitr\xE4umen noch zugegriffen werden\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 - ref_id: CON.1.A2.5 - description: Verwendete Hard- oder Software mit kryptografischen Funktionen - SOLLTE archiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A4 - name: "Geeignetes Schl\xFCsselmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.1 - description: "In einem geeigneten Schl\xFCsselmanagement f\xFCr kryptografische\ - \ Hard oder Software MUSS festgelegt werden, wie Schl\xFCssel und Zertifikate\ - \ erzeugt, gespeichert, ausgetauscht und wieder gel\xF6scht oder vernichtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.2 - description: "Es MUSS ferner festgelegt werden, wie die Integrit\xE4t und Authentizit\xE4\ - t der Schl\xFCssel sichergestellt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.3 - description: "Kryptografische Schl\xFCssel SOLLTEN immer mit geeigneten Schl\xFC\ - sselgeneratoren und in einer sicheren Umgebung erzeugt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.4 - description: "In Hard- oder Software mit kryptografischen Funktionen SOLLTEN\ - \ voreingestellte Schl\xFCssel (ausgenommen \xF6ffentliche Zertifikate) ersetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.5 - description: "Ein Schl\xFCssel SOLLTE m\xF6glichst nur einem Einsatzzweck dienen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.6 - description: "Insbesondere SOLLTEN f\xFCr die Verschl\xFCsselung und Signaturbildung\ - \ unterschiedliche Schl\xFCssel benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.7 - description: "Kryptografische Schl\xFCssel SOLLTEN mit sicher geltenden Verfahren\ - \ ausgetauscht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.8 - description: "Wenn \xF6ffentliche Schl\xFCssel von Dritten verwendet werden,\ - \ MUSS sichergestellt sein, dass die Schl\xFCssel authentisch sind und die\ - \ Integrit\xE4t der Schl\xFCsseldaten gew\xE4hrleistet ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.9 - description: "Geheime Schl\xFCssel M\xDCSSEN sicher gespeichert und vor unbefugtem\ - \ Zugriff gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.10 - description: "Alle kryptografischen Schl\xFCssel SOLLTEN hinreichend h\xE4ufig\ - \ gewechselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.11 - description: "Grunds\xE4tzlich SOLLTE geregelt werden, wie mit abgelaufenen\ - \ Schl\xFCsseln und damit verbundenen Signaturen verfahren wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.12 - description: "Falls die G\xFCltigkeit von Schl\xFCsseln oder Zertifikaten zeitlich\ - \ eingeschr\xE4nkt wird, dann MUSS durch die Institution sichergestellt werden,\ - \ dass die zeitlich eingeschr\xE4nkten Zertifikate oder Schl\xFCssel rechtzeitig\ - \ erneuert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.13 - description: "Eine Vorgehensweise SOLLTE f\xFCr den Fall festgelegt werden,\ - \ dass ein privater Schl\xFCssel offengelegt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 - ref_id: CON.1.A4.14 - description: "Alle erzeugten kryptografischen Schl\xFCssel SOLLTEN sicher aufbewahrt\ - \ und verwaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A5 - name: "Sicheres L\xF6schen und Vernichten von kryptografischen Schl\xFCsseln" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 - ref_id: CON.1.A5.1 - description: "Nicht mehr ben\xF6tigte private Schl\xFCssel SOLLTEN sicher gel\xF6\ - scht oder vernichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 - ref_id: CON.1.A5.2 - description: "Die Vorgehensweisen und eingesetzten Methoden, um nicht mehr ben\xF6\ - tigte private Schl\xFCssel zu l\xF6schen oder zu vernichten, SOLLTEN im Kryptokonzept\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A9 - name: "Festlegung von Kriterien f\xFCr die Auswahl von Hard- oder Software mit\ - \ kryptografischen Funktionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.1 - description: Im Kryptokonzept SOLLTE festgelegt werden, anhand welcher Kriterien - und Anforderungen Hard- oder Software mit kryptografischen Funktionen ausgesucht - wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.2 - description: Hierbei SOLLTEN Aspekte wie - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.3 - description: "\u2022 Funktionsumfang," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.4 - description: "\u2022 Interoperabilit\xE4t," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.5 - description: "\u2022 Wirtschaftlichkeit," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.6 - description: "\u2022 Fehlbedienungs- und Fehlfunktionssicherheit," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.7 - description: "\u2022 technische Aspekte," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.8 - description: "\u2022 personelle und organisatorische Aspekte," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.9 - description: "\u2022 Lebensdauer von kryptografischen Verfahren und der eingesetzten\ - \ Schl\xFCssell\xE4ngen sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.10 - description: "\u2022 gesetzliche Rahmenbedingungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.11 - description: "\u2022 internationale rechtliche Aspekte wie Export- und Importbeschr\xE4\ - nkungen f\xFCr Hard- oder Software mit kryptografischen Funktionen, wenn die\ - \ kryptografischen Verfahren auch im Ausland eingesetzt werden" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.12 - description: "\u2022 Datenschutz ber\xFCcksichtigt und im Kryptokonzept dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 - ref_id: CON.1.A9.13 - description: "Dabei SOLLTE grunds\xE4tzlich zertifizierte Hard- oder Software\ - \ mit kryptografischen Funktionen, deren Zertifizierung die jeweils relevanten\ - \ Aspekte der Kryptografie umfasst, bevorzugt ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A10 - name: Erstellung eines Kryptokonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.1 - description: "Ausgehend von dem allgemeinen Sicherheitskonzept der Institution\ - \ SOLLTE ein Kryptokonzept f\xFCr Hard- oder Software mit kryptografischen\ - \ Funktionen erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.2 - description: Im Kryptokonzept SOLLTE beschrieben werden, - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.3 - description: "\u2022 wie die Datensicherungen von kryptografischen Schl\xFC\ - sseln durchgef\xFChrt werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.4 - description: "\u2022 wie das Schl\xFCsselmanagement von kryptografischen Schl\xFC\ - sseln ausgestaltet ist sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.5 - description: "\u2022 wie das Krypto-Kastaster erhoben wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.6 - description: Weiterhin SOLLTE im Kryptokonzept beschrieben werden, wie sichergestellt - wird, dass kryptografische Funktionen von Hard- oder Software sicher konfiguriert - und korrekt eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.7 - description: "Im Kryptokonzept SOLLTEN alle technischen Vorgaben f\xFCr Hard-\ - \ und Software mit kryptografischen Funktionen beschrieben werden (z. B. Anforderungen,\ - \ Konfiguration oder Parameter)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.8 - description: "Um geeignete kryptografische Verfahren auszuw\xE4hlen, SOLLTE\ - \ die BSI TR 02102 ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.9 - description: "Wird das Kryptokonzept ver\xE4ndert oder von ihm abgewichen, SOLLTE\ - \ dies mit dem oder der ISB abgestimmt und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.10 - description: Das Kryptokonzept SOLLTE allen bekannt sein, die kryptografische - Verfahren einsetzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.11 - description: "Au\xDFerdem SOLLTE es bindend f\xFCr ihre Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 - ref_id: CON.1.A10.12 - description: Insbesondere der IT-Betrieb SOLLTE die kryptografischen Vorgaben - des Kryptokonzepts umsetzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A11 - name: Test von Hardware mit kryptografischen Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 - ref_id: CON.1.A11.1 - description: "Im Kryptokonzept SOLLTEN Testverfahren f\xFCr Hardware mit kryptografischen\ - \ Funktionen festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 - ref_id: CON.1.A11.2 - description: Bevor Hardware mit kryptografischen Funktionen eingesetzt wird, - sollte getestet werden, ob die kryptografischen Funktionen korrekt funktionieren. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 - ref_id: CON.1.A11.3 - description: "Wenn ein IT-System ge\xE4ndert wird, SOLLTE getestet werden, ob\ - \ die eingesetzte kryptografische Hardware noch ordnungsgem\xE4\xDF funktioniert." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 - ref_id: CON.1.A11.4 - description: "Die Konfiguration der kryptografischen Hardware SOLLTE regelm\xE4\ - \xDFig \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A15 - name: "Reaktion auf praktische Schw\xE4chung eines Kryptoverfahrens" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 - ref_id: CON.1.A15.1 - description: "Die Institution SOLLTE mindestens j\xE4hrlich anhand des Krypto-Katasters\ - \ \xFCberpr\xFCfen, ob die eingesetzten kryptografischen Verfahren und die\ - \ zugeh\xF6rigen Parameter noch ausreichend sicher sind und keine bekannten\ - \ Schwachstellen aufweisen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 - ref_id: CON.1.A15.2 - description: "Im Kryptokonzept SOLLTE ein Prozess f\xFCr den Fall definiert\ - \ und dokumentiert werden, dass Schwachstellen in kryptografischen Verfahren\ - \ auftreten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 - ref_id: CON.1.A15.3 - description: "Dabei SOLLTE sichergestellt werden, dass das geschw\xE4chte kryptografische\ - \ Verfahren entweder abgesichert oder durch eine geeignete Alternative abgel\xF6\ - st wird, sodass hieraus kein Sicherheitsrisiko entsteht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A16 - name: Physische Absicherung von Hardware mit kryptografischen Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16 - ref_id: CON.1.A16.1 - description: Im Kryptokonzept SOLLTE festgelegt werden, wie der IT-Betrieb sicherstellt, - dass nicht unautorisiert physisch auf Hardware mit kryptografischen Funktionen - zugegriffen werden kann. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A17 - name: Abstrahlsicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 - ref_id: CON.1.A17.1 - description: "Es SOLLTE gepr\xFCft werden, ob zus\xE4tzliche Ma\xDFnahmen hinsichtlich\ - \ der Abstrahlsicherheit notwendig sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 - ref_id: CON.1.A17.2 - description: "Dies SOLLTE insbesondere dann geschehen, wenn staatliche Verschlusssachen\ - \ (VS) der Geheimhaltungsgrade VS-VERTRAULICH und h\xF6her verarbeitet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 - ref_id: CON.1.A17.3 - description: "Getroffene Ma\xDFnahmen hinsichtlich der Abstrahlsicherheit SOLLTEN\ - \ im Kryptokonzept dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A18 - name: Kryptografische Ersatzhardware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 - ref_id: CON.1.A18.1 - description: "Hardware mit kryptografischen Funktionen (z. B. Hardware-Token\ - \ f\xFCr Zwei-Faktor-Authentifizierung) SOLLTE vorr\xE4tig sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 - ref_id: CON.1.A18.2 - description: "Im Kryptokonzept SOLLTE dokumentiert werden, f\xFCr welche Hardware\ - \ mit kryptografischen Funktionen Ersatzhardware zur Verf\xFCgung steht und\ - \ wie diese ausgetauscht werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A19 - name: Erstellung eines Krypto-Katasters - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.1 - description: "F\xFCr jede Gruppe von IT-Systemen SOLLTEN folgende Informationen\ - \ im Krypto-Kataster festgehalten werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.2 - description: "\u2022 Einsatzzweck (z. B. Festplattenverschl\xFCsselung oder\ - \ Verschl\xFCsselung einer Kommunikationsverbindung)" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.3 - description: "\u2022 Zust\xE4ndige" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.4 - description: "\u2022 eingesetztes kryptografische Verfahren" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.5 - description: "\u2022 eingesetzte Hard- oder Software mit kryptografischen Funktionen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 - ref_id: CON.1.A19.6 - description: "\u2022 eingesetzte sicherheitsrelevante Parameter (z. B. Schl\xFC\ - ssell\xE4ngen)" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 - ref_id: CON.1.A20 - name: "Manipulationserkennung f\xFCr Hard- oder Software mit kryptografischen\ - \ Funktionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20 - ref_id: CON.1.A20.1 - description: "Hard- und Software mit kryptografischen Funktionen SOLLTE auf\ - \ Manipulationsversuche hin \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.2 - name: Datenschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2 - ref_id: CON.2.A1 - name: Umsetzung Standard-Datenschutzmodell - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 - ref_id: CON.2.A1.1 - description: "Die gesetzlichen Bestimmungen zum Datenschutz (DSGVO, BDSG, die\ - \ Datenschutzgesetze der Bundesl\xE4nder und gegebenenfalls einschl\xE4gige\ - \ bereichsspezifische Datenschutzregelungen) M\xDCSSEN eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 - ref_id: CON.2.A1.2 - description: "Wird die SDM-Methodik nicht ber\xFCcksichtigt, die Ma\xDFnahmen\ - \ also nicht auf der Basis der Gew\xE4hrleistungsziele systematisiert und\ - \ mit dem Referenzma\xDFnahmen-Katalog des SDM abgeglichen, SOLLTE dies begr\xFC\ - ndet und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.3 - name: Datensicherungskonzept - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A1 - name: "Erhebung der Einflussfaktoren f\xFCr Datensicherungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.1 - description: "Der IT-Betrieb MUSS f\xFCr jedes IT-System und darauf ausgef\xFC\ - hrten Anwendungen die Rahmenbedingungen f\xFCr die Datensicherung erheben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.2 - description: "Dazu M\xDCSSEN die Fachverantwortlichen f\xFCr die Anwendungen\ - \ ihre Anforderungen an die Datensicherung definieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.3 - description: 'Der IT-Betrieb MUSS mindestens die nachfolgenden Rahmenbedingungen - mit den Fachverantwortlichen abstimmen:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.4 - description: "\u2022 zu sichernde Daten," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.5 - description: "\u2022 Speichervolumen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.6 - description: "\u2022 \xC4nderungsvolumen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.7 - description: "\u2022 \xC4nderungszeitpunkte," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.8 - description: "\u2022 Verf\xFCgbarkeitsanforderungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.9 - description: "\u2022 Vertraulichkeitsanforderungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.10 - description: "\u2022 Integrit\xE4tsbedarf," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.11 - description: "\u2022 rechtliche Anforderungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.12 - description: "\u2022 Anforderungen an das L\xF6schen und Vernichten der Daten\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.13 - description: "\u2022 Zust\xE4ndigkeiten f\xFCr die Datensicherung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.14 - description: "Die Einflussfaktoren M\xDCSSEN nachvollziehbar und auf geeignete\ - \ Weise festgehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 - ref_id: CON.3.A1.15 - description: "Neue Anforderungen M\xDCSSEN zeitnah ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A2 - name: "Festlegung der Verfahrensweisen f\xFCr die Datensicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.1 - description: Der IT-Betrieb MUSS Verfahren festlegen, wie die Daten gesichert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.2 - description: "F\xFCr die Datensicherungsverfahren M\xDCSSEN Art, H\xE4ufigkeit\ - \ und Zeitpunkte der Datensicherungen bestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.3 - description: Dies MUSS wiederum auf Basis der erhobenen Einflussfaktoren und - in Abstimmung mit den jeweiligen Fachverantwortlichen geschehen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.4 - description: "Auch MUSS definiert sein, welche Speichermedien benutzt werden\ - \ und wie die Transport- und Aufbewahrungsmodalit\xE4ten ausgestaltet sein\ - \ m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.5 - description: "Datensicherungen M\xDCSSEN immer auf separaten Speichermedien\ - \ f\xFCr die Datensicherung gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.6 - description: "Besonders sch\xFCtzenswerte Speichermedien f\xFCr die Datensicherung\ - \ SOLLTEN nur w\xE4hrend der Datensicherung und Datenwiederherstellung mit\ - \ dem Netz der Institution oder dem Ursprungssystem verbunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 - ref_id: CON.3.A2.7 - description: "In virtuellen Umgebungen sowie f\xFCr Storage-Systeme SOLLTE gepr\xFC\ - ft werden, ob das IT-System erg\xE4nzend durch Snapshot-Mechanismen gesichert\ - \ werden kann, um hierdurch mehrere schnell wiederherstellbare Zwischenversionen\ - \ zwischen den vollst\xE4ndigen Datensicherungen zu erstellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A4 - name: "Erstellung von Datensicherungspl\xE4nen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.1 - description: "Der IT-Betrieb MUSS Datensicherungspl\xE4ne je IT-System oder\ - \ Gruppe von IT-Systemen auf Basis der festgelegten Verfahrensweise f\xFC\ - r die Datensicherung erstellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.2 - description: "Diese M\xDCSSEN festlegen, welche Anforderungen f\xFCr die Datensicherung\ - \ mindestens einzuhalten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.3 - description: "Die Datensicherungspl\xE4ne M\xDCSSEN mindestens eine kurze Beschreibung\ - \ dazu enthalten:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.4 - description: "\u2022 welche IT-Systeme und welche darauf befindlichen Daten\ - \ durch welche Datensicherung gesichert werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.5 - description: "\u2022 in welcher Reihenfolge IT-System und Anwendungen wiederhergestellt\ - \ werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.6 - description: "\u2022 wie die Datensicherungen erstellt und wiederhergestellt\ - \ werden k\xF6nnen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.7 - description: "\u2022 wie lange Datensicherungen aufbewahrt werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.8 - description: "\u2022 wie die Datensicherungen vor unbefugtem Zugriff und \xDC\ - berschreiben gesichert werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.9 - description: "\u2022 welche Parameter zu w\xE4hlen sind sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 - ref_id: CON.3.A4.10 - description: "\u2022 welche Hard- und Software eingesetzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A5 - name: "Regelm\xE4\xDFige Datensicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 - ref_id: CON.3.A5.1 - description: "Regelm\xE4\xDFige Datensicherungen M\xDCSSEN gem\xE4\xDF den Datensicherungspl\xE4\ - nen erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 - ref_id: CON.3.A5.2 - description: "Alle Mitarbeitenden M\xDCSSEN \xFCber die Regelungen zur Datensicherung\ - \ informiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 - ref_id: CON.3.A5.3 - description: "Auch M\xDCSSEN sie dar\xFCber informiert werden, welche Aufgaben\ - \ sie bei der Erstellung von Datensicherungen haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A6 - name: Entwicklung eines Datensicherungskonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.1 - description: 'Die Institution SOLLTE ein Datensicherungskonzept erstellen, dass - mindestens die nachfolgenden Punkte umfasst:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.2 - description: "\u2022 Definitionen zu wesentlichen Aspekten der Datensicherung\ - \ (z. B. unterschiedliche Verfahrensweisen zur Datensicherung)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.3 - description: "\u2022 Gef\xE4hrdungslage," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.4 - description: "\u2022 Einflussfaktoren je IT-System oder Gruppe von IT-Systemen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.5 - description: "\u2022 Datensicherungspl\xE4ne je IT-System oder Gruppe von IT-Systemen\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.6 - description: "\u2022 relevante Ergebnisse des Notfallmanagements/BCM, insbesondere\ - \ die Recovery Point Objective (RPO) je IT-System oder Gruppe von IT-Systemen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.7 - description: Der IT-Betrieb SOLLTE das Datensicherungskonzept mit den jeweiligen - Fachverantwortlichen der betreffenden Anwendungen abstimmen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.8 - description: "Wird ein zentrales Datensicherungssystem f\xFCr die Sicherung\ - \ der Daten eingesetzt, SOLLTE beachtet werden, dass sich aufgrund der Konzentration\ - \ der Daten ein h\xF6herer Schutzbedarf ergeben kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.9 - description: "Datensicherungen SOLLTEN regelm\xE4\xDFig gem\xE4\xDF dem Datensicherungskonzept\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.10 - description: Das Datensicherungskonzept selbst SOLLTE auch in einer Datensicherung - enthalten sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.11 - description: "Die im Datensicherungskonzept enthaltenen technischen Informationen,\ - \ um Systeme und Datensicherungen wiederherzustellen (Datensicherungspl\xE4\ - ne), SOLLTEN in der Art gesichert werden, dass sie auch verf\xFCgbar sind,\ - \ wenn die Datensicherungssysteme selbst ausfallen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.12 - description: "Die Mitarbeitenden SOLLTEN \xFCber den Teil des Datensicherungskonzepts\ - \ unterrichtet werden, der sie betrifft." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 - ref_id: CON.3.A6.13 - description: "Regelm\xE4\xDFig SOLLTE kontrolliert werden, ob das Datensicherungskonzept\ - \ korrekt umgesetzt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A7 - name: Beschaffung eines geeigneten Datensicherungssystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 - ref_id: CON.3.A7.1 - description: "Bevor ein Datensicherungssystem beschafft wird, SOLLTE der IT-Betrieb\ - \ eine Anforderungsliste erstellen, nach der die am Markt erh\xE4ltlichen\ - \ Produkte bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 - ref_id: CON.3.A7.2 - description: "Die angeschafften Datensicherungssysteme SOLLTEN die Anforderungen\ - \ des Datensicherungskonzepts der Institution erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A9 - name: "Voraussetzungen f\xFCr die Online-Datensicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.1 - description: "Wenn f\xFCr die Datensicherung ein Online-Speicher genutzt werden\ - \ soll, SOLLTEN mindestens folgende Punkte vertraglich geregelt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.2 - description: "\u2022 Gestaltung des Vertrages," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.3 - description: "\u2022 Ort der Datenspeicherung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.4 - description: "\u2022 Vereinbarungen zur Dienstg\xFCte (SLA), insbesondere in\ - \ Hinsicht auf die Verf\xFCgbarkeit," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.5 - description: "\u2022 geeignete Authentisierungsmethoden f\xFCr den Zugriff," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.6 - description: "\u2022 Verschl\xFCsselung der Daten auf dem Online-Speicher sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.7 - description: "\u2022 Verschl\xFCsselung auf dem Transportweg." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 - ref_id: CON.3.A9.8 - description: "Zudem SOLLTEN Sicherungssystem und Netzanbindung so beschaffen\ - \ sein, dass die zul\xE4ssigen Sicherungs- bzw. Wiederherstellungszeiten nicht\ - \ \xFCberschritten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A12 - name: "Sichere Aufbewahrung der Speichermedien f\xFCr die Datensicherungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 - ref_id: CON.3.A12.1 - description: "Die Speichermedien f\xFCr die Datensicherung M\xDCSSEN r\xE4umlich\ - \ getrennt von den gesicherten IT-Systemen aufbewahrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 - ref_id: CON.3.A12.2 - description: Sie SOLLTEN in einem anderen Brandabschnitt aufbewahrt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 - ref_id: CON.3.A12.3 - description: "Der Aufbewahrungsort SOLLTE so klimatisiert sein, dass die Datentr\xE4\ - ger entsprechend der zeitlichen Vorgaben des Datensicherungskonzepts aufbewahrt\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A13 - name: Einsatz kryptografischer Verfahren bei der Datensicherung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 - ref_id: CON.3.A13.1 - description: "Um die Vertraulichkeit der gesicherten Daten zu gew\xE4hrleisten,\ - \ SOLLTE der IT-Betrieb alle Datensicherungen verschl\xFCsseln." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 - ref_id: CON.3.A13.2 - description: "Es SOLLTE sichergestellt werden, dass sich die verschl\xFCsselten\ - \ Daten auch nach l\xE4ngerer Zeit wieder einspielen lassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 - ref_id: CON.3.A13.3 - description: "Verwendete kryptografische Schl\xFCssel SOLLTEN mit einer getrennten\ - \ Datensicherung gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A14 - name: Schutz von Datensicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 - ref_id: CON.3.A14.1 - description: "Die erstellten Datensicherungen M\xDCSSEN in geeigneter Weise\ - \ vor unbefugtem Zugriff gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 - ref_id: CON.3.A14.2 - description: "Hierbei MUSS insbesondere sichergestellt werden, dass Datensicherungen\ - \ nicht absichtlich oder unbeabsichtigt \xFCberschrieben werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 - ref_id: CON.3.A14.3 - description: "IT-Systeme, die f\xFCr die Datensicherung eingesetzt werden, SOLLTEN\ - \ einen schreibenden Zugriff auf die Speichermedien f\xFCr die Datensicherung\ - \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ - tigkeiten gestatten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 - ref_id: CON.3.A14.4 - description: "Alternativ SOLLTEN die Speichermedien f\xFCr die Datensicherung\ - \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ - tigkeiten mit den entsprechenden IT-Systemen verbunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 - ref_id: CON.3.A15 - name: "Regelm\xE4\xDFiges Testen der Datensicherungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15 - ref_id: CON.3.A15.1 - description: "Es MUSS regelm\xE4\xDFig getestet werden, ob die Datensicherungen\ - \ wie gew\xFCnscht funktionieren, vor allem, ob gesicherte Daten einwandfrei\ - \ und in angemessener Zeit zur\xFCckgespielt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.6 - name: "L\xF6schen und Vernichten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A1 - name: "Regelung f\xFCr die L\xF6schung und Vernichtung von Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.1 - description: "Die Institution MUSS das L\xF6schen und Vernichten von Informationen\ - \ regeln." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.2 - description: "Dabei M\xDCSSEN die Fachverantwortlichen f\xFCr jedes Fachverfahren\ - \ bzw. Gesch\xE4ftsprozess regeln, welche Informationen unter welchen Voraussetzungen\ - \ gel\xF6scht und entsorgt werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.3 - description: "Hierbei M\xDCSSEN die gesetzlichen Bestimmungen beachtet werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.4 - description: "\u2022 die einerseits minimale Aufbewahrungsfristen bestimmen\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.5 - description: "\u2022 anderseits maximale Aufbewahrungszeiten und ein Anrecht\ - \ auf das sichere L\xF6schen von personenbezogenen Daten garantieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.6 - description: "Sind personenbezogene Daten betroffen, dann M\xDCSSEN die Regelungen\ - \ zum L\xF6schen und Vernichten mit Bezug zu personenbezogenen Daten mit dem\ - \ oder der Datenschutzbeauftragten abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 - ref_id: CON.6.A1.7 - description: "Das L\xF6schen und Vernichten von Informationen MUSS dabei f\xFC\ - r Fachverfahren, Gesch\xE4ftsprozesse und IT-Systeme geregelt werden, bevor\ - \ diese produktiv eingef\xFChrt worden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A2 - name: "Ordnungsgem\xE4\xDFes L\xF6schen und Vernichten von sch\xFCtzenswerten\ - \ Betriebsmitteln und Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.1 - description: "Bevor schutzbed\xFCrftigen Informationen und Datentr\xE4ger entsorgt\ - \ werden, M\xDCSSEN sie sicher gel\xF6scht oder vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.2 - description: Zu diesem Zweck MUSS der Prozess klar geregelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.3 - description: "Einzelne Mitarbeitende M\xDCSSEN dar\xFCber informiert werden,\ - \ welche Aufgaben sie zum sicheren L\xF6schen und Vernichten erf\xFCllen m\xFC\ - ssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.4 - description: "Der Prozess zum L\xF6schen und Vernichten von Datentr\xE4gern\ - \ MUSS auch Datensicherungen, wenn erforderlich, ber\xFCcksichtigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.5 - description: "Der Standort von Vernichtungseinrichtungen auf dem Gel\xE4nde\ - \ der Institution MUSS klar geregelt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.6 - description: "Dabei MUSS auch ber\xFCcksichtigt werden, dass Informationen und\ - \ Betriebsmittel eventuell erst gesammelt und erst sp\xE4ter gel\xF6scht oder\ - \ vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 - ref_id: CON.6.A2.7 - description: Eine solche zentrale Sammelstelle MUSS vor unbefugten Zugriffen - abgesichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A4 - name: "Auswahl geeigneter Verfahren zur L\xF6schung oder Vernichtung von Datentr\xE4\ - gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - ref_id: CON.6.A4.1 - description: "Die Institution SOLLTE \xFCberpr\xFCfen, ob die Mindestanforderungen\ - \ an die Verfahrensweisen zur L\xF6schung und Vernichtung (siehe dazu CON.6.A12\ - \ Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung) f\xFC\ - r die tats\xE4chlich eingesetzten Datentr\xE4ger und darauf befindlichen Informationen\ - \ ausreichend sicher sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - ref_id: CON.6.A4.2 - description: "Auf diesem Ergebnis aufbauend SOLLTE die Institution geeignete\ - \ Verfahren zur L\xF6schung und Vernichtung je Datentr\xE4ger bestimmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - ref_id: CON.6.A4.3 - description: "F\xFCr alle eingesetzten Datentr\xE4gerarten, die von der Institution\ - \ selbst vernichtet bzw. gel\xF6scht werden, SOLLTE es geeignete Ger\xE4te\ - \ und Werkzeuge geben, mit denen die zust\xE4ndigen Mitarbeitenden die gespeicherten\ - \ Informationen l\xF6schen oder vernichten k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - ref_id: CON.6.A4.4 - description: "Die ausgew\xE4hlten Verfahrensweisen SOLLTEN allen verantwortlichen\ - \ Mitarbeitenden bekannt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 - ref_id: CON.6.A4.5 - description: "Die Institution SOLLTE regelm\xE4\xDFig kontrollieren, ob die\ - \ gew\xE4hlten Verfahren noch dem Stand der Technik entsprechen und f\xFC\ - r die Institution noch ausreichend sicher sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A8 - name: "Erstellung einer Richtlinie f\xFCr die L\xF6schung und Vernichtung von\ - \ Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - ref_id: CON.6.A8.1 - description: "Die Regelungen der Institution zum L\xF6schen und Vernichten SOLLTEN\ - \ in einer Richtlinie dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - ref_id: CON.6.A8.2 - description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ - \ bekannt sein und die Grundlage f\xFCr ihre Arbeit und ihr Handeln bilden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - ref_id: CON.6.A8.3 - description: "Inhaltlich SOLLTE die Richtlinie alle eingesetzten Datentr\xE4\ - ger, Anwendungen, IT-Systeme und sonstigen Betriebsmittel und Informationen\ - \ enthalten, die vom L\xF6schen und Vernichten betroffen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - ref_id: CON.6.A8.4 - description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ - ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 - ref_id: CON.6.A8.5 - description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A11 - name: "L\xF6schung und Vernichtung von Datentr\xE4gern durch externe Dienstleistende" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 - ref_id: CON.6.A11.1 - description: "Wenn externe Dienstleistende beauftragt werden, MUSS der Prozess\ - \ zum L\xF6schen und Vernichten ausreichend sicher und nachvollziehbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 - ref_id: CON.6.A11.2 - description: "Die von externen Dienstleistenden eingesetzten Verfahrensweisen\ - \ zum sicheren L\xF6schen und Vernichten M\xDCSSEN mindestens die institutionsinternen\ - \ Anforderungen an die Verfahrensweisen zur L\xF6schung und Vernichtung erf\xFC\ - llen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 - ref_id: CON.6.A11.3 - description: "Die mit der L\xF6schung und Vernichtung beauftragten Unternehmen\ - \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob der L\xF6\ - sch- bzw. Vernichtungsvorgang noch korrekt abl\xE4uft." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A12 - name: "Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.1 - description: "Die Institution MUSS mindestens die nachfolgenden Verfahren zum\ - \ L\xF6schen und Vernichten von sch\xFCtzenswerten Datentr\xE4gern einsetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.2 - description: "Diese Verfahren SOLLTEN in Abh\xE4ngigkeit des Schutzbedarfs der\ - \ verarbeiteten Daten \xFCberpr\xFCft und, falls erforderlich, angepasst werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.3 - description: "\u2022 Digitale wiederbeschreibbare Datentr\xE4ger M\xDCSSEN vollst\xE4\ - ndig mit einem Datenstrom aus Zufallswerten (z. B. PRNG Stream) \xFCberschrieben\ - \ werden, wenn sie nicht verschl\xFCsselt eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.4 - description: "\u2022 Wenn digitale Datentr\xE4ger verschl\xFCsselt eingesetzt\ - \ werden, M\xDCSSEN sie durch ein sicheres L\xF6schen des Schl\xFCssels unter\ - \ Beachtung des Kryptokonzepts gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.5 - description: "\u2022 Optische Datentr\xE4ger M\xDCSSEN mindestens nach Sicherheitsstufe\ - \ O-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.6 - description: "\u2022 Smartphones oder sonstige Smart Devices SOLLTEN entsprechend\ - \ des Kryptokonzepts verschl\xFCsselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.7 - description: "Smartphones oder sonstige Smart Devices M\xDCSSEN auf die Werkseinstellung\ - \ (Factory Reset) zur\xFCckgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.8 - description: "Anschlie\xDFend SOLLTE der Einrichtungsvorgang zum Abschluss des\ - \ L\xF6schvorgangs durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.9 - description: "\u2022 IoT Ger\xE4te M\xDCSSEN auf den Werkszustand zur\xFCckgesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.10 - description: "Anschlie\xDFend M\xDCSSEN alle in den IoT-Ger\xE4ten hinterlegten\ - \ Zugangsdaten ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.11 - description: "\u2022 Papier MUSS mindestens nach Sicherheitsstufe P-3 entsprechend\ - \ der ISO/IEC 21964-2 vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.12 - description: "\u2022 In sonstigen Ger\xE4ten integrierte Datentr\xE4ger M\xDC\ - SSEN \xFCber die integrierten Funktionen sicher gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 - ref_id: CON.6.A12.13 - description: "Ist das nicht m\xF6glich, M\xDCSSEN die Massenspeicher ausgebaut\ - \ und entweder wie herk\xF6mmliche digitale Datentr\xE4ger von einem separatem\ - \ IT-System aus sicher gel\xF6scht werden oder mindestens nach Sicherheitsstufe\ - \ E-3 bzw. H-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A13 - name: "Vernichtung defekter digitaler Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 - ref_id: CON.6.A13.1 - description: "K\xF6nnen digitale Datentr\xE4ger mit sch\xFCtzenswerten Informationen\ - \ aufgrund eines Defekts nicht sicher entsprechend der Verfahren zur L\xF6\ - schung von Datentr\xE4gern gel\xF6scht werden, dann SOLLTEN diese mindestens\ - \ entsprechend der Sicherheitsstufe 3 nach ISO/IEC 21964-2 vernichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 - ref_id: CON.6.A13.2 - description: "Alternativ SOLLTE f\xFCr den Fall, dass defekte Datentr\xE4ger\ - \ ausgetauscht oder repariert werden, vertraglich mit den hierzu beauftragten\ - \ Dienstleistenden vereinbart werden, dass diese Datentr\xE4ger durch die\ - \ Dienstleistenden sicher vernichtet oder gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 - ref_id: CON.6.A13.3 - description: "Die Verfahrensweisen der Dienstleistenden SOLLTEN hierbei mindestens\ - \ die institutionsinternen Anforderungen an die Verfahrensweisen zur L\xF6\ - schung und Vernichtung erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 - ref_id: CON.6.A14 - name: "Vernichten von Datentr\xE4gern auf erh\xF6hter Sicherheitsstufe" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 - ref_id: CON.6.A14.1 - description: "Die Institution SOLLTE die erforderliche Sicherheitsstufe zur\ - \ Vernichtung von Datentr\xE4gern entsprechend der ISO/IEC 21964-1 anhand\ - \ des Schutzbedarf der zu vernichtenden Datentr\xE4ger bestimmen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 - ref_id: CON.6.A14.2 - description: "Die Datentr\xE4ger SOLLTEN entsprechend der zugewiesenen Sicherheitsstufe\ - \ nach ISO/IEC 21964-2 vernichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.7 - name: Informationssicherheit auf Auslandsreisen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A1 - name: Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - ref_id: CON.7.A1.1 - description: "Alle f\xFCr die Informationssicherheit relevanten Aspekte, die\ - \ in Verbindung mit den T\xE4tigkeiten im Ausland stehen, M\xDCSSEN betrachtet\ - \ und geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - ref_id: CON.7.A1.2 - description: "Die Sicherheitsma\xDFnahmen, die in diesem Zusammenhang ergriffen\ - \ werden, M\xDCSSEN in einer Sicherheitsrichtlinie zur Informationssicherheit\ - \ auf Auslandsreisen dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - ref_id: CON.7.A1.3 - description: "Diese Sicherheitsrichtlinie oder ein entsprechendes Merkblatt\ - \ mit zu beachtenden Sicherheitsma\xDFnahmen M\xDCSSEN transnational agierenden\ - \ Mitarbeitenden ausgeh\xE4ndigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - ref_id: CON.7.A1.4 - description: "Erweiternd MUSS ein Sicherheitskonzept zum Umgang mit tragbaren\ - \ IT-Systemen auf Auslandsreisen erstellt werden, das alle Sicherheitsanforderungen\ - \ und -ma\xDFnahmen angemessen detailliert beschreibt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 - ref_id: CON.7.A1.5 - description: "Die Umsetzung des Sicherheitskonzeptes MUSS regelm\xE4\xDFig \xFC\ - berpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A2 - name: Sensibilisierung der Mitarbeitenden zur Informationssicherheit auf Auslandsreisen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.1 - description: "Benutzende M\xDCSSEN im verantwortungsvollen Umgang mit Informationstechnik\ - \ bzw. tragbaren IT-Systemen auf Auslandsreisen sensibilisiert und geschult\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.2 - description: "Benutzende M\xDCSSEN die Gefahren kennen, die durch den unangemessenen\ - \ Umgang mit Informationen, die unsachgem\xE4\xDFe Vernichtung von Daten und\ - \ Datentr\xE4gern oder durch Schadsoftware und den unsicheren Datenaustausch\ - \ entstehen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.3 - description: "Au\xDFerdem M\xDCSSEN die Grenzen der eingesetzten Sicherheitsma\xDF\ - nahmen aufgezeigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.4 - description: "Die Benutzenden M\xDCSSEN dazu bef\xE4higt und darin best\xE4\ - rkt werden, einem Verlust oder Diebstahl vorzubeugen bzw. bei Ungereimtheiten\ - \ fachliche Beratung einzuholen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.5 - description: "Au\xDFerdem SOLLTEN Mitarbeitende auf gesetzliche Anforderungen\ - \ einzelner Reiseziele in Bezug auf die Reisesicherheit hingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 - ref_id: CON.7.A2.6 - description: "Hierzu MUSS sich der oder die Informationssicherheitsbeauftragte\ - \ \xFCber die gesetzlichen Anforderungen im Rahmen der Informationssicherheit\ - \ (z. B. Datenschutz, IT-Sicherheitsgesetz) informieren und die Mitarbeitenden\ - \ sensibilisieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A3 - name: "Identifikation l\xE4nderspezifischer Regelungen, Reise- und Umgebungsbedingungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 - ref_id: CON.7.A3.1 - description: "Vor Reiseantritt M\xDCSSEN die jeweils geltenden Regelungen der\ - \ einzelnen L\xE4nder durch das Informationssicherheitsmanagement bzw. die\ - \ Personalabteilung gepr\xFCft und an die entsprechenden Mitarbeitenden kommuniziert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 - ref_id: CON.7.A3.2 - description: "Die Institution MUSS geeignete Regelungen und Ma\xDFnahmen erstellen,\ - \ umsetzen und kommunizieren, die den angemessenen Schutz interner Daten erm\xF6\ - glichen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 - ref_id: CON.7.A3.3 - description: "Dabei M\xDCSSEN die individuellen Reise- und Umgebungsbedingungen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 - ref_id: CON.7.A3.4 - description: "Au\xDFerdem M\xDCSSEN sich Mitarbeitende vor Reiseantritt mit\ - \ den klimatischen Bedingungen des Reiseziels auseinandersetzen und abkl\xE4\ - ren, welche Schutzma\xDFnahmen er f\xFCr sich ben\xF6tigt, z. B. Impfungen,\ - \ und welche Schutzma\xDFnahmen f\xFCr die mitgef\xFChrte Informationstechnik\ - \ n\xF6tig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A4 - name: Verwendung von Sichtschutz-Folien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 - ref_id: CON.7.A4.1 - description: "Benutzende M\xDCSSEN insbesondere im Ausland darauf achten, dass\ - \ bei der Arbeit mit mobilen IT-Ger\xE4ten keine sch\xFCtzenswerten Informationen\ - \ ausgesp\xE4ht werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 - ref_id: CON.7.A4.2 - description: "Dazu MUSS ein angemessener Sichtschutz verwendet werden, der den\ - \ gesamten Bildschirm des jeweiligen Ger\xE4tes umfasst und ein Aussp\xE4\ - hen von Informationen erschwert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A5 - name: Verwendung der Bildschirm-/Code-Sperre - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 - ref_id: CON.7.A5.1 - description: "Eine Bildschirm- bzw. Code-Sperre, die verhindert, dass Dritte\ - \ auf die Daten mobiler Endger\xE4te zugreifen k\xF6nnen, MUSS verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 - ref_id: CON.7.A5.2 - description: "Die Benutzenden M\xDCSSEN dazu einen angemessenen Code bzw. ein\ - \ sicheres Ger\xE4tepasswort verwenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 - ref_id: CON.7.A5.3 - description: "Die Bildschirmsperre MUSS sich nach einer kurzen Zeit der Inaktivit\xE4\ - t automatisch aktivieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A6 - name: Zeitnahe Verlustmeldung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 - ref_id: CON.7.A6.1 - description: "Mitarbeitende M\xDCSSEN ihrer Institution umgehend melden, wenn\ - \ Informationen, IT-Systeme oder Datentr\xE4ger verloren gegangen sind oder\ - \ gestohlen wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 - ref_id: CON.7.A6.2 - description: "Hierf\xFCr MUSS es klare Meldewege und Kontaktpersonen innerhalb\ - \ der Institution geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 - ref_id: CON.7.A6.3 - description: "Die Institution MUSS die m\xF6glichen Auswirkungen des Verlustes\ - \ bewerten und geeignete Gegenma\xDFnahmen ergreifen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A7 - name: Sicherer Remote-Zugriff auf das Netz der Institution - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.1 - description: "Um Besch\xE4ftigten auf Auslandsreisen einen sicheren Fernzugriff\ - \ auf das Netz der Institution zu erm\xF6glichen, MUSS zuvor vom IT-Betrieb\ - \ ein sicherer Remote-Zugang eingerichtet worden sein, z. B. ein Virtual Private\ - \ Network (VPN)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.2 - description: Der VPN-Zugang MUSS kryptografisch abgesichert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.3 - description: "Au\xDFerdem M\xDCSSEN Benutzende \xFCber angemessen sichere Zugangsdaten\ - \ verf\xFCgen, um sich gegen\xFCber dem Endger\xE4t und dem Netz der Institution\ - \ erfolgreich zu authentisieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.4 - description: "Mitarbeitende M\xDCSSEN den sicheren Remote-Zugriff f\xFCr jegliche\ - \ dar\xFCber m\xF6gliche Kommunikation nutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.5 - description: "Es MUSS sichergestellt werden, dass nur autorisierte Personen\ - \ auf IT-Systeme zugreifen d\xFCrfen, die \xFCber einen Fernzugriff verf\xFC\ - gen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 - ref_id: CON.7.A7.6 - description: "Mobile IT-Systeme M\xDCSSEN im Rahmen der M\xF6glichkeiten vor\ - \ dem direkten Anschluss an das Internet durch eine restriktiv konfigurierte\ - \ Personal Firewall gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A8 - name: "Sichere Nutzung von \xF6ffentlichen WLANs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 - ref_id: CON.7.A8.1 - description: "Grunds\xE4tzlich MUSS geregelt werden, ob mobile IT-Systeme direkt\ - \ auf das Internet zugreifen d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 - ref_id: CON.7.A8.2 - description: "F\xFCr den Zugriff auf das Netz der Institution \xFCber \xF6ffentlich\ - \ zug\xE4ngliche WLANs M\xDCSSEN Benutzende ein VPN oder vergleichbare Sicherheitsmechanismen\ - \ verwenden (siehe CON.7.A7 Sicherer Remote-Zugriff und NET.2.2 WLAN-Nutzung)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 - ref_id: CON.7.A8.3 - description: "Bei der Benutzung von WLAN-Hotspots M\xDCSSEN ebenfalls Sicherheitsma\xDF\ - nahmen getroffen werden, siehe auch INF.9 Mobiler Arbeitsplatz." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A9 - name: "Sicherer Umgang mit mobilen Datentr\xE4gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 - ref_id: CON.7.A9.1 - description: "Werden mobile Datentr\xE4ger verwendet, M\xDCSSEN Benutzende vorab\ - \ gew\xE4hrleisten, dass diese nicht mit Schadsoftware infiziert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 - ref_id: CON.7.A9.2 - description: "Vor der Weitergabe mobiler Datentr\xE4ger M\xDCSSEN Benutzende\ - \ au\xDFerdem sicherstellen, dass keine sch\xFCtzenswerten Informationen darauf\ - \ enthalten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 - ref_id: CON.7.A9.3 - description: "Wird er nicht mehr genutzt, MUSS der Datentr\xE4ger sicher gel\xF6\ - scht werden, insbesondere wenn er an andere Personen weitergegeben wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 - ref_id: CON.7.A9.4 - description: "Dazu MUSS der Datentr\xE4ger mit einem in der Institution festgelegten,\ - \ ausreichend sicheren Verfahren \xFCberschrieben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A10 - name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - ref_id: CON.7.A10.1 - description: "Damit sch\xFCtzenswerte Informationen nicht durch unberechtigte\ - \ Dritte eingesehen werden k\xF6nnen, M\xDCSSEN Mitarbeitende vor Reiseantritt\ - \ sicherstellen, dass alle sch\xFCtzenswerten Informationen entsprechend den\ - \ internen Richtlinien abgesichert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - ref_id: CON.7.A10.2 - description: "Mobile Datentr\xE4ger und IT-Systeme SOLLTEN dabei vor Reiseantritt\ - \ durch Benutzende oder den IT-Betrieb verschl\xFCsselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - ref_id: CON.7.A10.3 - description: "Die kryptografischen Schl\xFCssel M\xDCSSEN getrennt vom verschl\xFC\ - sselten Ger\xE4t aufbewahrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - ref_id: CON.7.A10.4 - description: "Bei der Verschl\xFCsselung von Daten SOLLTEN die gesetzlichen\ - \ Regelungen des Ziellandes beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 - ref_id: CON.7.A10.5 - description: "Insbesondere landesspezifische Gesetze zur Herausgabe von Passw\xF6\ - rtern und zur Entschl\xFCsselung von Daten SOLLTEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A11 - name: Einsatz von Diebstahl-Sicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 - ref_id: CON.7.A11.1 - description: "Zum Schutz der mobilen IT-Systeme au\xDFerhalb der Institution\ - \ SOLLTEN Benutzende Diebstahl-Sicherungen einsetzen, vor allem dort, wo ein\ - \ erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ - \ sehr hoch ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 - ref_id: CON.7.A11.2 - description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahl-Sicherungen\ - \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A12 - name: "Sicheres Vernichten von schutzbed\xFCrftigen Materialien und Dokumenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 - ref_id: CON.7.A12.1 - description: "Die Institution MUSS den Besch\xE4ftigten M\xF6glichkeiten aufzeigen,\ - \ schutzbed\xFCrftige Dokumente angemessen und sicher zu vernichten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 - ref_id: CON.7.A12.2 - description: "Benutzende M\xDCSSEN diese Regelungen einhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 - ref_id: CON.7.A12.3 - description: "Sie D\xDCRFEN interne Unterlagen der Institution NICHT entsorgen,\ - \ bevor diese sicher vernichtet worden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 - ref_id: CON.7.A12.4 - description: "Ist dies vor Ort nicht m\xF6glich oder handelt es sich um Dokumente\ - \ bzw. Datentr\xE4ger mit besonders sch\xFCtzenswerten Informationen, M\xDC\ - SSEN diese bis zur R\xFCckkehr behalten und anschlie\xDFend angemessen vernichtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A13 - name: "Mitnahme notwendiger Daten und Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.1 - description: "Vor Reiseantritt SOLLTEN Benutzende pr\xFCfen, welche Daten w\xE4\ - hrend der Reise nicht unbedingt auf den IT-Systemen gebraucht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.2 - description: "Ist es nicht notwendig, diese Daten auf den Ger\xE4ten zu lassen,\ - \ SOLLTEN diese sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.3 - description: "Ist es n\xF6tig, sch\xFCtzenswerte Daten mit auf Reisen zu nehmen,\ - \ SOLLTE dies nur in verschl\xFCsselter Form erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.4 - description: "Dar\xFCber hinaus SOLLTE schriftlich geregelt sein, welche mobilen\ - \ Datentr\xE4ger auf Auslandsreisen mitgenommen werden d\xFCrfen und welche\ - \ Sicherheitsma\xDFnahmen dabei zu ber\xFCcksichtigen sind (z. B. Schutz vor\ - \ Schadsoftware, Verschl\xFCsselung gesch\xE4ftskritischer Daten, Aufbewahrung\ - \ mobiler Datentr\xE4ger)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.5 - description: Die Mitarbeitenden SOLLTEN diese Regelungen vor Reiseantritt kennen - und beachten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 - ref_id: CON.7.A13.6 - description: Diese sicherheitstechnischen Anforderungen SOLLTEN sich nach dem - Schutzbedarf der zu bearbeitenden Daten im Ausland und der Daten, auf die - zugegriffen werden soll, richten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A14 - name: Kryptografisch abgesicherte E-Mail-Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - ref_id: CON.7.A14.1 - description: Die E-Mail-basierte Kommunikation SOLLTEN Benutzende entsprechend - den internen Vorgaben der Institution kryptografisch absichern. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - ref_id: CON.7.A14.2 - description: "Die E-Mails SOLLTEN ebenfalls geeignet verschl\xFCsselt bzw. digital\ - \ signiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - ref_id: CON.7.A14.3 - description: "\xD6ffentliche IT-Systeme, etwa in Hotels oder Internetcaf\xE9\ - s, SOLLTEN NICHT f\xFCr den Zugriff auf E-Mails genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - ref_id: CON.7.A14.4 - description: "Bei der Kommunikation \xFCber E-Mail-Dienste, z. B. Webmail, SOLLTE\ - \ durch den IT-Betrieb vorab gekl\xE4rt werden, welche Sicherheitsmechanismen\ - \ beim Provider umgesetzt werden und ob damit die internen Sicherheitsanforderungen\ - \ erf\xFCllt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 - ref_id: CON.7.A14.5 - description: "Hierzu SOLLTE z. B. der sichere Betrieb der Server, der Aufbau\ - \ einer verschl\xFCsselten Verbindung und die Dauer der Datenspeicherung z\xE4\ - hlen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A15 - name: Abstrahlsicherheit tragbarer IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 - ref_id: CON.7.A15.1 - description: "Es SOLLTE vor Beginn der Reise festgelegt werden, welchen Schutzbedarf\ - \ die einzelnen Informationen haben, die auf dem mobilen Datentr\xE4ger bzw.\ - \ Client der Mitarbeitenden im Ausland verarbeitet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 - ref_id: CON.7.A15.2 - description: "Die Institution SOLLTE pr\xFCfen, ob die mitgef\xFChrten Informationen\ - \ einen besonderen Schutzbedarf haben, und entsprechend abstrahlarme bzw.\ - \ -sichere Datentr\xE4ger und Clients einsetzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A16 - name: "Integrit\xE4tsschutz durch Check-Summen oder digitale Signaturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 - ref_id: CON.7.A16.1 - description: "Benutzende SOLLTEN Check-Summen im Rahmen der Daten\xFCbertragung\ - \ und Datensicherung verwenden, um die Integrit\xE4t der Daten \xFCberpr\xFC\ - fen zu k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 - ref_id: CON.7.A16.2 - description: "Besser noch SOLLTEN digitale Signaturen verwendet werden, um die\ - \ Integrit\xE4t von sch\xFCtzenswerten Informationen zu bewahren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A17 - name: Verwendung vorkonfigurierter Reise-Hardware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 - ref_id: CON.7.A17.1 - description: "Damit sch\xFCtzenswerte Informationen der Institution auf Auslandsreisen\ - \ nicht von Dritten abgegriffen werden k\xF6nnen, SOLLTE der IT-Betrieb den\ - \ Mitarbeitenden vorkonfigurierte Reise-Hardware zur Verf\xFCgung stellen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 - ref_id: CON.7.A17.2 - description: "Diese Reise-Hardware SOLLTE auf Basis des Minimalprinzips nur\ - \ die Funktionen und Informationen bereitstellen, die zur Durchf\xFChrung\ - \ der Gesch\xE4ftst\xE4tigkeit unbedingt erforderlich sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 - ref_id: CON.7.A18 - name: "Eingeschr\xE4nkte Berechtigungen auf Auslandsreisen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 - ref_id: CON.7.A18.1 - description: "Vor Reiseantritt SOLLTE gepr\xFCft werden, welche Berechtigungen\ - \ Mitarbeitende wirklich brauchen, um ihrem Alltagsgesch\xE4ft im Ausland\ - \ nachgehen zu k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 - ref_id: CON.7.A18.2 - description: "Dabei SOLLTE gepr\xFCft werden, ob Zugriffsrechte f\xFCr die Reisedauer\ - \ der Benutzenden durch den IT-Betrieb entzogen werden k\xF6nnen, um einen\ - \ unbefugten Zugriff auf Informationen der Institution zu verhindern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.8 - name: Software-Entwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A1 - name: "Definition von Rollen und Zust\xE4ndigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.1 - description: "F\xFCr den Software-Entwicklungsprozess SOLLTE eine gesamtzust\xE4\ - ndige Person ein benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.2 - description: "Au\xDFerdem SOLLTEN die Rollen und Zust\xE4ndigkeiten f\xFCr alle\ - \ Aktivit\xE4ten im Rahmen der Software-Entwicklung festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.3 - description: 'Die Rollen SOLLTEN dabei fachlich die nachfolgenden Themen abdecken:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.4 - description: "\u2022 Requirements-Engineering (Anforderungsmanagement) und \xC4\ - nderungsmanagement," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.5 - description: "\u2022 Software-Entwurf und -Architektur," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.6 - description: "\u2022 Informationssicherheit in der Software-Entwicklung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.7 - description: "\u2022 Software-Implementierung in dem f\xFCr das Entwicklungsvorhaben\ - \ relevanten Bereichen, sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.8 - description: "\u2022 Software-Tests." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 - ref_id: CON.8.A1.9 - description: "F\xFCr jedes Entwicklungsvorhaben SOLLTE eine zust\xE4ndige Person\ - \ f\xFCr die Informationssicherheit benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A2 - name: Auswahl eines Vorgehensmodells - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - ref_id: CON.8.A2.1 - description: Ein geeignetes Vorgehensmodell zur Software-Entwicklung MUSS festgelegt - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - ref_id: CON.8.A2.2 - description: "Anhand des gew\xE4hlten Vorgehensmodells MUSS ein Ablaufplan f\xFC\ - r die Software-Entwicklung erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - ref_id: CON.8.A2.3 - description: "Die Sicherheitsanforderungen der Auftraggebenden an die Vorgehensweise\ - \ M\xDCSSEN im Vorgehensmodell integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - ref_id: CON.8.A2.4 - description: "Das ausgew\xE4hlte Vorgehensmodell, einschlie\xDFlich der festgelegten\ - \ Sicherheitsanforderungen, MUSS eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 - ref_id: CON.8.A2.5 - description: "Das Personal SOLLTE in der Methodik des gew\xE4hlten Vorgehensmodells\ - \ geschult sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A3 - name: Auswahl einer Entwicklungsumgebung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 - ref_id: CON.8.A3.1 - description: "Eine Liste der erforderlichen und optionalen Auswahlkriterien\ - \ f\xFCr eine Entwicklungsumgebung MUSS von Fachverantwortlichen f\xFCr die\ - \ Software-Entwicklung erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 - ref_id: CON.8.A3.2 - description: "Die Entwicklungsumgebung MUSS anhand der vorgegebenen Kriterien\ - \ ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A5 - name: Sicheres Systemdesign - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.1 - description: "Folgende Grundregeln des sicheren Systemdesigns M\xDCSSEN in der\ - \ zu entwickelnden Software ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.2 - description: "\u2022 Grunds\xE4tzlich M\xDCSSEN alle Eingabedaten vor der Weiterverarbeitung\ - \ gepr\xFCft und validiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.3 - description: "\u2022 Bei Client-Server-Anwendungen M\xDCSSEN die Daten grunds\xE4\ - tzlich auf dem Server validiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.4 - description: "\u2022 Die Standardeinstellungen der Software M\xDCSSEN derart\ - \ voreingestellt sein, dass ein sicherer Betrieb der Software erm\xF6glicht\ - \ wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.5 - description: "\u2022 Bei Fehlern oder Ausf\xE4llen von Komponenten des Systems\ - \ D\xDCRFEN NICHT sch\xFCtzenswerte Informationen preisgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.6 - description: "\u2022 Die Software MUSS mit m\xF6glichst geringen Privilegien\ - \ ausgef\xFChrt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.7 - description: "\u2022 Sch\xFCtzenswerte Daten M\xDCSSEN entsprechend der Vorgaben\ - \ des Kryptokonzepts verschl\xFCsselt \xFCbertragen und gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.8 - description: "\u2022 Zur Benutzenden-Authentisierung und Authentifizierung M\xDC\ - SSEN vertrauensw\xFCrdige Mechanismen verwendet werden, die den Sicherheitsanforderungen\ - \ an die Anwendung entsprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.9 - description: "\u2022 Falls zur Authentifizierung Passw\xF6rter gespeichert werden,\ - \ M\xDCSSEN diese mit einem sicheren Hashverfahren gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.10 - description: "\u2022 Sicherheitsrelevante Ereignisse M\xDCSSEN in der Art protokolliert\ - \ werden, dass sie im Nachgang ausgewertet werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.11 - description: "\u2022 Informationen, die f\xFCr den Produktivbetrieb nicht relevant\ - \ sind (z. B. Kommentare mit Zugangsdaten f\xFCr die Entwicklungsumgebung),\ - \ SOLLTEN in ausgeliefertem Programmcode und ausgelieferten Konfigurationsdateien\ - \ entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.12 - description: Das Systemdesign MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 - ref_id: CON.8.A5.13 - description: "Es MUSS \xFCberpr\xFCft werden, ob alle Sicherheitsanforderungen\ - \ an das Systemdesign erf\xFCllt wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A6 - name: "Verwendung von externen Bibliotheken aus vertrauensw\xFCrdigen Quellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 - ref_id: CON.8.A6.1 - description: "Wird im Rahmen des Entwicklungs- und Implementierungsprozesses\ - \ auf externe Bibliotheken zur\xFCckgegriffen, M\xDCSSEN diese aus vertrauensw\xFC\ - rdigen Quellen bezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 - ref_id: CON.8.A6.2 - description: "Bevor externe Bibliotheken verwendet werden, MUSS deren Integrit\xE4\ - t sichergestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A7 - name: "Durchf\xFChrung von entwicklungsbegleitenden Software-Tests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.1 - description: "Schon bevor die Software im Freigabeprozess getestet und freigegeben\ - \ wird, M\xDCSSEN entwicklungsbegleitende Software-Tests durchgef\xFChrt und\ - \ der Quellcode auf Fehler gesichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.2 - description: Hierbei SOLLTEN bereits die Fachverantwortlichen des Auftraggebenden - oder der beauftragenden Fachabteilung beteiligt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.3 - description: "Die entwicklungsbegleitenden Tests M\xDCSSEN die funktionalen\ - \ und nichtfunktionalen Anforderungen der Software umfassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.4 - description: "Die Software-Tests M\xDCSSEN dabei auch Negativtests abdecken." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.5 - description: "Zus\xE4tzlich M\xDCSSEN auch alle kritischen Grenzwerte der Eingabe\ - \ sowie der Datentypen \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.6 - description: "Testdaten SOLLTEN daf\xFCr sorgf\xE4ltig ausgew\xE4hlt und gesch\xFC\ - tzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.7 - description: "Dar\xFCber hinaus SOLLTE eine automatische statische Code-Analyse\ - \ durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.8 - description: Die Software MUSS in einer Test- und Entwicklungsumgebung getestet - werden, die getrennt von der Produktionsumgebung ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 - ref_id: CON.8.A7.9 - description: "Au\xDFerdem MUSS getestet werden, ob die Systemvoraussetzungen\ - \ f\xFCr die vorgesehene Software ausreichend dimensioniert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A8 - name: "Bereitstellung von Patches, Updates und \xC4nderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 - ref_id: CON.8.A8.1 - description: "Es MUSS sichergestellt sein, dass sicherheitskritische Patches\ - \ und Updates f\xFCr die entwickelte Software zeitnah durch die Entwickelnden\ - \ bereitgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 - ref_id: CON.8.A8.2 - description: "Werden f\xFCr verwendete externe Bibliotheken sicherheitskritische\ - \ Updates bereitgestellt, dann M\xDCSSEN die Entwickelnden ihre Software hierauf\ - \ anpassen und ihrerseits entsprechende Patches und Updates zur Verf\xFCgung\ - \ stellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 - ref_id: CON.8.A8.3 - description: "F\xFCr die Installations-, Update- oder Patchdateien M\xDCSSEN\ - \ vom Entwickelnden Checksummen oder digitale Signaturen bereitgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A10 - name: Versionsverwaltung des Quellcodes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - ref_id: CON.8.A10.1 - description: "Der Quellcode des Entwicklungsprojekts MUSS \xFCber eine geeignete\ - \ Versionsverwaltung verwaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - ref_id: CON.8.A10.2 - description: "Die Institution MUSS den Zugriff auf die Versionsverwaltung regeln\ - \ und festlegen, wann \xC4nderungen am Quellcode durch die Entwickelnden als\ - \ eigene Version in der Versionsverwaltung gespeichert werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - ref_id: CON.8.A10.3 - description: "Es MUSS sichergestellt sein, dass durch die Versionsverwaltung\ - \ alle \xC4nderungen am Quellcode nachvollzogen und r\xFCckg\xE4ngig gemacht\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - ref_id: CON.8.A10.4 - description: "Die Versionsverwaltung MUSS in dem Datensicherungskonzept ber\xFC\ - cksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 - ref_id: CON.8.A10.5 - description: Die Versionsverwaltung DARF NICHT ohne Datensicherung erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A11 - name: "Erstellung einer Richtlinie f\xFCr die Software-Entwicklung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 - ref_id: CON.8.A11.1 - description: "Es SOLLTE eine Richtlinie f\xFCr die Software-Entwicklung erstellt\ - \ und aktuell gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 - ref_id: CON.8.A11.2 - description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ - \ Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 - ref_id: CON.8.A11.3 - description: Die relevanten Anforderungen aus diesem Baustein SOLLTEN in die - Richtlinie aufgenommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 - ref_id: CON.8.A11.4 - description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A12 - name: "Ausf\xFChrliche Dokumentation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - ref_id: CON.8.A12.1 - description: Es SOLLTEN ausreichende Projekt-, Funktions- und Schnittstellendokumentationen - erstellt und aktuell gehalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - ref_id: CON.8.A12.2 - description: "Die Betriebsdokumentation SOLLTE konkrete Sicherheitshinweise\ - \ f\xFCr die Installation und Konfiguration f\xFCr Administration, sowie f\xFC\ - r die Benutzung des Produktes beinhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - ref_id: CON.8.A12.3 - description: "Die Software-Entwicklung SOLLTE so dokumentiert sein, dass Fachleute\ - \ mithilfe der Dokumentation den Programm-Code nachvollziehen und weiterentwickeln\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - ref_id: CON.8.A12.4 - description: Die Dokumentation SOLLTE dabei auch die Software-Architektur und - Bedrohungsmodellierung umfassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 - ref_id: CON.8.A12.5 - description: "Die Aspekte zur Dokumentation SOLLTEN im Vorgehensmodell zur Software-Entwicklung\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A14 - name: Schulung des Entwicklungsteams zur Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.1 - description: "Die Entwickelnden und die \xFCbrigen Mitglieder des Entwicklungsteams\ - \ SOLLTEN zu generellen Informationssicherheitsaspekten und zu den jeweils\ - \ speziell f\xFCr sie relevanten Aspekten geschult sein:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.2 - description: "\u2022 Anforderungsanalyse," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.3 - description: "\u2022 Projektmanagement allgemein sowie speziell bei der Software-Entwicklung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.4 - description: "\u2022 Risikomanagement bzw. Bedrohungsmodellierung in der Software-Entwicklung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.5 - description: "\u2022 Qualit\xE4tsmanagement und Qualit\xE4tssicherung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.6 - description: "\u2022 Modelle und Methoden f\xFCr die Software-Entwicklung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.7 - description: "\u2022 Software-Architektur," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.8 - description: "\u2022 Software-Tests," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.9 - description: "\u2022 \xC4nderungsmanagement sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 - ref_id: CON.8.A14.10 - description: "\u2022 Informationssicherheit, Sicherheitsvorgaben in der Institution\ - \ und Sicherheitsaspekte in speziellen Bereichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A16 - name: Geeignete Steuerung der Software-Entwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - ref_id: CON.8.A16.1 - description: "Bei einer Software-Entwicklung SOLLTE ein geeignetes Steuerungs-\ - \ bzw. Projektmanagementmodell auf Basis des ausgew\xE4hlten Vorgehensmodells\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - ref_id: CON.8.A16.2 - description: Das Steuerungs- bzw. Projektmanagementmodell SOLLTE in die Richtlinie - zur Software Entwicklung integriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - ref_id: CON.8.A16.3 - description: "Dabei SOLLTEN insbesondere die ben\xF6tigten Qualifikationen beim\ - \ Personal und die Abdeckung aller relevanten Phasen w\xE4hrend des Lebenszyklus\ - \ der Software ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - ref_id: CON.8.A16.4 - description: "F\xFCr das Vorgehensmodell SOLLTE ein geeignetes Risikomanagement\ - \ festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 - ref_id: CON.8.A16.5 - description: "Au\xDFerdem SOLLTEN geeignete Qualit\xE4tsziele f\xFCr das Entwicklungsprojekt\ - \ definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A17 - name: "Auswahl vertrauensw\xFCrdiger Entwicklungswerkzeuge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 - ref_id: CON.8.A17.1 - description: Zur Entwicklung der Software SOLLTEN nur Werkzeuge mit nachgewiesenen - Sicherheitseigenschaften verwendet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 - ref_id: CON.8.A17.2 - description: An die herstellenden Unternehmen von Hardware oder Software SOLLTEN - hinreichende Anforderungen zur Sicherheit ihrer Werkzeuge gestellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A18 - name: "Regelm\xE4\xDFige Sicherheitsaudits f\xFCr die Entwicklungsumgebung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18 - ref_id: CON.8.A18.1 - description: "Es SOLLTEN regelm\xE4\xDFige Sicherheitsaudits der Software-Entwicklungsumgebung\ - \ und der Software-Testumgebung durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A19 - name: "Regelm\xE4\xDFige Integrit\xE4tspr\xFCfung der Entwicklungsumgebung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 - ref_id: CON.8.A19.1 - description: "Die Integrit\xE4t der Entwicklungsumgebung SOLLTE regelm\xE4\xDF\ - ig mit kryptographischen Mechanismen entsprechend dem Stand der Technik gepr\xFC\ - ft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 - ref_id: CON.8.A19.2 - description: "Die Pr\xFCfsummendateien und das Pr\xFCfprogramm selbst SOLLTEN\ - \ ausreichend vor Manipulationen gesch\xFCtzt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 - ref_id: CON.8.A19.3 - description: "Wichtige Hinweise auf einen Integrit\xE4tsverlust SOLLTEN nicht\ - \ in einer F\xFClle irrelevanter Warnmeldungen (false positives) untergehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A20 - name: "\xDCberpr\xFCfung von externen Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 - ref_id: CON.8.A20.1 - description: "Unbekannte externe Komponenten (bzw. Programm-Bibliotheken), deren\ - \ Sicherheit nicht durch etablierte und anerkannte Peer-Reviews oder vergleichbares\ - \ sichergestellt werden kann, M\xDCSSEN auf Schwachstellen \xFCberpr\xFCft\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 - ref_id: CON.8.A20.2 - description: "Alle externen Komponenten M\xDCSSEN auf potentielle Konflikte\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 - ref_id: CON.8.A20.3 - description: "Die Integrit\xE4t von externen Komponenten MUSS durch Pr\xFCfsummen\ - \ oder kryptographische Zertifikate \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 - ref_id: CON.8.A20.4 - description: "Dar\xFCber hinaus SOLLTEN keine veralteten Versionen von externen\ - \ Komponenten in aktuellen Entwicklungsprojekten verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A21 - name: Bedrohungsmodellierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 - ref_id: CON.8.A21.1 - description: "In der Entwurfsphase der Software-Entwicklung SOLLTE eine Bedrohungsmodellierung\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 - ref_id: CON.8.A21.2 - description: Hierzu SOLLTEN auf Basis des Sicherheitsprofils, des Anforderungskatalogs - und der geplanten Einsatzumgebung bzw. Einsatzszenarios potentielle Bedrohungen - identifiziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 - ref_id: CON.8.A21.3 - description: Die Bedrohungen SOLLTEN hinsichtlich ihrer Eintrittswahrscheinlichkeit - und Auswirkung bewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 - ref_id: CON.8.A22 - name: Sicherer Software-Entwurf - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 - ref_id: CON.8.A22.1 - description: "Der Software-Entwurf SOLLTE den Anforderungskatalog, das Sicherheitsprofil\ - \ und die Ergebnisse der Bedrohungsmodellierung ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 - ref_id: CON.8.A22.2 - description: Im Rahmen des sicheren Software-Entwurfs SOLLTE eine sichere Software-Architektur - entwickelt werden, auf deren Grundlage der Quellcode der Anwendung zu entwickeln - ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 - ref_id: CON.8.A22.3 - description: "Hierbei SOLLTEN m\xF6glichst zuk\xFCnftige Standards und Angriffstechniken\ - \ ber\xFCcksichtigt werden, damit die zu entwickelnde Software auch zuk\xFC\ - nftig leicht gewartet werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.9 - name: Informationsaustausch - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A1 - name: "Festlegung zul\xE4ssiger Empfangender" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 - ref_id: CON.9.A1.1 - description: "Die zentrale Verwaltungsstelle MUSS sicherstellen, dass durch\ - \ die Weitergabe von Informationen nicht gegen rechtliche Rahmenbedingungen\ - \ versto\xDFen wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 - ref_id: CON.9.A1.2 - description: Die zentrale Verwaltungsstelle MUSS festlegen, wer welche Informationen - erhalten und weitergeben darf. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 - ref_id: CON.9.A1.3 - description: "Es MUSS festgelegt werden, auf welchen Wegen die jeweiligen Informationen\ - \ ausgetauscht werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 - ref_id: CON.9.A1.4 - description: "Alle Beteiligten M\xDCSSEN vor dem Austausch von Informationen\ - \ sicherstellen, dass die empfangende Stelle die notwendigen Berechtigungen\ - \ f\xFCr den Erhalt und die Weiterverarbeitung der Informationen besitzt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A2 - name: Regelung des Informationsaustausches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 - ref_id: CON.9.A2.1 - description: "Bevor Informationen ausgetauscht werden, MUSS die Institution\ - \ festlegen, wie schutzbed\xFCrftig die Informationen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 - ref_id: CON.9.A2.2 - description: "Sie MUSS festlegen, wie die Informationen bei der \xDCbertragung\ - \ zu sch\xFCtzen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 - ref_id: CON.9.A2.3 - description: "Falls schutzbed\xFCrftige Daten \xFCbermittelt werden, MUSS die\ - \ Institution die Empfangenden dar\xFCber informieren, wie schutzbed\xFCrftig\ - \ die Informationen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 - ref_id: CON.9.A2.4 - description: "Falls die Informationen schutzbed\xFCrftig sind, MUSS die Institution\ - \ die Empfangenden darauf hingewiesen werden, dass diese die Daten ausschlie\xDF\ - lich zu dem Zweck nutzen d\xFCrfen, zu dem sie \xFCbermittelt wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A3 - name: Unterweisung des Personals zum Informationsaustausch - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 - ref_id: CON.9.A3.1 - description: "Fachverantwortliche M\xDCSSEN die Mitarbeitenden \xFCber die Rahmenbedingungen\ - \ jedes Informationsaustauschs informieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 - ref_id: CON.9.A3.2 - description: "Die Fachverantwortlichen M\xDCSSEN sicherstellen, dass die Mitarbeitenden\ - \ wissen, welche Informationen sie wann, wo und wie weitergeben d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A4 - name: Vereinbarungen zum Informationsaustausch mit Externen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 - ref_id: CON.9.A4.1 - description: "Bei einem regelm\xE4\xDFigen Informationsaustausch mit anderen\ - \ Institutionen SOLLTE die Institution die Rahmenbedingungen f\xFCr den Informationsaustausch\ - \ formal vereinbaren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 - ref_id: CON.9.A4.2 - description: "Die Vereinbarung f\xFCr den Informationsaustausch SOLLTE Angaben\ - \ zum Schutz aller vertraulichen Informationen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A5 - name: Beseitigung von Restinformationen vor Weitergabe - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - ref_id: CON.9.A5.1 - description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ - \ die Institution \xFCber die Gefahren von Rest- und Zusatzinformationen in\ - \ Dokumenten und Dateien informieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - ref_id: CON.9.A5.2 - description: "Es SOLLTE vermittelt werden, wie sie Rest- und Zusatzinformationen\ - \ in Dokumenten und Dateien vermeiden werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - ref_id: CON.9.A5.3 - description: "Die Institution SOLLTE Anleitungen bereitstellen, die vorgeben\ - \ wie unerw\xFCnschte Restinformationen vom Austausch auszuschlie\xDFen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - ref_id: CON.9.A5.4 - description: "Jede Datei und jedes Dokument SOLLTE vor der Weitergabe auf unerw\xFC\ - nschte Restinformationen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 - ref_id: CON.9.A5.5 - description: "Unerw\xFCnschte Restinformationen SOLLTEN vor der Weitergabe aus\ - \ Dokumenten und Dateien entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A6 - name: "Kompatibilit\xE4tspr\xFCfung des Sende- und Empfangssystems" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6 - ref_id: CON.9.A6.1 - description: "Vor einem Informationsaustausch SOLLTE \xFCberpr\xFCfen werden,\ - \ ob die eingesetzten IT-Systeme und Produkte kompatibel sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A7 - name: "Sicherungskopie der \xFCbermittelten Daten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7 - ref_id: CON.9.A7.1 - description: "Die Institution SOLLTE eine Sicherungskopie der \xFCbermittelten\ - \ Informationen anfertigen, falls die Informationen nicht aus anderen Quellen\ - \ wiederhergestellt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A8 - name: "Verschl\xFCsselung und digitale Signatur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 - ref_id: CON.9.A8.1 - description: "Die Institution SOLLTE pr\xFCfen, ob Informationen w\xE4hrend\ - \ des Austausches kryptografisch gesichert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 - ref_id: CON.9.A8.2 - description: "Falls die Informationen kryptografisch gesichert werden, SOLLTEN\ - \ daf\xFCr ausreichend sichere Verfahren eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 - ref_id: CON.9.A9 - name: Vertraulichkeitsvereinbarungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 - ref_id: CON.9.A9.1 - description: Bevor vertrauliche Informationen an andere Institutionen weitergeben - werden, SOLLTE die zentrale Verwaltung informiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 - ref_id: CON.9.A9.2 - description: "Die zentrale Verwaltung SOLLTE eine Vertraulichkeitsvereinbarung\ - \ mit der empfangenden Institution abschlie\xDFen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 - ref_id: CON.9.A9.3 - description: "Die Vertraulichkeitsvereinbarung SOLLTE regeln, wie die Informationen\ - \ durch die empfangende Institution aufbewahrt werden d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 - ref_id: CON.9.A9.4 - description: "In der Vertraulichkeitsvereinbarung SOLLTE festgelegt werden,\ - \ wer bei der empfangenden Institution Zugriff auf welche \xFCbermittelten\ - \ Informationen haben darf." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.10 - name: Entwicklung von Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A1 - name: Authentisierung bei Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.1 - description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass sich die Benutzenden\ - \ gegen\xFCber der Webanwendung sicher und angemessen authentisieren, bevor\ - \ diese auf gesch\xFCtzte Funktionen oder Inhalte zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.2 - description: "Es MUSS eine angemessene Authentisierungsmethode ausgew\xE4hlt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.3 - description: Der Auswahlprozess MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.4 - description: Eine zentrale Authentisierungskomponente MUSS verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.5 - description: Die zentrale Authentisierungskomponente SOLLTE mit etablierten - Standardkomponenten (z. B. aus Frameworks oder Programmbibliotheken) umgesetzt - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.6 - description: "Falls eine Webanwendung Authentisierungsdaten auf einem Client\ - \ speichert, MUSS explizit auf die Risiken der Funktion hingewiesen werden\ - \ und zustimmen (\u201EOpt-In\u201C)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.7 - description: "Die Webanwendung MUSS die M\xF6glichkeit bieten, Grenzwerte f\xFC\ - r fehlgeschlagene Anmeldeversuche festzulegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 - ref_id: CON.10.A1.8 - description: "Die Webanwendung MUSS Benutzende sofort informieren, wenn deren\ - \ Passwort zur\xFCckgesetzt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A2 - name: Zugriffskontrolle bei Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - ref_id: CON.10.A2.1 - description: "Die Entwickelnden M\xDCSSEN mittels einer Autorisierungskomponente\ - \ sicherstellen, dass die Benutzenden ausschlie\xDFlich solche Aktionen durchf\xFC\ - hren k\xF6nnen, zu denen sie berechtigt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - ref_id: CON.10.A2.2 - description: "Jeder Zugriff auf gesch\xFCtzte Inhalte und Funktionen MUSS kontrolliert\ - \ werden, bevor er ausgef\xFChrt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - ref_id: CON.10.A2.3 - description: "Die Autorisierungskomponente MUSS s\xE4mtliche Ressourcen und\ - \ Inhalte ber\xFCcksichtigen, die von der Webanwendung verwaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - ref_id: CON.10.A2.4 - description: "Ist die Zugriffskontrolle fehlerhaft, M\xDCSSEN Zugriffe abgelehnt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 - ref_id: CON.10.A2.5 - description: Es MUSS eine Zugriffskontrolle bei URL-Aufrufen und Objekt-Referenzen - geben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A3 - name: Sicheres Session-Management - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.1 - description: "Session-IDs M\xDCSSEN geeignet gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.2 - description: "Session-IDs M\xDCSSEN zuf\xE4llig und mit ausreichender Entropie\ - \ erzeugt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.3 - description: Falls das Framework der Webanwendung sichere Session-IDs generieren - kann, MUSS diese Funktion des Frameworks verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.4 - description: "Sicherheitsrelevante Konfigurationsm\xF6glichkeiten des Frameworks\ - \ M\xDCSSEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.5 - description: "Wenn Session-IDs \xFCbertragen und von den Clients gespeichert\ - \ werden, M\xDCSSEN sie ausreichend gesch\xFCtzt \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.6 - description: "Eine Webanwendung MUSS die M\xF6glichkeit bieten, eine bestehende\ - \ Sitzung explizit zu beenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.7 - description: Nachdem ein Konto angemeldet wurde, MUSS eine bereits bestehende - Session-ID durch eine neue ersetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.8 - description: "Sitzungen M\xDCSSEN eine maximale G\xFCltigkeitsdauer besitzen\ - \ (Timeout)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.9 - description: "Inaktive Sitzungen M\xDCSSEN automatisch nach einer bestimmten\ - \ Zeit ung\xFCltig werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 - ref_id: CON.10.A3.10 - description: "Nachdem die Sitzung ung\xFCltig ist, M\xDCSSEN alle Sitzungsdaten\ - \ ung\xFCltig und gel\xF6scht sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A4 - name: Kontrolliertes Einbinden von Inhalten bei Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 - ref_id: CON.10.A4.1 - description: "Es MUSS sichergestellt werden, dass eine Webanwendung ausschlie\xDF\ - lich vorgesehene Daten und Inhalte einbindet ausliefert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 - ref_id: CON.10.A4.2 - description: "Die Ziele der Weiterleitungsfunktion einer Webanwendung M\xDC\ - SSEN ausreichend eingeschr\xE4nkt werden, sodass ausschlie\xDFlich auf vertrauensw\xFC\ - rdige Webseiten weitergeleitet wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 - ref_id: CON.10.A4.3 - description: "Falls die Vertrauensdom\xE4ne verlassen wird, MUSS ihn die Webanwendung\ - \ dar\xFCber informieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A5 - name: Upload-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 - ref_id: CON.10.A5.1 - description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ - \ Dateien nur im vorgegebenen Pfad speichern k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 - ref_id: CON.10.A5.2 - description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ - \ den Ablageort der Uploads nicht beeinflussen kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 - ref_id: CON.10.A5.3 - description: "Die Entwickelnden M\xDCSSEN Funktionen in die Webanwendung integrieren,\ - \ mit denen die Uploads w\xE4hrend des Betriebs der Webanwendung konfiguriert\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A6 - name: Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 - ref_id: CON.10.A6.1 - description: "Die Entwickelnden M\xDCSSEN Sicherheitsmechanismen implementieren,\ - \ die die Webanwendung vor automatisierten Zugriffen sch\xFCtzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 - ref_id: CON.10.A6.2 - description: "Bei der Implementierung der Sicherheitsmechanismen MUSS ber\xFC\ - cksichtigt werden, wie sich diese auf die Nutzungsm\xF6glichkeiten der berechtigten\ - \ Konten auswirken." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A7 - name: Schutz vertraulicher Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.1 - description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass vertrauliche Daten\ - \ von den Clients zu den Servern nur mit der HTTP-Post-Methode \xFCbertragen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.2 - description: "Entwickelnde M\xDCSSEN durch Direktiven in der Webanwendung gew\xE4\ - hrleisten, dass clientseitig keine sch\xFCtzenswerten Daten zwischengespeichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.3 - description: "Entwickelnde M\xDCSSEN sicherstellen, dass in Formularen keine\ - \ vertraulichen Formulardaten im Klartext angezeigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.4 - description: Die Webanwendung SOLLTE verhindern, dass vertrauliche Daten vom - Webbrowser unerwartet gespeichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.5 - description: "S\xE4mtliche Zugangsdaten der Webanwendung M\xDCSSEN serverseitig\ - \ mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff\ - \ gesch\xFCtzt werden (Salted Hash)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 - ref_id: CON.10.A7.6 - description: "Die Dateien mit den Quelltexten der Webanwendung M\xDCSSEN vor\ - \ unerlaubten Abrufen gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A8 - name: Umfassende Eingabevalidierung und Ausgabekodierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - ref_id: CON.10.A8.1 - description: "Die Entwickelnden M\xDCSSEN s\xE4mtliche an eine Webanwendung\ - \ \xFCbergebenen Daten als potenziell gef\xE4hrlich behandeln und geeignet\ - \ filtern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - ref_id: CON.10.A8.2 - description: "S\xE4mtliche Eingabedaten sowie Datenstr\xF6me und Sekund\xE4\ - rdaten, wie z. B. Session-IDs, M\xDCSSEN serverseitig validiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - ref_id: CON.10.A8.3 - description: "Fehleingaben SOLLTEN m\xF6glichst nicht automatisch behandelt\ - \ werden (Sanitizing)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - ref_id: CON.10.A8.4 - description: "L\xE4sst es sich jedoch nicht vermeiden, MUSS Sanitizing sicher\ - \ umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 - ref_id: CON.10.A8.5 - description: "Ausgabedaten M\xDCSSEN so kodiert werden, dass schadhafter Code\ - \ auf dem Zielsystem nicht interpretiert oder ausgef\xFChrt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A9 - name: Schutz vor SQL-Injection - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 - ref_id: CON.10.A9.1 - description: "Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet\ - \ werden, M\xDCSSEN Stored Procedures bzw. Prepared SQL Statements eingesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 - ref_id: CON.10.A9.2 - description: "Falls Daten an ein DBMS weitergeleitet werden und weder Stored\ - \ Procedures noch Prepared SQL Statements von der Einsatzumgebung unterst\xFC\ - tzt werden, M\xDCSSEN die SQL-Queries separat abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A10 - name: Restriktive Herausgabe sicherheitsrelevanter Informationen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10 - ref_id: CON.10.A10.1 - description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass Webseiten, R\xFC\ - ckantworten und Fehlermeldungen von Webanwendungen keine Informationen enthalten,\ - \ die Angreifenden Hinweise darauf geben, wie er Sicherheitsmechanismen umgehen\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A11 - name: Softwarearchitektur einer Webanwendung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - ref_id: CON.10.A11.1 - description: "Die Entwickelnden SOLLTEN die Softwarearchitektur der Webanwendung\ - \ mit allen Bestandteilen und Abh\xE4ngigkeiten dokumentieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - ref_id: CON.10.A11.2 - description: "Die Dokumentation SOLLTE bereits w\xE4hrend des Entwicklungsverlaufs\ - \ aktualisiert und angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - ref_id: CON.10.A11.3 - description: Die Dokumentation SOLLTE so gestaltet sein, dass sie schon in der - Entwicklungsphase benutzt werden kann und Entscheidungen nachvollziehbar sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - ref_id: CON.10.A11.4 - description: "In der Dokumentation SOLLTEN alle f\xFCr den Betrieb notwendigen\ - \ Komponenten gekennzeichnet werden, die nicht Bestandteil der Webanwendung\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 - ref_id: CON.10.A11.5 - description: In der Dokumentation SOLLTE beschrieben sein, welche Komponenten - welche Sicherheitsmechanismen umsetzen, wie die Webanwendung in eine bestehende - Infrastruktur integriert wird und welche kryptografischen Funktionen und Verfahren - eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A12 - name: "Verifikation essenzieller \xC4nderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 - ref_id: CON.10.A12.1 - description: "Falls wichtige Einstellungen mit der Anwendung ge\xE4ndert werden\ - \ sollen, dann SOLLTEN die Entwickelnden sicherstellen, dass die \xC4nderungen\ - \ durch die Eingabe eines Passworts erneut verifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 - ref_id: CON.10.A12.2 - description: "Falls dies nicht m\xF6glich ist, dann SOLLTE die Webanwendung\ - \ auf andere geeignete Weise sicherstellen, dass sich die Benutzenden authentisieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 - ref_id: CON.10.A12.3 - description: "Die Benutzenden SOLLTEN \xFCber \xC4nderungen mithilfe von Kommunikationswegen\ - \ au\xDFerhalb der Webanwendung informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A13 - name: Fehlerbehandlung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.1 - description: "Treten w\xE4hrend der Laufzeit einer Webanwendung Fehler auf,\ - \ SOLLTEN diese so behandelt werden, dass die Webanwendung weiter in einem\ - \ konsistenten Zustand bleibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.2 - description: Die Webanwendung SOLLTE Fehlermeldungen protokollieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.3 - description: Falls eine veranlasste Aktion einen Fehler verursacht, SOLLTE die - Webanwendung diese Aktion abbrechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.4 - description: Die Webanwendung SOLLTE im Fehlerfall den Zugriff auf eine angeforderte - Ressource oder Funktion verweigern. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.5 - description: Zuvor reservierte Ressourcen SOLLTEN im Rahmen der Fehlerbehandlung - wieder freigegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 - ref_id: CON.10.A13.6 - description: "Der Fehler SOLLTE m\xF6glichst von der Webanwendung selbst behandelt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A14 - name: Sichere HTTP-Konfiguration bei Webanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - ref_id: CON.10.A14.1 - description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen - SOLLTEN geeignete HTTP-Response-Header gesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - ref_id: CON.10.A14.2 - description: 'Es SOLLTEN mindestens die folgenden HTTP-Header verwendet werden: - Content-Security-Policy, Strict-Transport-Security, Content-Type, X-Content-Type-Options - sowie Cache-Control.' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - ref_id: CON.10.A14.3 - description: Die verwendeten HTTP-Header SOLLTEN auf die Webanwendung abgestimmt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - ref_id: CON.10.A14.4 - description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 - ref_id: CON.10.A14.5 - description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ - \ und httponly gesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A15 - name: Verhinderung von Cross-Site-Request-Forgery - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 - ref_id: CON.10.A15.1 - description: "Die Entwickelnden SOLLTEN die Webanwendung mit solchen Sicherheitsmechanismen\ - \ ausstatten, die eine Unterscheidung zwischen beabsichtigten Seitenaufrufen\ - \ und unbeabsichtigt weitergeleiteten Befehlen Dritter erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 - ref_id: CON.10.A15.2 - description: "Dabei SOLLTE mindestens gepr\xFCft werden, ob neben der Session-ID\ - \ ein geheimes Token f\xFCr den Zugriff auf gesch\xFCtzte Ressourcen und Funktionen\ - \ ben\xF6tigt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A16 - name: Mehr-Faktor-Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16 - ref_id: CON.10.A16.1 - description: Es SOLLTE eine Mehr-Faktor-Authentisierung implementiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A17 - name: Verhinderung der Blockade von Ressourcen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 - ref_id: CON.10.A17.1 - description: Zum Schutz vor Denial-of-Service (DoS)-Angriffen SOLLTEN ressourcenintensive - Operationen vermieden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 - ref_id: CON.10.A17.2 - description: Falls ressourcenintensive Operationen notwendig sind, dann SOLLTEN - diese besonders abgesichert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 - ref_id: CON.10.A17.3 - description: "Bei Webanwendungen SOLLTE ein m\xF6glicher \xDCberlauf von Protokollierungsdaten\ - \ \xFCberwacht und verhindert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 - ref_id: CON.10.A18 - name: Kryptografische Absicherung vertraulicher Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18 - ref_id: CON.10.A18.1 - description: Vertrauliche Daten einer Webanwendung SOLLTEN durch sichere, kryptografische - Algorithmen abgesichert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con - ref_id: CON.11.1 - name: "Geheimschutz VS-NUR F\xDCR DEN DIENSTGEBRAUCH (VS-NfD) " - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A1 - name: "Einhaltung der Grunds\xE4tze zur VS-Verarbeitung mit IT nach \xA7 3,\ - \ 4 und 6 und Nr. 1 Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.1 - description: "VS des Geheimhaltungsgrades VS-NfD D\xDCRFEN NUR mit VS-IT verarbeitet,\ - \ die hierf\xFCr freigegeben ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.2 - description: "Private IT DARF NICHT f\xFCr die Verarbeitung von Verschlusssachen\ - \ eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.3 - description: "Bei der Verarbeitung von VS mit VS-IT MUSS der Grundsatz \"Kenntnis\ - \ nur, wenn n\xF6tig\" eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.4 - description: "Es D\xDCRFEN NUR Personen Kenntnis von einer VS erhalten, die\ - \ auf Grund ihrer Aufgabenerf\xFCllung von ihr Kenntnis erhalten m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.5 - description: "Personen D\xDCRFEN NICHT umfassender oder eher \xFCber eine VS\ - \ unterrichtet werden, als dies aus Gr\xFCnden der Aufgabenerf\xFCllung notwendig\ - \ ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.6 - description: "Die Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6\ - tig\u201C SOLLTE, insbesondere falls die VS-IT durch mehrere Benutzende verwendet\ - \ wird, prim\xE4r \xFCber technische Ma\xDFnahmen sichergestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.7 - description: "Nach dem Grundsatz der mehrschichtigen Sicherheit M\xDCSSEN personelle,\ - \ organisatorische, materielle und technische Ma\xDFnahmen getroffen werden,\ - \ die in ihrem Zusammenwirken" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.8 - description: "\u2022 Risiken eines Angriffs reduzieren (Pr\xE4vention)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.9 - description: "\u2022 Angriffe erkennbar machen (Detektion) und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.10 - description: "\u2022 im Falle eines erfolgreichen Angriffs die negativen Folgen\ - \ begrenzen (Reaktion)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.11 - description: "Bei der Erf\xFCllung der Anforderungen des vorliegenden Bausteins\ - \ M\xDCSSEN die relevanten Technischen Leitlinien des BSI (BSI TL) beachtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 - ref_id: CON.11.1.A1.12 - description: "Falls von den BSI TL abgewichen werden soll, dann DARF dies NUR\ - \ in Ausnahmef\xE4llen und im Einvernehmen mit dem BSI erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A2 - name: "Erstellung und Fortschreibung der VS-IT-Dokumentation nach \xA7 12 und\ - \ Nr. 2.2 Anlage II zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 - ref_id: CON.11.1.A2.1 - description: Jede Dienststelle, die VS-IT einsetzt, MUSS als Teil der Geheimschutzdokumentation - eine VS-IT-Dokumentation erstellen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 - ref_id: CON.11.1.A2.2 - description: "Die VS-IT-Dokumentation MUSS alle Dokumente beinhalten, welche\ - \ in Nr. 2.2 Anlage II zur VSA aufgef\xFChrt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 - ref_id: CON.11.1.A2.3 - description: "Die VS-IT-Dokumentation MUSS bei allen geheimschutzrelevanten\ - \ \xC4nderungen aktualisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 - ref_id: CON.11.1.A2.4 - description: "Sie MUSS zudem mindestens alle drei Jahre auf Aktualit\xE4t, Vollst\xE4\ - ndigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzma\xDF\ - nahmen \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A3 - name: "Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.1 - description: "Auf Basis der im VS-Produktkatalog f\xFCr einzelne Produkttypen\ - \ vom BSI festgelegten Zulassungsrelevanz und insbesondere basierend auf den\ - \ Ergebnissen der Strukturanalyse M\xDCSSEN alle f\xFCr die geplante VS-IT\ - \ relevanten IT-Sicherheitsfunktionen identifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.2 - description: "Diese lassen sich den folgenden Kategorien gem\xE4\xDF \xA7 52\ - \ VSA zuordnen:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.3 - description: "\u2022 Zugangs- und Zugriffskontrolle," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.4 - description: "\u2022 Identifikation und Authentisierung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.5 - description: "\u2022 kryptographische Unterst\xFCtzung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.6 - description: "\u2022 Sicherheitsmanagement," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.7 - description: "\u2022 Informationsflusskontrolle," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.8 - description: "\u2022 interner Schutz der Benutzerdaten," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.9 - description: "\u2022 Selbstschutz der Sicherheitsfunktionen und ihrer Daten," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.10 - description: "\u2022 Netztrennung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.11 - description: "\u2022 Schutz der Unversehrtheit," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.12 - description: "\u2022 Verf\xFCgbarkeits\xFCberwachung oder" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.13 - description: "\u2022 Sicherheitsprotokollierung und Nachweisf\xFChrung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.14 - description: "Anschlie\xDFend M\xDCSSEN die identifizierten IT-Sicherheitsfunktionen\ - \ den jeweiligen Teilkomponenten der VS-IT unter Ber\xFCcksichtigung des VS-Produktkataloges\ - \ des BSI zugeordnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.15 - description: "Jede identifizierte und f\xFCr den Schutz von VS wesentlich verantwortliche\ - \ Teilkomponente MUSS als IT-Sicherheitsprodukt gem\xE4\xDF VSA festgelegt\ - \ und behandelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.16 - description: "Sofern das identifizierte IT-Sicherheitsprodukt einem Produkttyp\ - \ angeh\xF6rt f\xFCr das eine Zulassungsaussage gem\xE4\xDF BSI TL - IT 01\ - \ erforderlich ist, MUSS ein entsprechendes Produkt gem\xE4\xDF BSI Schrift\ - \ 7164 (Liste der zugelassenen Produkte) verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.17 - description: Sofern dort keine IT-Sicherheitsprodukte gelistet sind, MUSS Kontakt - mit der Zulassungsstelle des BSI aufgenommen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.18 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 - ref_id: CON.11.1.A3.18 - description: "Bei der Verwendung von IT-Sicherheitsprodukten mit Zulassungsaussage\ - \ M\xDCSSEN zus\xE4tzlich die Bestimmungen des BSI f\xFCr den Einsatz und\ - \ Betrieb (SecOPs) des jeweiligen Produktes eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A4 - name: "Beschaffung von VS-IT nach \xA7 49 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.1 - description: "Bevor VS-IT beschafft wird, MUSS sichergestellt werden, dass deren\ - \ Sicherheit w\xE4hrend des gesamten Lebenszyklus ab dem Zeitpunkt, zu dem\ - \ fest steht, dass die IT zur VS-Verarbeitung eingesetzt werden soll, bis\ - \ zur Aussonderung kontinuierlich gew\xE4hrleistet wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.2 - description: "Um einen durchgehenden Geheimschutz sicherzustellen, M\xDCSSEN\ - \ die Vergabeunterlagen so formuliert werden, dass die Anforderungen der VSA\ - \ vollst\xE4ndig erf\xFCllt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.3 - description: "Bei Beschaffungsauftr\xE4gen f\xFCr VS-IT M\xDCSSEN die notwendigen\ - \ IT-Sicherheitsfunktionen der jeweiligen IT-Produkte vorab festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.4 - description: "Bei der Formulierung der Vergabeunterlagen M\xDCSSEN insbesondere\ - \ die" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.5 - description: "\u2022 Aufbewahrung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.6 - description: "\u2022 Archivierung und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.7 - description: "\u2022 L\xF6schung von elektronischer VS sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.8 - description: "\u2022 Aussonderung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.9 - description: "\u2022 Wartung und Instandsetzung von VS-IT ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.10 - description: Sofern einem zu beschaffenden IT-Produkt eine IT-Sicherheitsfunktion - zugeordnet ist, SOLLTE ein IT-Produkt aus der Liste der zugelassenen IT-Sicherheitsprodukte - beschafft werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.11 - description: "Wird stattdessen ein Produkt ohne Zulassungsaussage ausgew\xE4\ - hlt, dann SOLLTE im Vorhinein mit dem BSI abgekl\xE4rt werden, ob es zugelassen\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.12 - description: "Zus\xE4tzlich SOLLTE in der Ausschreibung aufgenommen werden,\ - \ dass der Hersteller an einem Zulassungsverfahren mitwirken muss (siehe BSI\ - \ TL - IT 01)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 - ref_id: CON.11.1.A4.13 - description: "Vertr\xE4ge M\xDCSSEN derart gestaltet werden, dass bei einer\ - \ R\xFCckgabe von defekten oder geleasten IT-Produkten deren Datentr\xE4ger\ - \ oder sonstige Komponenten, auf denen VS gespeichert sein k\xF6nnten, im\ - \ Besitz der Dienststelle verbleiben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A5 - name: "Verpflichtung bei Zugang zu VS nach \xA7 4 VSA und Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 - ref_id: CON.11.1.A5.1 - description: "Bevor eine Person Zugang zu VS des Geheimhaltungsgrades VS-NfD\ - \ erh\xE4lt, MUSS sie auf Anlage V verpflichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 - ref_id: CON.11.1.A5.2 - description: "Ein Exemplar der Anlage V zur VSA MUSS jeder Person gegen Empfangsbest\xE4\ - tigung zug\xE4nglich gemacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 - ref_id: CON.11.1.A5.3 - description: "Wird Personal von nicht\xF6ffentlichen Stellen Zugang zu VS gew\xE4\ - hrt, so MUSS Nr. 6.6 Anlage V zur VSA beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 - ref_id: CON.11.1.A5.4 - description: "Von der Verpflichtung einer Person DARF NUR abgesehen werden,\ - \ falls an VS-IT nur kurzzeitig gearbeitet und w\xE4hrenddessen ein Zugriff\ - \ auf VS ausgeschlossen werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A6 - name: "Beaufsichtigung und Begleitung von Fremdpersonal f\xFCr VS-IT nach \xA7\ - \xA7 3, 4 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 - ref_id: CON.11.1.A6.1 - description: "Nicht verpflichtetes Fremdpersonal, das an VS-IT arbeitet, MUSS\ - \ w\xE4hrend der gesamten Zeit begleitet und beaufsichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 - ref_id: CON.11.1.A6.2 - description: "Die begleitenden Personen M\xDCSSEN \xFCber die notwendigen Fachkenntnisse\ - \ verf\xFCgen, um die T\xE4tigkeiten kontrollieren zu k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A7 - name: "Kennzeichnung von elektronischen VS und Datentr\xE4gern nach \xA7\xA7\ - \ 20, 54 und Anlage III, V und VIII zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.1 - description: "Elektronische VS M\xDCSSEN nach den Vorgaben der VSA gekennzeichnet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.2 - description: "Die Kennzeichnung MUSS bei der Verarbeitung von VS mit VS-IT w\xE4\ - hrend der gesamten Dauer ihrer Einstufung jederzeit erkennbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.3 - description: Die Kennzeichnung MUSS auch bei kopierten, elektronisch versendeten - oder ausgedruckten VS erhalten bleiben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.4 - description: "Falls die Beschaffenheit elektronischer VS eine Kennzeichnung\ - \ nach VSA nicht zul\xE4sst, dann M\xDCSSEN VS sinngem\xE4\xDF gekennzeichnet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.5 - description: "Der Dateiname einer elektronischen VS SOLLTE eine Kennzeichnung\ - \ enthalten, die den VS-Charakter des Inhalts erkennen l\xE4sst, ohne die\ - \ VS \xF6ffnen zu m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.6 - description: "E-Mails M\xDCSSEN entsprechend des Musters 11 der Anlage VIII\ - \ zur VSA gekennzeichnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.7 - description: "Falls eine elektronische Kennzeichnung von VS (im Sinne von Metadaten)\ - \ verwendet werden soll, dann MUSS gepr\xFCft werden, ob diese IT-Sicherheitsfunktionen\ - \ \xFCbernimmt (siehe CON.11.1.A3 Einsatz von IT-Sicherheitsprodukten nach\ - \ \xA7\xA7 51, 52 VSA)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.8 - description: "Datentr\xE4ger, auf denen elektronische VS des Geheimhaltungsgrades\ - \ VS-NfD durch Produkte ohne Zulassungsaussage verschl\xFCsselt gespeichert\ - \ sind, M\xDCSSEN mit dem Geheimhaltungsgrad der darauf gespeicherten VS gekennzeichnet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 - ref_id: CON.11.1.A7.9 - description: "Falls sich durch die Zusammenstellung der VS auf dem Datentr\xE4\ - ger ein Datenbestand ergibt, welcher eine h\xF6here Einstufung erforderlich\ - \ macht, dann MUSS der Datentr\xE4ger selbst als VS des Geheimhaltungsgrades\ - \ VS-VERTRAULICH behandelt und gekennzeichnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A8 - name: "Verwaltung und Nachweis von elektronischen VS nach \xA7 21 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 - ref_id: CON.11.1.A8.1 - description: "F\xFCr die Verwaltung von elektronischen VS M\xDCSSEN die Grunds\xE4\ - tze ordnungsgem\xE4\xDFer Aktenf\xFChrung (gem\xE4\xDF Registraturrichtlinie\ - \ f\xFCr das Bearbeiten und Verwalten von Schriftgut in Bundesministerien)\ - \ und die Vorgaben der VSA zur Verwaltung und Nachweisf\xFChrung von VS eingehalten\ - \ werden (keine Nachweisf\xFChrung f\xFCr VS des Geheimhaltungsgrades VS-NfD\ - \ erforderlich)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 - ref_id: CON.11.1.A8.2 - description: "Elektronische VS, die als VS-NfD eingestuft sind, D\xDCRFEN NUR\ - \ unter Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6tig\u201C\ - \ in offenen (elektronischen) Registraturen verwaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A9 - name: "Speicherung elektronischer VS nach \xA7 23 und Nr. 5 Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9 - ref_id: CON.11.1.A9.1 - description: "Elektronische VS M\xDCSSEN mit einem IT-Sicherheitsprodukt mit\ - \ Zulassungsaussage verschl\xFCsselt gespeichert oder entsprechend den Vorgaben\ - \ der VSA materiell gesichert werden (siehe CON.11.1.A15 Handhabung von Datentr\xE4\ - gern und IT-Produkten nach \xA7 54 und Anlage V zur VSA)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A10 - name: "Elektronische \xDCbertragung von VS nach \xA7\xA7 24, 53, 55 und Nr.\ - \ 6.2 Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.1 - description: "Falls VS elektronisch \xFCbertragen werden sollen, M\xDCSSEN die\ - \ Regelungen der VSA zur Weitergabe von VS (\xA7 24 VSA) eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.2 - description: "F\xFCr die Weitergabe an Parlamente, Landesbeh\xF6rden und nicht\ - \ \xF6ffentliche Stellen M\xDCSSEN zus\xE4tzlich die besonderen Regelungen\ - \ nach \xA7\xA7 25 und 26 VSA beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.3 - description: "Die VS-IT aller Kommunikationspartner MUSS f\xFCr die Verarbeitung\ - \ von VS des Geheimhaltungsgrads VS-NfD freigegeben sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.4 - description: "Werden VS elektronisch \xFCbertragen, M\xDCSSEN sie grunds\xE4\ - tzlich durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.5 - description: "Auf eine Verschl\xFCsselung DARF NUR verzichtet werden, falls:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.6 - description: "\u2022 VS ausschlie\xDFlich leitungsgebunden \xFCbertragen werden\ - \ und die \xDCbertragungseinrichtungen, einschlie\xDFlich Kabel und Verteiler,\ - \ gegen unbefugten Zugriff gesch\xFCtzt sind, oder" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.7 - description: "\u2022 neben den Hausnetzen zus\xE4tzlich das Transportnetz f\xFC\ - r die Verarbeitung von VS freigegeben ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.8 - description: "Es DARF NUR innerhalb von R\xE4umen und Bereichen, die gegen unkontrollierten\ - \ Zutritt gesch\xFCtzt sind, von einem Zugriffsschutz ausgegangen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.9 - description: "VS D\xDCRFEN NUR in Ausnahmef\xE4llen nach \xA7 55 Abs." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.10 - description: "2-4 VSA unter Einhaltung der dort genannten Anforderungen und\ - \ Vorsichtsma\xDFnahmen auf anderem Wege elektronisch \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 - ref_id: CON.11.1.A10.11 - description: "Falls im Vorhinein zu erwarten ist, dass VS elektronisch \xFC\ - bertragen werden k\xF6nnten, DARF die Ausnahmeregelung nach \xA7 55 VSA NICHT\ - \ angewendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A11 - name: "Mitnahme elektronischer VS nach \xA7 28 VSA und Nr. 7 Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.1 - description: "Elektronische VS D\xDCRFEN NUR auf Dienstreisen und zu Dienstbesprechungen\ - \ mitgenommen werden, soweit dies dienstlich notwendig ist und sie angemessen\ - \ gegen unbefugte Kenntnisnahme gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.2 - description: "Werden diese pers\xF6nlich mitgenommen, M\xDCSSEN diese folgenderma\xDF\ - en gespeichert werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.3 - description: "\u2022 auf hierf\xFCr freigegebener VS-IT," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.4 - description: "\u2022 auf einem Datentr\xE4ger, der in einem verschlossenen Umschlag\ - \ transportiert wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.5 - description: "\u2022 auf einem Datentr\xE4ger, der mit einem IT-Sicherheitsprodukt\ - \ mit Zulassungsaussage verschl\xFCsselt wurde, oder" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.6 - description: "\u2022 durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFC\ - sselt, falls der Datentr\xE4ger selbst nicht durch ein IT-Sicherheitsprodukt\ - \ mit Zulassungsaussage verschl\xFCsselt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 - ref_id: CON.11.1.A11.7 - description: "Falls VS des Geheimhaltungsgrades VS-NfD in Privatwohnungen verarbeitet\ - \ werden sollen, dann D\xDCRFEN diese NUR elektronisch mit hierf\xFCr freigegebener\ - \ VS-IT verarbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A12 - name: "Archivierung elektronischer VS nach \xA7\xA7 30, 31 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 - ref_id: CON.11.1.A12.1 - description: "VS M\xDCSSEN entsprechend dem Bundesarchivgesetz wie nicht eingestufte\ - \ Informationen ausgesondert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 - ref_id: CON.11.1.A12.2 - description: "Schon bei Einf\xFChrung von Systemen zur elektronischen Schriftgutverwaltung\ - \ und Vorgangsbearbeitung M\xDCSSEN die technischen Verfahren zur Aussonderung\ - \ fr\xFChzeitig mit dem zust\xE4ndigen Archiv abgesprochen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 - ref_id: CON.11.1.A12.3 - description: "Falls das zust\xE4ndige Archiv VS nicht \xFCbernehmen m\xF6chte,\ - \ M\xDCSSEN VS gem\xE4\xDF CON.11.1.A13 L\xF6schung elektronischer VS, Vernichtung\ - \ von Datentr\xE4gern und IT-Produkten nach \xA7\xA7 32, 56 VSA sicher gel\xF6\ - scht bzw. vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A13 - name: "L\xF6schung elektronischer VS, Vernichtung von Datentr\xE4gern und IT-Produkten\ - \ nach \xA7\xA7 32, 56 und Nr. 8 Anlage V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.1 - description: "Um VS oder Datentr\xE4ger zu l\xF6schen, die mit einem IT-Sicherheitsprodukt\ - \ mit Zulassungsaussage verschl\xFCsselt wurden, MUSS der Schl\xFCssel unter\ - \ Beachtung der SecOPs gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.2 - description: "Sollen elektronische VS gel\xF6scht werden, die nicht durch ein\ - \ IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt wurden, dann\ - \ MUSS der gesamte Datentr\xE4ger oder das IT-Produkt, auf dem VS gespeichert\ - \ sind, mittels eines IT-Sicherheitsprodukts mit Zulassungsaussage gel\xF6\ - scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.3 - description: "Die Datentr\xE4ger oder IT-Produkte M\xDCSSEN gel\xF6scht werden,\ - \ bevor sie die gesicherte Einsatzumgebung dauerhaft verlassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.4 - description: "Sie M\xDCSSEN physisch vernichtet werden, falls sie nicht gel\xF6\ - scht werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.5 - description: "F\xFCr die Vernichtung M\xDCSSEN Produkte oder Verfahren eingesetzt\ - \ oder Dienstleister beauftragt werden, die die Anforderungen der BSI TL -\ - \ M 50 erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 - ref_id: CON.11.1.A13.6 - description: "Die zuvor beschriebenen Teilanforderungen M\xDCSSEN auch bei defekten\ - \ Datentr\xE4gern und IT-Produkten eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A14 - name: "Zugangs- und Zugriffsschutz nach \xA7 3 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.1 - description: "VS-IT, die f\xFCr VS-NfD eingestufte VS eingesetzt wird, MUSS\ - \ so gesch\xFCtzt werden, dass ein Zugang zur VS-IT und ein Zugriff auf VS\ - \ nur f\xFCr verpflichtete Personen (siehe CON.11.1.A5 Verpflichtung bei Zugang\ - \ zu VS nach \xA7 4 und Anlage V zur VSA) m\xF6glich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.2 - description: "Der Schutz der VS MUSS sichergestellt werden \xFCber:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.3 - description: "\u2022 IT-Sicherheitsprodukte mit Zulassungsaussage," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.4 - description: "\u2022 materielle," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.5 - description: "\u2022 organisatorische oder" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.6 - description: "\u2022 personelle Ma\xDFnahmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 - ref_id: CON.11.1.A14.7 - description: "F\xFCr den Zugangs- und Zugriffsschutz SOLLTE eine Mehr-Faktor-Authentisierung\ - \ genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A15 - name: "Handhabung von Datentr\xE4gern und IT-Produkten nach \xA7 54 und Anlage\ - \ V zur VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 - ref_id: CON.11.1.A15.1 - description: "Datentr\xE4ger und IT-Produkte M\xDCSSEN bei Nichtgebrauch in\ - \ verschlossenen Beh\xE4ltern oder R\xE4umen aufbewahrt werden, falls:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 - ref_id: CON.11.1.A15.2 - description: "\u2022 der Datentr\xE4ger bzw. das IT-Produkt selbst als VS-NfD\ - \ eingestuft ist," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 - ref_id: CON.11.1.A15.3 - description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt unverschl\xFCsselte\ - \ VS des Geheimhaltungsgrades VS-NfD gespeichert sind oder" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 - ref_id: CON.11.1.A15.4 - description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt VS des Geheimhaltungsgrades\ - \ VS-NfD durch ein Produkt ohne Zulassungsaussage verschl\xFCsselt gespeichert\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A16 - name: "Zusammenschaltung von VS-IT nach \xA7 58 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.1 - description: "Bevor VS-IT mit anderer VS-IT zusammengeschaltet werden darf,\ - \ MUSS gepr\xFCft werden, ob und inwieweit Informationen zwischen der zusammengeschalteten\ - \ VS-IT ausgetauscht werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.2 - description: "Bei der Pr\xFCfung MUSS das jeweilige Schutzniveau und der Grundsatz\ - \ \u201EKenntnis nur, wenn n\xF6tig\u201C ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.3 - description: "Abh\xE4ngig vom Ergebnis der Pr\xFCfung M\xDCSSEN IT-Sicherheitsfunktionen\ - \ zum Schutz der System\xFCberg\xE4nge implementiert werden (siehe CON.11.1.A3\ - \ Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.4 - description: "Vor der Zusammenschaltung der VS-IT MUSS bewertet und dokumentiert\ - \ werden, ob diese f\xFCr das angestrebte Szenario zwingend erforderlich ist\ - \ und ob durch die Zusammenschaltung eine besondere Gef\xE4hrdung der einzelnen\ - \ Teilsysteme entsteht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.5 - description: "Es MUSS gepr\xFCft werden, ob der durch die Zusammenschaltung\ - \ von VS-IT entstandene Gesamtbestand der Daten h\xF6her einzustufen ist und\ - \ weitere Geheimschutzma\xDFnahmen notwendig werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 - ref_id: CON.11.1.A16.6 - description: "Wird VS-IT f\xFCr die Verarbeitung von VS des Geheimhaltungsgrads\ - \ VS-NfD direkt oder kaskadiert mit VS-IT f\xFCr die Verarbeitung von VS des\ - \ Geheimhaltungsgrades STRENG GEHEIM gekoppelt, dann MUSS sichergestellt werden,\ - \ dass keine Verbindungen zu ungesch\xFCtzten oder \xF6ffentlichen Netzen\ - \ hergestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A17 - name: "Wartungs- und Instandsetzungsarbeiten von VS-IT nach \xA7 3 Abs. 3 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - ref_id: CON.11.1.A17.1 - description: "Wartungs- und Instandsetzungsarbeiten an Komponenten der VS-IT\ - \ SOLLTEN innerhalb der eigenen Dienstliegenschaft durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - ref_id: CON.11.1.A17.2 - description: "Ist dies nicht m\xF6glich, MUSS sichergestellt werden, dass die\ - \ Anforderungen der VSA sowohl w\xE4hrend des Transports als auch bei den\ - \ Wartungs- und Instandsetzungsarbeiten erf\xFCllt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - ref_id: CON.11.1.A17.3 - description: "W\xE4hrend der Wartungs- und Instandsetzungsarbeiten SOLLTE die\ - \ Verarbeitung von VS in dem von der Wartung betroffenen Bereich der VS-IT\ - \ eingestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - ref_id: CON.11.1.A17.4 - description: "Ist dies nicht m\xF6glich, MUSS w\xE4hrend des Zeitraums der Wartungs-\ - \ und Instandsetzungsarbeiten l\xFCckenlos sichergestellt werden, dass keine\ - \ VS abflie\xDFen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 - ref_id: CON.11.1.A17.5 - description: "Nach Abschluss der Wartungs- und Instandsetzungsarbeiten MUSS\ - \ der oder die Geheimschutzbeauftragte bewerten, ob sich geheimschutzrelevante\ - \ \xC4nderungen an der VS-IT ergeben haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 - ref_id: CON.11.1.A18 - name: "Fernwartung von VS-IT nach \xA7 3 Abs. 3 VSA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.1 - description: "Wird VS-IT ferngewartet, dann MUSS die Fernwartungsverbindung\ - \ verschl\xFCsselt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.2 - description: "F\xFCr die Verschl\xFCsselung M\xDCSSEN IT-Sicherheitsprodukte\ - \ mit Zulassungsaussage eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.3 - description: "Die IT, mit der die Fernwartung durchgef\xFChrt wird, sowie die\ - \ \xDCbertragungsstrecken M\xDCSSEN als VS-IT behandelt und als Schutzobjekte\ - \ definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.4 - description: Die Fernwartungsverbindung MUSS durch die Dienststelle auf- und - abgebaut werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.5 - description: "Die Dienststelle MUSS in der Lage sein, die Verbindung bei Auff\xE4\ - lligkeiten auch w\xE4hrend der Wartung zu unterbrechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.6 - description: "F\xFCr die Fernwartung von VS-IT MUSS ein Informationssicherheitskonzept\ - \ erstellt werden, das alle Komponenten, die an der Fernwartung beteiligt\ - \ sind, ber\xFCcksichtigt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 - ref_id: CON.11.1.A18.7 - description: "Hierbei M\xDCSSEN insbesondere die Netz\xFCberg\xE4nge und die\ - \ VS-IT, aus dem die Fernwartung gesteuert wird, betrachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - assessable: false - depth: 1 - ref_id: DER - name: Detektion und Reaktion - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.1 - name: Detektion von sicherheitsrelevanten Ereignissen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A1 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ - \ Ereignissen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ - \ Ereignissen erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.2 - description: "In der spezifischen Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar\ - \ Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten\ - \ Ereignissen geplant, aufgebaut und sicher betrieben werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.3 - description: "Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion\ - \ zust\xE4ndigen Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.4 - description: "Falls die spezifische Sicherheitsrichtlinie ver\xE4ndert wird\ - \ oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder\ - \ der verantwortlichen ISB abgestimmt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.5 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ - \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 - ref_id: DER.1.A1.6 - description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN sinnvoll dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A2 - name: Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 - ref_id: DER.1.A2.1 - description: "Wenn Protokollierungsdaten ausgewertet werden, dann M\xDCSSEN\ - \ dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz\ - \ eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 - ref_id: DER.1.A2.2 - description: "Wenn Detektionssysteme eingesetzt werden, dann M\xDCSSEN die Pers\xF6\ - nlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen\ - \ gewahrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 - ref_id: DER.1.A2.3 - description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten - gesetzlichen Bestimmungen beachtet werden, z. B. das Telemediengesetz (TMG), - das Betriebsverfassungsgesetz und das Telekommunikationsgesetz. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A3 - name: "Festlegung von Meldewegen f\xFCr sicherheitsrelevante Ereignisse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.1 - description: "F\xFCr sicherheitsrelevante Ereignisse M\xDCSSEN geeignete Melde-\ - \ und Alarmierungswege festgelegt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.2 - description: Es MUSS bestimmt werden, welche Stellen wann zu informieren sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.3 - description: "Es MUSS aufgef\xFChrt sein, wie die jeweiligen Personen erreicht\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.4 - description: "Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis\ - \ \xFCber verschiedene Kommunikationswege gemeldet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.5 - description: "Alle Personen, die f\xFCr die Meldung bzw. Alarmierung relevant\ - \ sind, M\xDCSSEN \xFCber ihre Aufgaben informiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.6 - description: "Alle Schritte des Melde- und Alarmierungsprozesses M\xDCSSEN ausf\xFC\ - hrlich beschrieben sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 - ref_id: DER.1.A3.7 - description: "Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelm\xE4\ - \xDFig gepr\xFCft, erprobt und aktualisiert werden, falls erforderlich." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A4 - name: Sensibilisierung der Mitarbeitenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 - ref_id: DER.1.A4.1 - description: "Alle Benutzenden M\xDCSSEN dahingehend sensibilisiert werden,\ - \ dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schlie\xDF\ - en." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 - ref_id: DER.1.A4.2 - description: "Sie M\xDCSSEN die Meldungen entsprechend der Alarmierungswege\ - \ an das verantwortliche Incident Management weitergeben (siehe DER.2.1 Behandlung\ - \ von Sicherheitsvorf\xE4llen)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 - ref_id: DER.1.A4.3 - description: "Alle Mitarbeitenden M\xDCSSEN einen von ihnen erkannten Sicherheitsvorfall\ - \ unverz\xFCglich dem Incident Management melden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A5 - name: Einsatz von mitgelieferten Systemfunktionen zur Detektion - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.1 - description: "Falls eingesetzte IT-Systeme oder Anwendungen \xFCber Funktionen\ - \ verf\xFCgen, mit denen sich sicherheitsrelevante Ereignisse detektieren\ - \ lassen, dann M\xDCSSEN diese aktiviert und benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.2 - description: "Falls ein sicherheitsrelevanter Vorfall vorliegt, dann M\xDCSSEN\ - \ die Meldungen der betroffenen IT-Systeme ausgewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.3 - description: "Zus\xE4tzlich M\xDCSSEN die protokollierten Ereignisse anderer\ - \ IT-Systeme \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.4 - description: "Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten\ - \ Zeitr\xE4umen stichpunktartig kontrolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.5 - description: "Es MUSS gepr\xFCft werden, ob zus\xE4tzliche Schadcodescanner\ - \ auf zentralen IT-Systemen installiert werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.6 - description: "Falls zus\xE4tzliche Schadcodescanner eingesetzt werden, dann\ - \ M\xDCSSEN diese es \xFCber einen zentralen Zugriff erm\xF6glichen, ihre\ - \ Meldungen und Protokolle auszuwerten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.7 - description: "Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante\ - \ Ereignisse automatisch an die Zust\xE4ndigen melden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 - ref_id: DER.1.A5.8 - description: "Die Zust\xE4ndigen M\xDCSSEN die Meldungen auswerten und untersuchen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A6 - name: "Kontinuierliche \xDCberwachung und Auswertung von Protokollierungsdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 - ref_id: DER.1.A6.1 - description: "Alle Protokollierungsdaten SOLLTEN m\xF6glichst permanent aktiv\ - \ \xFCberwacht und ausgewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 - ref_id: DER.1.A6.2 - description: "Es SOLLTEN Mitarbeitende benannt werden, die daf\xFCr zust\xE4\ - ndig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 - ref_id: DER.1.A6.3 - description: "Falls die zust\xE4ndigen Mitarbeitenden aktiv nach sicherheitsrelevanten\ - \ Ereignissen suchen m\xFCssen, z. B. wenn sie IT-Systeme kontrollieren oder\ - \ testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen\ - \ dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 - ref_id: DER.1.A6.4 - description: "F\xFCr die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN\ - \ gen\xFCgend personelle Ressourcen bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A7 - name: "Schulung von Zust\xE4ndigen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 - ref_id: DER.1.A7.1 - description: "Alle Zust\xE4ndigen, die Ereignismeldungen kontrollieren, SOLLTEN\ - \ weiterf\xFChrende Schulungen und Qualifikationen erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 - ref_id: DER.1.A7.2 - description: "Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFC\ - r Schulungen eingeplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 - ref_id: DER.1.A7.3 - description: "Bevor die Zust\xE4ndigen Schulungen f\xFCr neue IT-Komponenten\ - \ bekommen, SOLLTE ein Schulungskonzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A9 - name: "Einsatz zus\xE4tzlicher Detektionssysteme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 - ref_id: DER.1.A9.1 - description: "Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente\ - \ durch zus\xE4tzliche Detektionssysteme gesch\xFCtzt werden m\xFCssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 - ref_id: DER.1.A9.2 - description: "Der Informationsverbund SOLLTE um zus\xE4tzliche Detektionssysteme\ - \ und Sensoren erg\xE4nzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 - ref_id: DER.1.A9.3 - description: Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 - ref_id: DER.1.A9.4 - description: "Auch die im Netzplan definierten \xDCbergange zwischen internen\ - \ und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme\ - \ (NIDS) erg\xE4nzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A10 - name: Einsatz von TLS-/SSL-Proxies - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 - ref_id: DER.1.A10.1 - description: "An den \xDCberg\xE4ngen zu externen Netzen SOLLTEN TLS-/SSL-Proxies\ - \ eingesetzt werden, welche die verschl\xFCsselte Verbindung unterbrechen\ - \ und es so erm\xF6glichen, die \xFCbertragenen Daten auf Malware zu pr\xFC\ - fen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 - ref_id: DER.1.A10.2 - description: "Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 - ref_id: DER.1.A10.3 - description: Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse - automatisch detektiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 - ref_id: DER.1.A10.4 - description: "Es SOLLTE eine organisatorische Regelung erstellt werden, unter\ - \ welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet\ - \ werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A11 - name: "Nutzung einer zentralen Protokollierungsinfrastruktur f\xFCr die Auswertung\ - \ sicherheitsrelevanter Ereignisse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 - ref_id: DER.1.A11.1 - description: "Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen\ - \ der IT-Systeme und Anwendungen (siehe OPS.1.1.5 Protokollierung) SOLLTEN\ - \ mithilfe eines Tools abgerufen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 - ref_id: DER.1.A11.2 - description: "Mit dem ausw\xE4hlten Tool SOLLTEN die Meldungen ausgewertet werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 - ref_id: DER.1.A11.3 - description: "Die gesammelten Ereignismeldungen SOLLTEN regelm\xE4\xDFig auf\ - \ Auff\xE4lligkeiten kontrolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 - ref_id: DER.1.A11.4 - description: "Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und\ - \ auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch\ - \ nachtr\xE4glich erkannt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A12 - name: Auswertung von Informationen aus externen Quellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - ref_id: DER.1.A12.1 - description: "Um neue Erkenntnisse \xFCber sicherheitsrelevante Ereignisse f\xFC\ - r den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - ref_id: DER.1.A12.2 - description: "Meldungen \xFCber unterschiedliche Kan\xE4le SOLLTEN von den Mitarbeitenden\ - \ auch als relevant erkannt und an die richtige Stelle weitergeleitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - ref_id: DER.1.A12.3 - description: "Informationen aus zuverl\xE4ssigen Quellen SOLLTEN grunds\xE4\ - tzlich ausgewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - ref_id: DER.1.A12.4 - description: "Alle gelieferten Informationen SOLLTEN danach bewertet werden,\ - \ ob sie relevant f\xFCr den eigenen Informationsverbund sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 - ref_id: DER.1.A12.5 - description: Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung - eskaliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A13 - name: "Regelm\xE4\xDFige Audits der Detektionssysteme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 - ref_id: DER.1.A13.1 - description: "Die vorhandenen Detektionssysteme und getroffenen Ma\xDFnahmen\ - \ SOLLTEN in regelm\xE4\xDFigen Audits daraufhin \xFCberpr\xFCft werden, ob\ - \ sie noch aktuell und wirksam sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 - ref_id: DER.1.A13.2 - description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die beispielsweise\ - \ anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und\ - \ eskaliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 - ref_id: DER.1.A13.3 - description: Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert - und mit dem Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 - ref_id: DER.1.A13.4 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A14 - name: Auswertung der Protokollierungsdaten durch spezialisiertes Personal - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 - ref_id: DER.1.A14.1 - description: "Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle\ - \ Protokollierungsdaten zu \xFCberwachen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 - ref_id: DER.1.A14.2 - description: "Die \xDCberwachung der Protokollierungsdaten SOLLTE die \xFCberwiegende\ - \ Aufgabe der beauftragten Mitarbeitenden sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 - ref_id: DER.1.A14.3 - description: "Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterf\xFC\ - hrende Schulungen und Qualifikationen erhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 - ref_id: DER.1.A14.4 - description: "Ein Personenkreis SOLLTE benannt werden, der ausschlie\xDFlich\ - \ f\xFCr das Thema Auswertung von Protokollierungsdaten verantwortlich ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A15 - name: "Zentrale Detektion und Echtzeit\xFCberpr\xFCfung von Ereignismeldungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.1 - description: Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante - Ereignisse zu erkennen und auszuwerten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.2 - description: Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.3 - description: Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln - SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und - in Bezug zueinander gesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.4 - description: "Die sicherheitsrelevanten Vorg\xE4nge SOLLTEN sichtbar gemacht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.5 - description: "Alle eingelieferten Daten SOLLTEN l\xFCckenlos in der Protokollverwaltung\ - \ einsehbar und auswertbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.6 - description: "Die Daten SOLLTEN m\xF6glichst permanent ausgewertet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.7 - description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE automatisch\ - \ alarmiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.8 - description: "Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverz\xFC\ - glich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet\ - \ wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.9 - description: In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden - sofort informiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.10 - description: "Die Systemverantwortlichen SOLLTEN regelm\xE4\xDFig die Analyseparameter\ - \ auditieren und anpassen, falls dies erforderlich ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 - ref_id: DER.1.A15.11 - description: "Zus\xE4tzlich SOLLTEN bereits \xFCberpr\xFCfte Daten regelm\xE4\ - \xDFig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A16 - name: Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 - ref_id: DER.1.A16.1 - description: "Anwendungen mit erh\xF6htem Schutzbedarf SOLLTEN durch zus\xE4\ - tzliche Detektionsma\xDFnahmen gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 - ref_id: DER.1.A16.2 - description: "Daf\xFCr SOLLTEN z. B. solche Detektionssysteme eingesetzt werden,\ - \ mit denen sich der erh\xF6hte Schutzbedarf technisch auch sicherstellen\ - \ l\xE4sst." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A17 - name: Automatische Reaktion auf sicherheitsrelevante Ereignisse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 - ref_id: DER.1.A17.1 - description: "Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten\ - \ Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzma\xDF\ - nahmen reagieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 - ref_id: DER.1.A17.2 - description: "Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch m\xF6\ - gliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 - ref_id: DER.1.A17.3 - description: "Es SOLLTE m\xF6glich sein, automatisch in den Datenstrom einzugreifen,\ - \ um einen m\xF6glichen Sicherheitsvorfall zu unterbinden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 - ref_id: DER.1.A18 - name: "Durchf\xFChrung regelm\xE4\xDFiger Integrit\xE4tskontrollen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 - ref_id: DER.1.A18.1 - description: "Alle Detektionssysteme SOLLTEN regelm\xE4\xDFig daraufhin \xFC\ - berpr\xFCft werden, ob sie noch integer sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 - ref_id: DER.1.A18.2 - description: Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 - ref_id: DER.1.A18.3 - description: "Zus\xE4tzlich SOLLTEN die Sensoren eine Integrit\xE4tskontrolle\ - \ von Dateien durchf\xFChren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 - ref_id: DER.1.A18.4 - description: "Bei sich \xE4ndernden Werten SOLLTE eine automatische Alarmierung\ - \ ausgel\xF6st werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.2.1 - name: "Behandlung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A1 - name: Definition eines Sicherheitsvorfalls - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 - ref_id: DER.2.1.A1.1 - description: In einer Institution MUSS klar definiert sein, was ein Sicherheitsvorfall - ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 - ref_id: DER.2.1.A1.2 - description: "Ein Sicherheitsvorfall MUSS so weit wie m\xF6glich von St\xF6\ - rungen im Tagesbetrieb abgegrenzt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 - ref_id: DER.2.1.A1.3 - description: "Alle an der Behandlung von Sicherheitsvorf\xE4llen beteiligten\ - \ Mitarbeitenden M\xDCSSEN die Definition eines Sicherheitsvorfalls kennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 - ref_id: DER.2.1.A1.4 - description: "Die Definition und die Eintrittsschwellen eines solchen Vorfalls\ - \ SOLLTEN sich nach dem Schutzbedarf der betroffenen Gesch\xE4ftsprozesse,\ - \ IT-Systeme bzw. Anwendungen richten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A2 - name: "Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.1 - description: "Eine Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen MUSS\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.2 - description: "Darin M\xDCSSEN Zweck und Ziel der Richtlinie definiert sowie\ - \ alle Aspekte der Behandlung von Sicherheitsvorf\xE4llen geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.3 - description: "So M\xDCSSEN Verhaltensregeln f\xFCr die verschiedenen Arten von\ - \ Sicherheitsvorf\xE4llen beschrieben sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.4 - description: "Zus\xE4tzlich MUSS es f\xFCr alle Mitarbeitenden zielgruppenorientierte\ - \ und praktisch anwendbare Handlungsanweisungen geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.5 - description: "Weiterhin SOLLTEN die Schnittstellen zu anderen Managementbereichen\ - \ ber\xFCcksichtigt werden, z. B. zum Notfallmanagement." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.6 - description: Die Richtlinie MUSS allen Mitarbeitenden bekannt sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.7 - description: Sie MUSS mit dem IT-Betrieb abgestimmt und durch die Institutionsleitung - verabschiedet sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 - ref_id: DER.2.1.A2.8 - description: "Die Richtlinie MUSS regelm\xE4\xDFig gepr\xFCft und aktualisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A3 - name: "Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.1 - description: "Es MUSS geregelt werden, wer bei Sicherheitsvorf\xE4llen wof\xFC\ - r verantwortlich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.2 - description: "F\xFCr alle Mitarbeitenden M\xDCSSEN die Aufgaben und Kompetenzen\ - \ bei Sicherheitsvorf\xE4llen festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.3 - description: "Insbesondere Mitarbeitende, die Sicherheitsvorf\xE4lle bearbeiten\ - \ sollen, M\xDCSSEN \xFCber ihre Aufgaben und Kompetenzen unterrichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.4 - description: "Dabei MUSS auch geregelt sein, wer die m\xF6gliche Entscheidung\ - \ f\xFCr eine forensische Untersuchung trifft, nach welchen Kriterien diese\ - \ vorgenommen wird und wann sie erfolgen soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.5 - description: "Die Ansprechpartner oder Ansprechpartnerinnen f\xFCr alle Arten\ - \ von Sicherheitsvorf\xE4llen M\xDCSSEN den Mitarbeitenden bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 - ref_id: DER.2.1.A3.6 - description: "Kontaktinformationen M\xDCSSEN immer aktuell und leicht zug\xE4\ - nglich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A4 - name: "Benachrichtigung betroffener Stellen bei Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 - ref_id: DER.2.1.A4.1 - description: "Von einem Sicherheitsvorfall M\xDCSSEN alle betroffenen internen\ - \ und externen Stellen zeitnah informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 - ref_id: DER.2.1.A4.2 - description: "Dabei MUSS gepr\xFCft werden, ob der oder die Datenschutzbeauftragte,\ - \ der Betriebs- und Personalrat sowie Mitarbeitende aus der Rechtsabteilung\ - \ einbezogen werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 - ref_id: DER.2.1.A4.3 - description: "Ebenso M\xDCSSEN die Meldepflichten f\xFCr Beh\xF6rden und regulierte\ - \ Branchen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 - ref_id: DER.2.1.A4.4 - description: "Au\xDFerdem MUSS gew\xE4hrleistet sein, dass betroffene Stellen\ - \ \xFCber die erforderlichen Ma\xDFnahmen informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A5 - name: "Behebung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.1 - description: "Damit ein Sicherheitsvorfall erfolgreich behoben werden kann,\ - \ M\xDCSSEN die Zust\xE4ndigen zun\xE4chst das Problem eingrenzen und die\ - \ Ursache finden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.2 - description: "Danach M\xDCSSEN die erforderlichen Ma\xDFnahmen ausw\xE4hlt werden,\ - \ um das Problem zu beheben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.3 - description: "Die Leitung des IT-Betriebs MUSS eine Freigabe erteilen, bevor\ - \ die Ma\xDFnahmen umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.4 - description: "Anschlie\xDFend MUSS die Ursache beseitigt und ein sicherer Zustand\ - \ hergestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.5 - description: "Eine aktuelle Liste von internen und externen Sicherheitsfachleuten\ - \ MUSS vorhanden sein, die bei Sicherheitsvorf\xE4llen f\xFCr Fragen aus den\ - \ erforderlichen Themenbereichen hinzugezogen werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 - ref_id: DER.2.1.A5.6 - description: "Es M\xDCSSEN sichere Kommunikationsverfahren mit diesen internen\ - \ und externen Stellen etabliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A6 - name: "Wiederherstellung der Betriebsumgebung nach Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.1 - description: "Nach einem Sicherheitsvorfall M\xDCSSEN die betroffenen Komponenten\ - \ vom Netz genommen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.2 - description: "Zudem M\xDCSSEN alle erforderlichen Daten gesichert werden, die\ - \ Aufschluss \xFCber die Art und Ursache des Problems geben k\xF6nnten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.3 - description: "Auf allen betroffenen Komponenten M\xDCSSEN das Betriebssystem\ - \ und alle Applikationen auf Ver\xE4nderungen untersucht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.4 - description: "Die Originaldaten M\xDCSSEN von schreibgesch\xFCtzten Datentr\xE4\ - gern wieder eingespielt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.5 - description: "Dabei M\xDCSSEN alle sicherheitsrelevanten Konfigurationen und\ - \ Patches mit aufgespielt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.6 - description: Wenn Daten aus Datensicherungen wieder eingespielt werden, MUSS - sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.7 - description: "Nach einem Angriff M\xDCSSEN alle Zugangsdaten auf den betroffenen\ - \ Komponenten ge\xE4ndert werden, bevor sie wieder in Betrieb genommen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.8 - description: Die betroffenen Komponenten SOLLTEN einem Penetrationstest unterzogen - werden, bevor sie wieder eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.9 - description: "Bei der Wiederherstellung der sicheren Betriebsumgebung M\xDC\ - SSEN die Benutzenden in die Anwendungsfunktionstests einbezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 - ref_id: DER.2.1.A6.10 - description: "Nachdem alles wiederhergestellt wurde, M\xDCSSEN die Komponenten\ - \ inklusive der Netz\xFCberg\xE4nge gezielt \xFCberwacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A7 - name: "Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - ref_id: DER.2.1.A7.1 - description: "Es SOLLTE eine geeignete Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ - llen definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - ref_id: DER.2.1.A7.2 - description: "Die Abl\xE4ufe, Prozesse und Vorgaben f\xFCr die verschiedenen\ - \ Sicherheitsvorf\xE4lle SOLLTEN dabei eindeutig geregelt und geeignet dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - ref_id: DER.2.1.A7.3 - description: "Die Institutionsleitung SOLLTE die festgelegte Vorgehensweise\ - \ in Kraft setzen und allen Beteiligten zug\xE4nglich machen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - ref_id: DER.2.1.A7.4 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Vorgehensweise\ - \ noch aktuell und wirksam ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 - ref_id: DER.2.1.A7.5 - description: Bei Bedarf SOLLTE die Vorgehensweise angepasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A8 - name: "Aufbau von Organisationsstrukturen zur Behandlung von Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - ref_id: DER.2.1.A8.1 - description: "F\xFCr den Umgang mit Sicherheitsvorf\xE4llen SOLLTEN geeignete\ - \ Organisationsstrukturen festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - ref_id: DER.2.1.A8.2 - description: "Es SOLLTE ein Sicherheitsvorfall-Team aufgebaut werden, dessen\ - \ Mitglieder je nach Art des Vorfalls einberufen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - ref_id: DER.2.1.A8.3 - description: "Auch wenn das Sicherheitsvorfall-Team nur f\xFCr einen konkreten\ - \ Fall zusammentritt, SOLLTEN bereits im Vorfeld geeignete Mitglieder benannt\ - \ und in ihre Aufgaben eingewiesen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - ref_id: DER.2.1.A8.4 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Zusammensetzung\ - \ des Sicherheitsvorfall-Teams noch angemessen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 - ref_id: DER.2.1.A8.5 - description: Gegebenenfalls SOLLTE das Sicherheitsvorfall-Team neu zusammengestellt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A9 - name: "Festlegung von Meldewegen f\xFCr Sicherheitsvorf\xE4lle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.1 - description: "F\xFCr die verschiedenen Arten von Sicherheitsvorf\xE4llen SOLLTEN\ - \ die jeweils passenden Meldewege aufgebaut sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.2 - description: "Es SOLLTE dabei sichergestellt sein, dass Mitarbeitende Sicherheitsvorf\xE4\ - lle \xFCber verl\xE4ssliche und vertrauensw\xFCrdige Kan\xE4le schnell und\ - \ einfach melden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.3 - description: "Wird eine zentrale Anlaufstelle f\xFCr die Meldung von St\xF6\ - rungen oder Sicherheitsvorf\xE4llen eingerichtet, SOLLTE dies an alle Mitarbeitende\ - \ kommuniziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.4 - description: Eine Kommunikations- und Kontaktstrategie SOLLTE vorliegen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.5 - description: "Darin SOLLTE geregelt sein, wer grunds\xE4tzlich informiert werden\ - \ muss und wer informiert werden darf, durch wen dies in welcher Reihenfolge\ - \ erfolgt und in welcher Tiefe informiert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.6 - description: "Es SOLLTE definiert sein, wer Informationen \xFCber Sicherheitsvorf\xE4\ - lle an Dritte weitergibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 - ref_id: DER.2.1.A9.7 - description: "Ebenso SOLLTE sichergestellt sein, dass keine unautorisierten\ - \ Personen Informationen \xFCber den Sicherheitsvorfall weitergeben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A10 - name: "Eind\xE4mmen der Auswirkung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 - ref_id: DER.2.1.A10.1 - description: "Parallel zur Ursachenanalyse eines Sicherheitsvorfalls SOLLTE\ - \ entschieden werden, ob es wichtiger ist, den entstandenen Schaden einzud\xE4\ - mmen oder den Vorfall aufzukl\xE4ren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 - ref_id: DER.2.1.A10.2 - description: "Um die Auswirkung eines Sicherheitsvorfalls absch\xE4tzen zu k\xF6\ - nnen, SOLLTEN ausreichend Informationen vorliegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 - ref_id: DER.2.1.A10.3 - description: "F\xFCr ausgew\xE4hlte Sicherheitsvorfallszenarien SOLLTEN bereits\ - \ im Vorfeld Worst-Case-Betrachtungen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A11 - name: "Einstufung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 - ref_id: DER.2.1.A11.1 - description: "Ein einheitliches Verfahren SOLLTE festgelegt werden, um Sicherheitsvorf\xE4\ - lle und St\xF6rungen einzustufen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 - ref_id: DER.2.1.A11.2 - description: "Das Einstufungsverfahren f\xFCr Sicherheitsvorf\xE4lle SOLLTE\ - \ zwischen Sicherheitsmanagement und der St\xF6rungs- und Fehlerbehebung (Incident\ - \ Management) abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A12 - name: "Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur St\xF6\ - rungs- und Fehlerbehebung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 - ref_id: DER.2.1.A12.1 - description: "Die Schnittstellen zwischen St\xF6rungs- und Fehlerbehebung, Notfallmanagement\ - \ und Sicherheitsmanagement SOLLTEN analysiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 - ref_id: DER.2.1.A12.2 - description: Dabei SOLLTEN auch eventuell gemeinsam benutzbare Ressourcen identifiziert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 - ref_id: DER.2.1.A12.3 - description: "Die bei der St\xF6rungs- und Fehlerbehebung beteiligten Mitarbeitenden\ - \ SOLLTEN f\xFCr die Behandlung von Sicherheitsvorf\xE4llen sowie f\xFCr das\ - \ Notfallmanagement sensibilisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 - ref_id: DER.2.1.A12.4 - description: Das Sicherheitsmanagement SOLLTE lesenden Zugriff auf eingesetzte - Incident-Management-Werkzeuge haben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A13 - name: Einbindung in das Sicherheits- und Notfallmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 - ref_id: DER.2.1.A13.1 - description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE mit dem Notfallmanagement\ - \ abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 - ref_id: DER.2.1.A13.2 - description: "Falls es in der Institution eine spezielle Rolle f\xFCr St\xF6\ - rungs- und Fehlerbehebung gibt, SOLLTE auch diese mit einbezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A14 - name: "Eskalationsstrategie f\xFCr Sicherheitsvorf\xE4lle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.1 - description: "\xDCber die Kommunikations- und Kontaktstrategie hinaus SOLLTE\ - \ eine Eskalationsstrategie formuliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.2 - description: "Diese SOLLTE zwischen den Verantwortlichen f\xFCr St\xF6rungs-\ - \ und Fehlerbehebung und dem Informationssicherheitsmanagement abgestimmt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.3 - description: "Die Eskalationsstrategie SOLLTE eindeutige Handlungsanweisungen\ - \ enthalten, wer auf welchem Weg bei welcher Art von erkennbaren oder vermuteten\ - \ Sicherheitsst\xF6rungen wann einzubeziehen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.4 - description: "Es SOLLTE geregelt sein, zu welchen Ma\xDFnahmen eine Eskalation\ - \ f\xFChrt und wie reagiert werden soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.5 - description: "F\xFCr die festgelegte Eskalationsstrategie SOLLTEN geeignete\ - \ Werkzeuge wie z. B. Ticket-Systeme ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.6 - description: "Diese SOLLTEN sich auch daf\xFCr eignen, vertrauliche Informationen\ - \ zu verarbeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.7 - description: "Es SOLLTE sichergestellt sein, dass die Werkzeuge auch w\xE4hrend\ - \ eines Sicherheitsvorfalls bzw. Notfalls verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.8 - description: "Die Eskalationsstrategie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft und gegebenenfalls aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.9 - description: "Die Checklisten (Matching Szenarios) f\xFCr St\xF6rungs- und Fehlerbehebung\ - \ SOLLTEN regelm\xE4\xDFig um sicherheitsrelevante Themen erg\xE4nzt bzw.\ - \ aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 - ref_id: DER.2.1.A14.10 - description: "Die festgelegten Eskalationswege SOLLTEN in \xDCbungen erprobt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A15 - name: Schulung der Mitarbeitenden des Service Desks - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 - ref_id: DER.2.1.A15.1 - description: "Dem Personal des Service Desk SOLLTEN geeignete Hilfsmittel zur\ - \ Verf\xFCgung stehen, damit sie Sicherheitsvorf\xE4lle erkennen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 - ref_id: DER.2.1.A15.2 - description: "Sie SOLLTEN ausreichend geschult sein, um die Hilfsmittel selbst\ - \ anwenden zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 - ref_id: DER.2.1.A15.3 - description: Die Mitarbeitenden des Service Desk SOLLTEN den Schutzbedarf der - betroffenen IT-Systeme kennen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A16 - name: "Dokumentation der Behebung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - ref_id: DER.2.1.A16.1 - description: "Die Behebung von Sicherheitsvorf\xE4llen SOLLTE nach einem standardisierten\ - \ Verfahren dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - ref_id: DER.2.1.A16.2 - description: "Es SOLLTEN alle durchgef\xFChrten Aktionen inklusive der Zeitpunkte\ - \ sowie die Protokolldaten der betroffenen Komponenten dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - ref_id: DER.2.1.A16.3 - description: "Dabei SOLLTE die Vertraulichkeit bei der Dokumentation und Archivierung\ - \ der Berichte gew\xE4hrleistet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - ref_id: DER.2.1.A16.4 - description: "Die ben\xF6tigten Informationen SOLLTEN in die jeweiligen Dokumentationssysteme\ - \ eingepflegt werden, bevor die St\xF6rung als beendet und als abgeschlossen\ - \ markiert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 - ref_id: DER.2.1.A16.5 - description: "Im Vorfeld SOLLTEN mit dem oder der ISB die daf\xFCr erforderlichen\ - \ Anforderungen an die Qualit\xE4tssicherung definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A17 - name: "Nachbereitung von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.1 - description: "Sicherheitsvorf\xE4lle SOLLTEN standardisiert nachbereitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.2 - description: "Dabei SOLLTE untersucht werden, wie schnell die Sicherheitsvorf\xE4\ - lle erkannt und behoben wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.3 - description: "Weiterhin SOLLTE untersucht werden, ob die Meldewege funktionierten,\ - \ ausreichend Informationen f\xFCr die Bewertung verf\xFCgbar und ob die Detektionsma\xDF\ - nahmen wirksam waren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.4 - description: "Ebenso SOLLTE gepr\xFCft werden, ob die ergriffenen Ma\xDFnahmen\ - \ und Aktivit\xE4ten wirksam und effizient waren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.5 - description: "Die Erfahrungen aus vergangenen Sicherheitsvorf\xE4llen SOLLTEN\ - \ genutzt werden, um daraus Handlungsanweisungen f\xFCr vergleichbare Sicherheitsvorf\xE4\ - lle zu erstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.6 - description: "Diese Handlungsanweisungen SOLLTEN den relevanten Personengruppen\ - \ bekanntgegeben und auf Basis neuer Erkenntnisse regelm\xE4\xDFig aktualisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.7 - description: "Die Institutionsleitung SOLLTE j\xE4hrlich \xFCber die Sicherheitsvorf\xE4\ - lle unterrichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 - ref_id: DER.2.1.A17.8 - description: Besteht sofortiger Handlungsbedarf, MUSS die Institutionsleitung - umgehend informiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A18 - name: "Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorf\xE4\ - llen und Branchenentwicklungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 - ref_id: DER.2.1.A18.1 - description: "Nachdem ein Sicherheitsvorfall analysiert wurde, SOLLTE untersucht\ - \ werden, ob die Prozesse und Abl\xE4ufe im Rahmen der Behandlung von Sicherheitsvorf\xE4\ - llen ge\xE4ndert oder weiterentwickelt werden m\xFCssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 - ref_id: DER.2.1.A18.2 - description: "Dabei SOLLTEN alle Personen, die an dem Vorfall beteiligt waren,\ - \ \xFCber ihre jeweiligen Erfahrungen berichten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 - ref_id: DER.2.1.A18.3 - description: "Es SOLLTE gepr\xFCft werden, ob es neue Entwicklungen im Bereich\ - \ Incident Management und in der Forensik gibt und ob diese in die jeweiligen\ - \ Dokumente und Abl\xE4ufe eingebracht werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 - ref_id: DER.2.1.A18.4 - description: "Werden Hilfsmittel und Checklisten eingesetzt, z. B. f\xFCr Service-Desk-Mitarbeitende,\ - \ SOLLTE gepr\xFCft werden, ob diese um relevante Fragen und Informationen\ - \ zu erweitern sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A19 - name: "Festlegung von Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - ref_id: DER.2.1.A19.1 - description: "Es SOLLTEN Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ - llen vorab festgelegt und regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - ref_id: DER.2.1.A19.2 - description: "Dabei SOLLTE auch die vorgenommene Einstufung von Sicherheitsvorf\xE4\ - llen ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - ref_id: DER.2.1.A19.3 - description: "Die Priorit\xE4ten SOLLTEN von der Institutionsleitung genehmigt\ - \ und in Kraft gesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - ref_id: DER.2.1.A19.4 - description: "Sie SOLLTEN allen Verantwortlichen bekannt sein, die mit der Behandlung\ - \ von Sicherheitsvorf\xE4llen zu tun haben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 - ref_id: DER.2.1.A19.5 - description: "Die festgelegten Priorit\xE4tsklassen SOLLTEN au\xDFerdem im Incident\ - \ Management hinterlegt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A20 - name: "Einrichtung einer dedizierten Meldestelle f\xFCr Sicherheitsvorf\xE4\ - lle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - ref_id: DER.2.1.A20.1 - description: "Eine dedizierte Stelle zur Meldung von Sicherheitsvorf\xE4llen\ - \ SOLLTE eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - ref_id: DER.2.1.A20.2 - description: "Es SOLLTE gew\xE4hrleistet sein, dass die Meldestelle zu den \xFC\ - blichen Arbeitszeiten erreichbar ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - ref_id: DER.2.1.A20.3 - description: "Zus\xE4tzlich SOLLTE es m\xF6glich sein, dass Sicherheitsvorf\xE4\ - lle auch au\xDFerhalb der \xFCblichen Arbeitszeiten gemeldet werden k\xF6\ - nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - ref_id: DER.2.1.A20.4 - description: "Die Mitarbeitenden der Meldestelle SOLLTEN ausreichend geschult\ - \ und f\xFCr die Belange der Informationssicherheit sensibilisiert sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 - ref_id: DER.2.1.A20.5 - description: "Alle Informationen \xFCber Sicherheitsvorf\xE4lle SOLLTEN bei\ - \ der Meldestelle vertraulich behandelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A21 - name: "Einrichtung eines Teams von Fachleuten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.1 - description: "Es SOLLTE ein Team mit erfahrenen und vertrauensw\xFCrdigen Fachleuten\ - \ zusammengestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.2 - description: "Neben dem technischen Verst\xE4ndnis SOLLTEN die Teammitglieder\ - \ auch \xFCber Kompetenzen im Bereich Kommunikation verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.3 - description: "Die Vertrauensw\xFCrdigkeit der Mitglieder des Teams SOLLTE \xFC\ - berpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.4 - description: "Die Zusammensetzung des Teams SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft und, wenn n\xF6tig, ge\xE4ndert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.5 - description: Die Mitglieder des Teams SOLLTEN in die Eskalations- und Meldewege - eingebunden sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.6 - description: "Das Experten- und Expertinnenteam SOLLTE f\xFCr die Analyse von\ - \ Sicherheitsvorf\xE4llen an den in der Institution eingesetzten Systemen\ - \ ausgebildet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.7 - description: "Die Mitglieder des Experten- und Expertinnenteams SOLLTEN sich\ - \ regelm\xE4\xDFig weiterbilden, sowohl zu den eingesetzten Systemen als auch\ - \ zur Detektion und Reaktion auf Sicherheitsvorf\xE4lle." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.8 - description: "Dem Experten- und Expertinnenteam SOLLTEN alle vorhandenen Dokumentationen\ - \ sowie finanzielle und technische Ressourcen zur Verf\xFCgung stehen, um\ - \ Sicherheitsvorf\xE4lle schnell und diskret zu behandeln." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.9 - description: "Das Experten- und Expertinnenteams SOLLTE in geeigneter Weise\ - \ in den Organisationsstrukturen ber\xFCcksichtigt und in diese integriert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 - ref_id: DER.2.1.A21.10 - description: "Die Zust\xE4ndigkeiten des Teams SOLLTEN vorher mit denen des\ - \ Sicherheitsvorfall-Teams abgestimmt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 - ref_id: DER.2.1.A22 - name: "\xDCberpr\xFCfung der Effizienz des Managementsystems zur Behandlung\ - \ von Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - ref_id: DER.2.1.A22.1 - description: "Das Managementsystem zur Behandlung von Sicherheitsvorf\xE4llen\ - \ SOLLTE regelm\xE4\xDFig daraufhin gepr\xFCft werden, ob es noch aktuell\ - \ und wirksam ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - ref_id: DER.2.1.A22.2 - description: "Dazu SOLLTEN sowohl angek\xFCndigte als auch unangek\xFCndigte\ - \ \xDCbungen durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - ref_id: DER.2.1.A22.3 - description: "Die \xDCbungen SOLLTEN vorher mit der Institutionsleitung abgestimmt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - ref_id: DER.2.1.A22.4 - description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die anfallen,\ - \ wenn Sicherheitsvorf\xE4lle aufgenommen, gemeldet und eskaliert werden,\ - \ z. B. die Zeitr\xE4ume von der Erstmeldung bis zur verbindlichen Best\xE4\ - tigung eines Sicherheitsvorfalls." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 - ref_id: DER.2.1.A22.5 - description: "Au\xDFerdem SOLLTEN Planspiele zur Behandlung von Sicherheitsvorf\xE4\ - llen durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.2.2 - name: "Vorsorge f\xFCr die IT-Forensik" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A1 - name: "Pr\xFCfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung\ - \ und Auswertbarkeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 - ref_id: DER.2.2.A1.1 - description: "Werden Daten f\xFCr forensische Untersuchungen erfasst und ausgewertet,\ - \ M\xDCSSEN alle rechtlichen und regulatorischen Rahmenbedingungen identifiziert\ - \ und eingehalten werden (siehe ORP.5 Compliance Management (Anforderungsmanagement))." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 - ref_id: DER.2.2.A1.2 - description: "Auch DARF NICHT gegen interne Regelungen und Mitarbeitendenvereinbarungen\ - \ versto\xDFen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 - ref_id: DER.2.2.A1.3 - description: "Dazu M\xDCSSEN der Betriebs- oder Personalrat sowie der oder die\ - \ Datenschutzbeauftragte einbezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A2 - name: "Erstellung eines Leitfadens f\xFCr Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 - ref_id: DER.2.2.A2.1 - description: "Es MUSS ein Leitfaden erstellt werden, der f\xFCr die eingesetzten\ - \ IT-Systeme beschreibt, welche Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall\ - \ durchgef\xFChrt werden m\xFCssen, um m\xF6glichst wenig Spuren zu zerst\xF6\ - ren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 - ref_id: DER.2.2.A2.2 - description: "Darin MUSS auch beschrieben sein, durch welche Handlungen potenzielle\ - \ Spuren vernichtet werden k\xF6nnten und wie sich das vermeiden l\xE4sst." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A3 - name: Vorauswahl von Forensik-Dienstleistenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 - ref_id: DER.2.2.A3.1 - description: "Verf\xFCgt eine Institution nicht \xFCber ein eigenes Forensik-Team,\ - \ M\xDCSSEN bereits in der Vorbereitungsphase m\xF6gliche geeignete Forensik-Dienstleistenden\ - \ identifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 - ref_id: DER.2.2.A3.2 - description: Welche Forensik-Dienstleistende infrage kommen, MUSS dokumentiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A4 - name: Festlegung von Schnittstellen zum Krisen- und Notfallmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 - ref_id: DER.2.2.A4.1 - description: Die Schnittstellen zwischen IT-forensischen Untersuchungen und - dem Krisen- und Notfallmanagement SOLLTEN definiert und dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 - ref_id: DER.2.2.A4.2 - description: "Hierzu SOLLTE geregelt werden, welche Mitarbeitenden f\xFCr welche\ - \ Aufgaben verantwortlich sind und wie mit ihnen kommuniziert werden soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 - ref_id: DER.2.2.A4.3 - description: "Dar\xFCber hinaus SOLLTE sichergestellt werden, dass die zust\xE4\ - ndigen Kontaktpersonen stets erreichbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A5 - name: "Erstellung eines Leitfadens f\xFCr Beweissicherungsma\xDFnahmen bei IT-Sicherheitsvorf\xE4\ - llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 - ref_id: DER.2.2.A5.1 - description: Es SOLLTE ein Leitfaden erstellt werden, in dem beschrieben wird, - wie Beweise gesichert werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 - ref_id: DER.2.2.A5.2 - description: "Darin SOLLTEN Vorgehensweisen, technische Werkzeuge, rechtliche\ - \ Rahmenbedingungen und Dokumentationsvorgaben aufgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A6 - name: "Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 - ref_id: DER.2.2.A6.1 - description: Alle verantwortlichen Mitarbeitenden SOLLTEN wissen, wie sie Spuren - korrekt sichern und die Werkzeuge zur Forensik richtig einsetzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 - ref_id: DER.2.2.A6.2 - description: "Daf\xFCr SOLLTEN geeignete Schulungen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A7 - name: Auswahl von Werkzeugen zur Forensik - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 - ref_id: DER.2.2.A7.1 - description: "Es SOLLTE sichergestellt werden, dass Werkzeuge, mit denen Spuren\ - \ forensisch gesichert und analysiert werden, auch daf\xFCr geeignet sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 - ref_id: DER.2.2.A7.2 - description: "Bevor ein Werkzeug zur Forensik eingesetzt wird, SOLLTE zudem\ - \ gepr\xFCft werden, ob es richtig funktioniert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 - ref_id: DER.2.2.A7.3 - description: "Auch SOLLTE \xFCberpr\xFCft und dokumentiert werden, dass es nicht\ - \ manipuliert wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A8 - name: Auswahl und Reihenfolge der zu sichernden Beweismittel - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.1 - description: Eine forensische Untersuchung SOLLTE immer damit beginnen, die - Ziele bzw. den Arbeitsauftrag zu definieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.2 - description: "Die Ziele SOLLTEN m\xF6glichst konkret formuliert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.3 - description: Danach SOLLTEN alle notwendigen Datenquellen identifiziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.4 - description: Auch SOLLTE festgelegt werden, in welcher Reihenfolge die Daten - gesichert werden und wie genau dabei vorgegangen werden soll. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.5 - description: "Die Reihenfolge SOLLTE sich danach richten, wie fl\xFCchtig (volatil)\ - \ die zu sichernden Daten sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.6 - description: "So SOLLTEN schnell fl\xFCchtige Daten zeitnah gesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 - ref_id: DER.2.2.A8.7 - description: "Erst danach SOLLTEN nichtfl\xFCchtige Daten wie beispielsweise\ - \ Festspeicherinhalte und schlie\xDFlich Backups folgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A9 - name: Vorauswahl forensisch relevanter Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9 - ref_id: DER.2.2.A9.1 - description: "Es SOLLTE festgelegt werden, welche sekund\xE4ren Daten (z. B.\ - \ Logdaten oder Verkehrsmitschnitte) auf welche Weise und wie lange im Rahmen\ - \ der rechtlichen Rahmenbedingungen f\xFCr m\xF6gliche forensische Beweissicherungsma\xDF\ - nahmen vorgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A10 - name: IT-forensische Sicherung von Beweismitteln - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.1 - description: "Datentr\xE4ger SOLLTEN m\xF6glichst komplett forensisch dupliziert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.2 - description: "Wenn das nicht m\xF6glich ist, z. B. bei fl\xFCchtigen Daten im\ - \ RAM oder in SAN-Partitionen, SOLLTE eine Methode gew\xE4hlt werden, die\ - \ m\xF6glichst wenige Daten ver\xE4ndert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.3 - description: "Die Originaldatentr\xE4ger SOLLTEN versiegelt aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.4 - description: "Es SOLLTEN schriftlich dokumentierte kryptografische Pr\xFCfsummen\ - \ von den Datentr\xE4gern angelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.5 - description: Diese SOLLTEN getrennt und in mehreren Kopien aufbewahrt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.6 - description: "Zudem SOLLTE sichergestellt sein, dass die so dokumentierten Pr\xFC\ - fsummen nicht ver\xE4ndert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.7 - description: "Damit die Daten gerichtlich verwertbar sind, SOLLTE ein Zeuge\ - \ best\xE4tigen, wie dabei vorgegangen wurde und die erstellten Pr\xFCfsummen\ - \ beglaubigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 - ref_id: DER.2.2.A10.8 - description: "Es SOLLTE ausschlie\xDFlich geschultes Personal (siehe DER.2.2.A6\ - \ Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung)\ - \ oder ein Forensik-Dienstleistender (siehe DER.2.2.A3 Vorauswahl von Forensik-Dienstleistenden)\ - \ eingesetzt werden, um Beweise forensisch zu sichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A11 - name: Dokumentation der Beweissicherung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 - ref_id: DER.2.2.A11.1 - description: "Wenn Beweise forensisch gesichert werden, SOLLTEN alle durchgef\xFC\ - hrten Schritte dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 - ref_id: DER.2.2.A11.2 - description: "Die Dokumentation SOLLTE l\xFCckenlos nachweisen, wie mit den\ - \ gesicherten Originalbeweismitteln umgegangen wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 - ref_id: DER.2.2.A11.3 - description: "Auch SOLLTE dokumentiert werden, welche Methoden eingesetzt wurden\ - \ und warum sich die Verantwortlichen daf\xFCr entschieden haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A12 - name: "Sichere Verwahrung von Originaldatentr\xE4gern und Beweismitteln" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 - ref_id: DER.2.2.A12.1 - description: "Alle sichergestellten Originaldatentr\xE4ger SOLLTEN physisch\ - \ so gelagert werden, dass nur ermittelnde und namentlich bekannte Mitarbeitende\ - \ darauf zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 - ref_id: DER.2.2.A12.2 - description: "Wenn Originaldatentr\xE4ger und Beweismittel eingelagert werden,\ - \ SOLLTE festgelegt werden, wie lange sie aufzubewahren sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 - ref_id: DER.2.2.A12.3 - description: "Nachdem die Frist abgelaufen ist, SOLLTE gepr\xFCft werden, ob\ - \ die Datentr\xE4ger und Beweise noch weiter aufbewahrt werden m\xFCssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 - ref_id: DER.2.2.A12.4 - description: "Nach der Aufbewahrungsfrist SOLLTEN Beweismittel sicher gel\xF6\ - scht oder vernichtet und Originaldatentr\xE4ger zur\xFCckgegeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A13 - name: "Rahmenvertr\xE4ge mit externen Dienstleistenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13 - ref_id: DER.2.2.A13.1 - description: "Die Institution SOLLTE Abrufvereinbarungen bzw. Rahmenvertr\xE4\ - ge mit Forensik-Dienstleistenden abschlie\xDFen, damit IT-Sicherheitsvorf\xE4\ - lle schneller forensisch untersucht werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A14 - name: "Festlegung von Standardverfahren f\xFCr die Beweissicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 - ref_id: DER.2.2.A14.1 - description: "F\xFCr Anwendungen, IT-Systeme bzw. IT-Systemgruppen mit hohem\ - \ Schutzbedarf sowie f\xFCr verbreitete Systemkonfigurationen SOLLTEN Standardverfahren\ - \ erstellt werden, die es erlauben, fl\xFCchtige und nichtfl\xFCchtige Daten\ - \ m\xF6glichst vollst\xE4ndig forensisch zu sichern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 - ref_id: DER.2.2.A14.2 - description: "Die jeweiligen systemspezifischen Standardverfahren SOLLTEN durch\ - \ erprobte und m\xF6glichst automatisierte Prozesse umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 - ref_id: DER.2.2.A14.3 - description: "Sie SOLLTEN zudem durch Checklisten und technische Hilfsmittel\ - \ unterst\xFCtzt werden, z. B. durch Software, Software-Tools auf mobilen\ - \ Datentr\xE4gern und IT-forensische Hardware wie Schreibblocker." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 - ref_id: DER.2.2.A15 - name: "Durchf\xFChrung von \xDCbungen zur Beweissicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15 - ref_id: DER.2.2.A15.1 - description: "Alle an forensischen Analysen beteiligten Mitarbeitenden SOLLTEN\ - \ regelm\xE4\xDFig in Form von \xDCbungen trainieren, wie Beweise bei einem\ - \ IT-Sicherheitsvorfall zu sichern sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.2.3 - name: "Bereinigung weitreichender Sicherheitsvorf\xE4lle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A1 - name: Einrichtung eines Leitungsgremiums - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.1 - description: "Um einen APT-Vorfall zu bereinigen, MUSS ein Leitungsgremium eingerichtet\ - \ werden, das alle notwendigen Aktivit\xE4ten plant, koordiniert und \xFC\ - berwacht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.2 - description: "Dem Gremium M\xDCSSEN alle f\xFCr die Aufgaben erforderlichen\ - \ Weisungsbefugnisse \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.3 - description: Wenn ein solches Leitungsgremium zu dem Zeitpunkt, als der APT-Vorfall - detektiert und klassifiziert wurde, bereits eingerichtet ist, SOLLTE dasselbe - Gremium auch die Bereinigung planen und leiten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.4 - description: Wurden schon spezialisierte Forensikdienstleistende hinzugezogen, - um den APT-Vorfall zu analysieren, SOLLTEN diese auch bei der Bereinigung - des Vorfalls miteinbezogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.5 - description: "Ist die IT zu stark kompromittiert, um weiter betrieben zu werden,\ - \ oder sind die notwendigen Bereinigungsma\xDFnahmen sehr umfangreich, SOLLTE\ - \ gepr\xFCft werden, ob ein Krisenstab eingerichtet werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.6 - description: "In diesem Fall MUSS das Leitungsgremium die Bereinigungsma\xDF\ - nahmen \xFCberwachen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 - ref_id: DER.2.3.A1.7 - description: Das Leitungsgremium MUSS dann dem Krisenstab berichten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A2 - name: "Entscheidung f\xFCr eine Bereinigungsstrategie" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.1 - description: "Bevor ein APT-Vorfall tats\xE4chlich bereinigt wird, MUSS das\ - \ Leitungsgremium eine Bereinigungsstrategie festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.2 - description: "Dabei MUSS insbesondere entschieden werden, ob die Schadsoftware\ - \ von kompromittierten IT-Systemen entfernt werden kann, ob IT-Systeme neu\ - \ installiert werden m\xFCssen oder ob IT-Systeme inklusive der Hardware komplett\ - \ ausgetauscht werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.3 - description: Weiterhin MUSS festgelegt werden, welche IT-Systeme bereinigt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.4 - description: "Grundlage f\xFCr diese Entscheidungen M\xDCSSEN die Ergebnisse\ - \ einer zuvor durchgef\xFChrten forensischen Untersuchung sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.5 - description: Es SOLLTEN alle betroffenen IT-Systeme neu installiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.6 - description: "Danach M\xDCSSEN die Wiederanlaufpl\xE4ne der Institution benutzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.7 - description: "Bevor jedoch Backups wieder eingespielt werden, MUSS durch forensische\ - \ Untersuchungen sichergestellt sein, dass dadurch keine manipulierten Daten\ - \ oder Programme auf das neu installierte IT-System \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.8 - description: Entscheidet sich eine Institution dagegen, alle IT-Systeme neu - zu installieren, MUSS eine gezielte APT-Bereinigung umgesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 - ref_id: DER.2.3.A2.9 - description: "Um das Risiko \xFCbersehener Hintert\xFCren zu minimieren, M\xDC\ - SSEN nach der Bereinigung die IT-Systeme gezielt daraufhin \xFCberwacht werden,\ - \ ob sie noch mit den Angreifenden kommunizieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A3 - name: Isolierung der betroffenen Netzabschnitte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.1 - description: "Die von einem APT-Vorfall betroffenen Netzabschnitte M\xDCSSEN\ - \ vollst\xE4ndig isoliert werden (Cut-Off)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.2 - description: "Insbesondere M\xDCSSEN die betroffenen Netzabschnitte vom Internet\ - \ getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.3 - description: "Um die Angreifenden effektiv auszusperren und zu verhindern, dass\ - \ sie ihre Spuren verwischen oder noch weitere IT-Systeme sabotieren, M\xDC\ - SSEN die Netzabschnitte auf einen Schlag isoliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.4 - description: "Welche Netzabschnitte isoliert werden m\xFCssen, MUSS vorher durch\ - \ eine forensische Analyse festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.5 - description: "Es M\xDCSSEN dabei s\xE4mtliche betroffenen Abschnitte identifiziert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.6 - description: "Kann das nicht sichergestellt werden, M\xDCSSEN alle verd\xE4\ - chtigen sowie alle auch nur theoretisch infizierten Netzabschnitte isoliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 - ref_id: DER.2.3.A3.7 - description: "Um Netzabschnitte effektiv isolieren zu k\xF6nnen, M\xDCSSEN s\xE4\ - mtliche lokalen Internetanschl\xFCsse, z. B. zus\xE4tzliche DSL-Anschl\xFC\ - sse in einzelnen Subnetzen, m\xF6glichst vollst\xE4ndig erfasst und ebenfalls\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A4 - name: "Sperrung und \xC4nderung von Zugangsdaten und kryptografischen Schl\xFC\ - sseln" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.1 - description: "Alle Zugangsdaten M\xDCSSEN ge\xE4ndert werden, nachdem das Netz\ - \ isoliert wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.2 - description: "Weiterhin M\xDCSSEN auch zentral verwaltete Zugangsdaten zur\xFC\ - ckgesetzt werden, z. B. in Active-Directory-Umgebungen oder wenn das Lightweight\ - \ Directory Access Protocol (LDAP) benutzt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.3 - description: "Ist der zentrale Authentisierungsserver (Domaincontroller oder\ - \ LDAP-Server) kompromittiert, M\xDCSSEN s\xE4mtliche dort vorhandenen Zug\xE4\ - nge gesperrt und ihre Passw\xF6rter ausgetauscht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.4 - description: "Dies M\xDCSSEN erfahrene Administrierende umsetzen, falls erforderlich,\ - \ auch mithilfe interner oder externer Expertise aus dem Bereich Forensik." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.5 - description: "Wurden TLS-Schl\xFCssel oder eine interne Certification Authority\ - \ (CA) durch den APT-Angriff kompromittiert, M\xDCSSEN entsprechende Schl\xFC\ - ssel, Zertifikate und Infrastrukturen neu erzeugt und verteilt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 - ref_id: DER.2.3.A4.6 - description: "Auch M\xDCSSEN die kompromittierten Schl\xFCssel und Zertifikate\ - \ zuverl\xE4ssig gesperrt und zur\xFCckgerufen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A5 - name: "Schlie\xDFen des initialen Einbruchswegs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 - ref_id: DER.2.3.A5.1 - description: Wurde durch eine forensische Untersuchung herausgefunden, dass - die Angreifenden durch eine technische Schwachstelle in das Netz der Institution - eingedrungen sind, MUSS diese Schwachstelle geschlossen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 - ref_id: DER.2.3.A5.2 - description: "Konnten die Angreifenden die IT-Systeme durch menschliche Fehlhandlungen\ - \ kompromittieren, M\xDCSSEN organisatorische, personelle und technische Ma\xDF\ - nahmen ergriffen werden, um \xE4hnliche Vorf\xE4lle k\xFCnftig zu verhindern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A6 - name: "R\xFCckf\xFChrung in den Produktivbetrieb" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 - ref_id: DER.2.3.A6.1 - description: "Nachdem das Netz erfolgreich bereinigt wurde, M\xDCSSEN die IT-Systeme\ - \ geordnet in den Produktivbetrieb zur\xFCckgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 - ref_id: DER.2.3.A6.2 - description: "Dabei M\xDCSSEN s\xE4mtliche zuvor eingesetzten IT-Systeme und\ - \ installierten Programme, mit denen der Angriff beobachtet und analysiert\ - \ wurde, entweder entfernt oder aber in den Produktivbetrieb \xFCberf\xFC\ - hrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 - ref_id: DER.2.3.A6.3 - description: "Dasselbe MUSS mit Kommunikations- und Kollaborationssystemen erfolgen,\ - \ die f\xFCr die Bereinigung angeschafft wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 - ref_id: DER.2.3.A6.4 - description: "Beweismittel und ausgesonderte IT-Systeme M\xDCSSEN entweder sicher\ - \ gel\xF6scht bzw. vernichtet oder aber geeignet archiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A7 - name: "Gezielte Systemh\xE4rtung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.1 - description: "Nach einem APT-Angriff SOLLTEN alle betroffenen IT-Systeme geh\xE4\ - rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.2 - description: "Grundlage hierf\xFCr SOLLTEN die Ergebnisse der forensischen Untersuchungen\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.3 - description: "Zus\xE4tzlich SOLLTE erneut gepr\xFCft werden, ob die betroffene\ - \ Umgebung noch sicher ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.4 - description: "Wenn m\xF6glich, SOLLTEN IT-Systeme bereits w\xE4hrend der Bereinigung\ - \ geh\xE4rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.5 - description: "Ma\xDFnahmen, die sich nicht kurzfristig durchf\xFChren lassen,\ - \ SOLLTEN in einen Ma\xDFnahmenplan aufgenommen und mittelfristig umgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 - ref_id: DER.2.3.A7.6 - description: "Der oder die ISB SOLLTE den Plan aufzustellen und pr\xFCfen, ob\ - \ er korrekt umgesetzt wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A8 - name: "Etablierung sicherer, unabh\xE4ngiger Kommunikationskan\xE4le" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 - ref_id: DER.2.3.A8.1 - description: "Es SOLLTEN sichere Kommunikationskan\xE4le f\xFCr das Leitungsgremium\ - \ und die mit der Bereinigung beauftragten Mitarbeitenden etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 - ref_id: DER.2.3.A8.2 - description: "Wird auf Kommunikationsdienste Dritter zur\xFCckgegriffen, SOLLTE\ - \ auch hier darauf geachtet werden, dass ein sicherer Kommunikationskanal\ - \ ausgew\xE4hlt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A9 - name: Hardwaretausch betroffener IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 - ref_id: DER.2.3.A9.1 - description: Es SOLLTE erwogen werden, nach einem APT-Vorfall die Hardware komplett - auszutauschen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 - ref_id: DER.2.3.A9.2 - description: "Auch wenn nach einer Bereinigung bei einzelnen IT-Systemen noch\ - \ verd\xE4chtiges Verhalten beobachtet wird, SOLLTEN die betroffenen IT-Systeme\ - \ ausgetauscht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 - ref_id: DER.2.3.A10 - name: Umbauten zur Erschwerung eines erneuten Angriffs durch dieselben Angreifenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 - ref_id: DER.2.3.A10.1 - description: "Damit dieselben Angreifenden nicht noch einmal einen APT-Angriff\ - \ auf die IT-Systeme der Institution durchf\xFChren k\xF6nnen, SOLLTE der\ - \ interne Aufbau der Netzumgebung ge\xE4ndert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 - ref_id: DER.2.3.A10.2 - description: "Au\xDFerdem SOLLTEN Mechanismen etabliert werden, mit denen sich\ - \ wiederkehrende Angreifende schnell detektieren lassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.3.1 - name: Audits und Revisionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A1 - name: Definition von Verantwortlichkeiten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 - ref_id: DER.3.1.A1.1 - description: "Die Institutionsleitung MUSS eine Person benennen, die daf\xFC\ - r zust\xE4ndig ist, Audits bzw. Revisionen zu planen und zu initiieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 - ref_id: DER.3.1.A1.2 - description: Dabei MUSS die Institutionsleitung darauf achten, dass keine Interessenkonflikte - entstehen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 - ref_id: DER.3.1.A1.3 - description: "Die Institution MUSS die Ergebnisse der Audits und Revisionen\ - \ dazu verwenden, um die Sicherheitsma\xDFnahmen zu verbessern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A2 - name: Vorbereitung eines Audits oder einer Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 - ref_id: DER.3.1.A2.1 - description: "Vor einem Audit oder einer Revision MUSS die Institution den Pr\xFC\ - fgegenstand und die Pr\xFCfungsziele festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 - ref_id: DER.3.1.A2.2 - description: Das betroffene Personal MUSS unterrichtet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 - ref_id: DER.3.1.A2.3 - description: "Abh\xE4ngig vom Untersuchungsgegenstand MUSS die Personalvertretung\ - \ \xFCber das geplante Audit oder die geplante Revision informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A3 - name: "Durchf\xFChrung eines Audits" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.1 - description: "Bei einem Audit MUSS das Auditteam pr\xFCfen, ob die Anforderungen\ - \ aus Richtlinien, Normen, Standards und anderen relevanten Vorgaben erf\xFC\ - llt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.2 - description: "Die gepr\xFCfte Institution MUSS die Anforderungen kennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.3 - description: "Das Auditteam MUSS bei jedem Audit eine Dokumentenpr\xFCfung sowie\ - \ eine Vor-Ort-Pr\xFCfung durchf\xFChren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.4 - description: "Beim Vor-Ort-Audit MUSS das Auditteam sicherstellen, dass es niemals\ - \ selbst aktiv in Systeme eingreift und keine Handlungsanweisungen zu \xC4\ - nderungen am Pr\xFCfgegenstand erteilt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.5 - description: "Das Auditteam MUSS s\xE4mtliche Ergebnisse eines Audits schriftlich\ - \ dokumentieren und in einem Auditbericht zusammenfassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 - ref_id: DER.3.1.A3.6 - description: "Der Auditbericht MUSS der zust\xE4ndigen Stelle in der Institution\ - \ zeitnah \xFCbermittelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A4 - name: "Durchf\xFChrung einer Revision" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 - ref_id: DER.3.1.A4.1 - description: "Bei einer Revision MUSS das Revisionsteam pr\xFCfen, ob die Anforderungen\ - \ vollst\xE4ndig, korrekt, angemessen und aktuell umgesetzt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 - ref_id: DER.3.1.A4.2 - description: "Die Institution MUSS festgestellte Abweichungen so schnell wie\ - \ m\xF6glich korrigieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 - ref_id: DER.3.1.A4.3 - description: "Die jeweiligen Revisionen M\xDCSSEN mit einer \xC4nderungsverfolgung\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A5 - name: Integration in den Informationssicherheitsprozess - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.1 - description: Die Institution SOLLTE eine Richtlinie zur internen ISMS-Auditierung - vorgeben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.2 - description: "Au\xDFerdem sollte sie eine Richtlinie zur Lenkung von Korrekturma\xDF\ - nahmen erstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.3 - description: "Die Richtlinien SOLLTEN vorgeben, dass regelm\xE4\xDFige Audits\ - \ und Revisionen ein Teil des Sicherheitsprozesses sind und durch diesen initiiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.4 - description: "Der oder die ISB SOLLTE sicherstellen, dass die Ergebnisse der\ - \ Audits und Revisionen in das ISMS zur\xFCckflie\xDFen und dieses verbessern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.5 - description: "Der oder die ISB SOLLTE die durchgef\xFChrten Audits und Revisionen\ - \ und deren Ergebnisse in den regelm\xE4\xDFigen Bericht an die Institutionsleitung\ - \ aufnehmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 - ref_id: DER.3.1.A5.6 - description: "Auch SOLLTE dort festgehalten werden, welche M\xE4ngel beseitigt\ - \ wurden und wie die Qualit\xE4t verbessert wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A6 - name: "Definition der Pr\xFCfungsgrundlage und eines einheitlichen Bewertungsschemas" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 - ref_id: DER.3.1.A6.1 - description: "Die Institution SOLLTE eine einheitliche Pr\xFCfungsgrundlage\ - \ f\xFCr Audits festlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 - ref_id: DER.3.1.A6.2 - description: "F\xFCr die Bewertung der Umsetzung von Anforderungen SOLLTE ein\ - \ einheitliches Bewertungsschema festgelegt und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A7 - name: Erstellung eines Auditprogramms - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 - ref_id: DER.3.1.A7.1 - description: "Der oder die ISB SOLLTE ein Auditprogramm f\xFCr mehrere Jahre\ - \ aufstellen, das alle durchzuf\xFChrenden Audits und Revisionen erfasst." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 - ref_id: DER.3.1.A7.2 - description: "F\xFCr das Auditprogramm SOLLTEN Ziele definiert werden, die sich\ - \ insbesondere aus den Institutionszielen sowie aus den Informationssicherheitszielen\ - \ ableiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 - ref_id: DER.3.1.A7.3 - description: "Der oder die ISB SOLLTE Reserven f\xFCr unvorhergesehene Ereignisse\ - \ in der j\xE4hrlichen Ressourcenplanung vorsehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 - ref_id: DER.3.1.A7.4 - description: Das Auditprogramm SOLLTE einem eigenen kontinuierlichen Verbesserungsprozess - unterliegen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A8 - name: Erstellung einer Revisionsliste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8 - ref_id: DER.3.1.A8.1 - description: Der oder die ISB SOLLTE eine oder mehrere Revisionslisten pflegen, - die den aktuellen Stand der Revisionsobjekte sowie die geplanten Revisionen - dokumentieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A9 - name: Auswahl eines geeigneten Audit- oder Revionsteams - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.1 - description: "Die Institution SOLLTE f\xFCr jedes Audit bzw. f\xFCr jede Revision\ - \ ein geeignetes Team zusammenstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.2 - description: Es SOLLTE eine Person benannt werden, die das Audit oder die Revision - leitet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.3 - description: "Diese SOLLTE die Gesamtverantwortung f\xFCr die Durchf\xFChrung\ - \ der Audits bzw. der Revisionen tragen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.4 - description: "Die Gr\xF6\xDFe des Audit- bzw. Revisionsteams SOLLTE dem Pr\xFC\ - fbereich entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.5 - description: "Die Institution SOLLTE insbesondere die Kompetenzanforderungen\ - \ der Pr\xFCfthemen sowie die Gr\xF6\xDFe und die \xF6rtliche Verteilung des\ - \ Pr\xFCfbereichs ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.6 - description: Die Mitglieder des Audit- bzw. Revisionsteams SOLLTEN angemessen - qualifiziert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.7 - description: "Die Neutralit\xE4t des Auditteams SOLLTE sichergestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.8 - description: "Dar\xFCber hinaus SOLLTE auch das Revisionsteam unabh\xE4ngig\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 - ref_id: DER.3.1.A9.9 - description: "Werden externe Dienstleistende mit einem Audit oder einer Revision\ - \ beauftragt, SOLLTEN diese auf ihre Unabh\xE4ngigkeit hin \xFCberpr\xFCft\ - \ und zur Verschwiegenheit verpflichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A10 - name: Erstellung eines Audit- oder Revisionsplans - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - ref_id: DER.3.1.A10.1 - description: "Vor einem Audit oder einer gr\xF6\xDFeren Revision SOLLTE ein\ - \ Audit- bzw. Revisionsplan erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - ref_id: DER.3.1.A10.2 - description: "Bei Audits SOLLTE der Auditplan Teil des abschlie\xDFenden Auditberichts\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - ref_id: DER.3.1.A10.3 - description: "Der Auditplan SOLLTE w\xE4hrend des gesamten Audits fortgeschrieben\ - \ und bei Bedarf angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - ref_id: DER.3.1.A10.4 - description: Kleinere Revisionen SOLLTEN anhand der Revisionsliste geplant werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 - ref_id: DER.3.1.A10.5 - description: "Die Institution SOLLTE gen\xFCgend Ressourcen f\xFCr das Audit-\ - \ bzw. Revisionsteam vorsehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A11 - name: "Kommunikation und Verhalten w\xE4hrend der Pr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 - ref_id: DER.3.1.A11.1 - description: "Das Auditteam bzw. Revisionsteam SOLLTE klare Regelungen daf\xFC\ - r aufstellen, wie das Audit- bzw. Revisionsteam und die Mitarbeitenden der\ - \ zu pr\xFCfenden Institution bzw. Abteilung miteinander Informationen austauschen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 - ref_id: DER.3.1.A11.2 - description: "Das Auditteam SOLLTE durch geeignete Ma\xDFnahmen sicherstellen,\ - \ dass die bei einem Audit ausgetauschten Informationen auch vertraulich und\ - \ integer bleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 - ref_id: DER.3.1.A11.3 - description: "Personen, die das Audit begleiten, SOLLTEN NICHT die Pr\xFCfungen\ - \ beeinflussen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 - ref_id: DER.3.1.A11.4 - description: Zudem SOLLTEN sie zur Vertraulichkeit verpflichtet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A12 - name: "Durchf\xFChrung eines Auftaktgespr\xE4chs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 - ref_id: DER.3.1.A12.1 - description: "Das Auditteam bzw. das Revisionsteam SOLLTE ein Auftaktgespr\xE4\ - ch mit den betreffenden Ansprechpartnern oder Ansprechpartnerinnen f\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 - ref_id: DER.3.1.A12.2 - description: "Das Audit- bzw. Revisionsverfahren SOLLTE erl\xE4utert und die\ - \ Rahmenbedingungen der Vor-Ort-Pr\xFCfung abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 - ref_id: DER.3.1.A12.3 - description: "Die jeweiligen Verantwortlichen SOLLTEN dies best\xE4tigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A13 - name: "Sichtung und Pr\xFCfung der Dokumente" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 - ref_id: DER.3.1.A13.1 - description: "Die Dokumente SOLLTEN durch das Auditteam anhand der im Pr\xFC\ - fplan festgelegten Anforderungen gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 - ref_id: DER.3.1.A13.2 - description: "Alle relevanten Dokumente SOLLTEN daraufhin gepr\xFCft werden,\ - \ ob sie aktuell, vollst\xE4ndig und nachvollziehbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 - ref_id: DER.3.1.A13.3 - description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 - ref_id: DER.3.1.A13.4 - description: "Die Ergebnisse SOLLTEN auch in die Vor-Ort-Pr\xFCfung einflie\xDF\ - en, soweit dies sinnvoll ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A14 - name: Auswahl von Stichproben - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 - ref_id: DER.3.1.A14.1 - description: "Das Auditteam SOLLTE die Stichproben f\xFCr die Vor-Ort-Pr\xFC\ - fung risikoorientiert ausw\xE4hlen und nachvollziehbar begr\xFCnden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 - ref_id: DER.3.1.A14.2 - description: "Die ausgew\xE4hlten Stichproben SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 - ref_id: DER.3.1.A14.3 - description: "Wird das Audit auf der Basis von Baustein-Zielobjekten und Anforderungen\ - \ durchgef\xFChrt, SOLLTEN diese anhand eines vorher definierten Verfahrens\ - \ ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 - ref_id: DER.3.1.A14.4 - description: "Bei der Auswahl von Stichproben SOLLTEN auch die Ergebnisse vorangegangener\ - \ Audits ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A15 - name: "Auswahl von geeigneten Pr\xFCfmethoden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 - ref_id: DER.3.1.A15.1 - description: "Das Auditteam SOLLTE f\xFCr die jeweils zu pr\xFCfenden Sachverhalte\ - \ geeignete Methoden einsetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 - ref_id: DER.3.1.A15.2 - description: "Au\xDFerdem SOLLTE darauf geachtet werden, dass alle Pr\xFCfungen\ - \ verh\xE4ltnism\xE4\xDFig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A16 - name: "Ablaufplan der Vor-Ort-Pr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 - ref_id: DER.3.1.A16.1 - description: "Das Auditteam SOLLTE den Ablaufplan f\xFCr die Vor-Ort-Pr\xFC\ - fung gemeinsam mit der Institution erarbeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 - ref_id: DER.3.1.A16.2 - description: Die Ergebnisse SOLLTEN im Auditplan dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A17 - name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.1 - description: "Zu Beginn der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam ein Er\xF6\ - ffnungsgespr\xE4ch mit der betreffenden Institution f\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.2 - description: "Danach SOLLTEN alle im Pr\xFCfplan festgelegten Anforderungen\ - \ mit den vorgesehenen Pr\xFCfmethoden kontrolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.3 - description: "Weicht eine ausgew\xE4hlte Stichprobe vom dokumentierten Status\ - \ ab, SOLLTE die Stichprobe bedarfsorientiert erweitert werden, bis der Sachverhalt\ - \ gekl\xE4rt ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.4 - description: "Nach der Pr\xFCfung SOLLTE das Auditteam ein Abschlussgespr\xE4\ - ch f\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.5 - description: Darin SOLLTE es kurz die Ergebnisse ohne Bewertung sowie die weitere - Vorgehensweise darstellen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 - ref_id: DER.3.1.A17.6 - description: "Das Gespr\xE4ch SOLLTE protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A18 - name: "Durchf\xFChrung von Interviews" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 - ref_id: DER.3.1.A18.1 - description: "Das Auditteam SOLLTE strukturierte Interviews f\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 - ref_id: DER.3.1.A18.2 - description: "Die Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich\ - \ formuliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 - ref_id: DER.3.1.A18.3 - description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A19 - name: "\xDCberpr\xFCfung des Risikobehandlungsplans" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 - ref_id: DER.3.1.A19.1 - description: "Das Auditteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ - \ f\xFCr den Informationsverbund angemessen und tragbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 - ref_id: DER.3.1.A19.2 - description: "Es SOLLTE au\xDFerdem pr\xFCfen, ob sie verbindlich durch die\ - \ Institutionsleitung getragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 - ref_id: DER.3.1.A19.3 - description: "Ma\xDFnahmen, die grundlegend zur Informationssicherheit der gesamten\ - \ Institution beitragen, D\xDCRFEN NICHT in diese Risiko\xFCbernahme einflie\xDF\ - en." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 - ref_id: DER.3.1.A19.4 - description: "Das Auditteam SOLLTE stichprobenartig verifizieren, ob bzw. wie\ - \ weit die im Risikobehandlungsplan festgelegten Ma\xDFnahmen umgesetzt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A20 - name: "Durchf\xFChrung einer Abschlussbesprechung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 - ref_id: DER.3.1.A20.1 - description: "Das Auditteam SOLLTE mit der auditierten Institution eine Abschlussbesprechung\ - \ durchf\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 - ref_id: DER.3.1.A20.2 - description: "Darin SOLLTEN die vorl\xE4ufigen Auditergebnisse dargelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 - ref_id: DER.3.1.A20.3 - description: "Die weiteren T\xE4tigkeiten SOLLTEN vorgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A21 - name: "Auswertung der Pr\xFCfungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 - ref_id: DER.3.1.A21.1 - description: "Nach der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam die gewonnenen\ - \ Informationen weiter konsolidieren und auswerten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 - ref_id: DER.3.1.A21.2 - description: "Nachdem auch nachgeforderte Dokumentationen und zus\xE4tzliche\ - \ Informationen ausgewertet wurden, SOLLTEN die gepr\xFCften Ma\xDFnahmen\ - \ endg\xFCltig bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 - ref_id: DER.3.1.A21.3 - description: "Um die nachgeforderten Dokumentationen bereitstellen zu k\xF6\ - nnen, SOLLTE das Auditteam der Institution ein ausreichendes Zeitfenster gew\xE4\ - hren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 - ref_id: DER.3.1.A21.4 - description: Dokumente, die bis zum vereinbarten Termin nicht eingegangen sind, - SOLLTEN als nicht existent gewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A22 - name: Erstellung eines Auditberichts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 - ref_id: DER.3.1.A22.1 - description: "Das Auditteam SOLLTE die gewonnenen Erkenntnisse in einen Auditbericht\ - \ \xFCberf\xFChren und dort nachvollziehbar dokumentieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 - ref_id: DER.3.1.A22.2 - description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ - \ Stellen innerhalb einer angemessenen Frist die f\xFCr sie wichtigen und\ - \ notwendigen Passagen des Auditberichts erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A23 - name: Dokumentation der Revisionsergebnisse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23 - ref_id: DER.3.1.A23.1 - description: Die Ergebnisse einer Revision SOLLTEN einheitlich durch das Revisionsteam - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A24 - name: Abschluss des Audits oder der Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.1 - description: "Nach dem Audit bzw. der Revision SOLLTE das Auditteam alle relevanten\ - \ Dokumente, Datentr\xE4ger und IT-Systeme zur\xFCckgeben oder vernichten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.2 - description: "Das SOLLTE mit der gepr\xFCften Institution abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.3 - description: "Aufbewahrungspflichten aus gesetzlichen oder anderen verbindlichen\ - \ Anforderungen SOLLTEN hierbei entsprechend ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.4 - description: "Der oder die ISB SOLLTE alle f\xFCr das Audit- oder Revisionsteam\ - \ genehmigten Zugriffe wieder deaktivieren oder l\xF6schen lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.5 - description: "Mit der gepr\xFCften Institution SOLLTE vereinbart werden, wie\ - \ mit den Ergebnissen umzugehen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 - ref_id: DER.3.1.A24.6 - description: "Dabei SOLLTE auch festgelegt werden, dass die Auditergebnisse\ - \ nicht ohne Genehmigung der gepr\xFCften Institution an andere Institutionen\ - \ weitergeleitet werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A25 - name: Nachbereitung eines Audits - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - ref_id: DER.3.1.A25.1 - description: "Die Institution SOLLTE die im Auditbericht oder bei einer Revision\ - \ festgestellten Abweichungen oder M\xE4ngel in einer angemessenen Zeit abstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - ref_id: DER.3.1.A25.2 - description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen inklusive Zeitpunkt\ - \ und Zust\xE4ndigkeiten SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - ref_id: DER.3.1.A25.3 - description: "Auch abgeschlossene Korrekturma\xDFnahmen SOLLTEN dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - ref_id: DER.3.1.A25.4 - description: Die Institution SOLLTE dazu ein definiertes Verfahren etablieren - und einsetzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 - ref_id: DER.3.1.A25.5 - description: "Gab es schwerwiegende Abweichungen oder M\xE4ngel, SOLLTE das\ - \ Audit- bzw. Revisionsteam \xFCberpr\xFCfen, ob die Korrekturma\xDFnahmen\ - \ durchgef\xFChrt wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A26 - name: "\xDCberwachen und Anpassen des Auditprogramms" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 - ref_id: DER.3.1.A26.1 - description: "Das Auditprogramm SOLLTE kontinuierlich \xFCberwacht und angepasst\ - \ werden, sodass Termine, Auditziele, Auditinhalte und die Auditqualit\xE4\ - t eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 - ref_id: DER.3.1.A26.2 - description: "Mithilfe der bestehenden Anforderungen an das Auditprogramm und\ - \ mit den Ergebnissen der durchgef\xFChrten Audits SOLLTE \xFCberpr\xFCft\ - \ werden, ob das Auditprogramm angemessen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 - ref_id: DER.3.1.A26.3 - description: Bei Bedarf SOLLTE es angepasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 - ref_id: DER.3.1.A27 - name: Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 - ref_id: DER.3.1.A27.1 - description: Die Institution SOLLTE Auditprogramme sowie Unterlagen zu Audits - und Revisionen entsprechend den regulatorischen Anforderungen nachvollziehbar - und revisionssicher ablegen und aufbewahren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 - ref_id: DER.3.1.A27.2 - description: "Dabei SOLLTE sichergestellt werden, dass lediglich berechtigte\ - \ Personen auf Auditprogramme und Unterlagen zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 - ref_id: DER.3.1.A27.3 - description: Die Institution SOLLTE die Auditprogramme und Unterlagen nach Ablauf - der Aufbewahrungsfrist sicher vernichten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.3.2 - name: Revisionen auf Basis des Leitfadens IS-Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A1 - name: "Benennung von Verantwortlichen f\xFCr die IS-Revision" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 - ref_id: DER.3.2.A1.1 - description: "Die Institution MUSS eine verantwortliche Person f\xFCr die IS-Revision\ - \ benennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 - ref_id: DER.3.2.A1.2 - description: Diese MUSS die IS-Revisionen planen, initiieren und die Ergebnisse - nachverfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A2 - name: Erstellung eines IS-Revisionshandbuches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 - ref_id: DER.3.2.A2.1 - description: "F\xFCr die IS-Revision MUSS ein IS-Revisionshandbuch erstellt\ - \ werden, das die angestrebten Ziele, einzuhaltende gesetzliche Vorgaben,\ - \ Informationen \xFCber die Organisation, die Ressourcen und die Rahmenbedingungen\ - \ enth\xE4lt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 - ref_id: DER.3.2.A2.2 - description: "Au\xDFerdem MUSS darin die Archivierung der Dokumentation beschrieben\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 - ref_id: DER.3.2.A2.3 - description: Das Handbuch MUSS von der Leitungsebene verabschiedet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A3 - name: "Definition der Pr\xFCfungsgrundlage" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 - ref_id: DER.3.2.A3.1 - description: "Die BSI-Standards 200-1 bis 200-3 sowie das IT-Grundschutz-Kompendium\ - \ M\xDCSSEN die Pr\xFCfungsgrundlagen f\xFCr die IS-Revision sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 - ref_id: DER.3.2.A3.2 - description: Dabei SOLLTE die Standard-Absicherung des IT-Grundschutzes verwendet - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 - ref_id: DER.3.2.A3.3 - description: "Diese Pr\xFCfungsgrundlagen M\xDCSSEN allen Beteiligten bekannt\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A4 - name: "Erstellung einer Planung f\xFCr die IS-Revision" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 - ref_id: DER.3.2.A4.1 - description: "Wenn die Institution nicht nach ISO 27001 auf Basis von IT-Grundschutz\ - \ zertifiziert ist, MUSS sichergestellt werden, dass mindestens alle drei\ - \ Jahre eine IS-Kurz- oder Querschnitts-Revision durchgef\xFChrt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 - ref_id: DER.3.2.A4.2 - description: "Dar\xFCber hinaus SOLLTEN weitere Revisionen eingeplant werden,\ - \ falls der Informationsverbund wesentlich ver\xE4ndert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 - ref_id: DER.3.2.A4.3 - description: "Es SOLLTE eine mehrj\xE4hrige Grobplanung f\xFCr die Revisionsvorhaben\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 - ref_id: DER.3.2.A4.4 - description: "Diese SOLLTE dann durch eine j\xE4hrliche Detailplanung konkretisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A5 - name: Auswahl eines geeigneten IS-Revisionsteams - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 - ref_id: DER.3.2.A5.1 - description: Es MUSS ein aus mindestens zwei Personen bestehendes IS-Revisionsteam - zusammengestellt oder beauftragt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 - ref_id: DER.3.2.A5.2 - description: "Dem IS-Revisionsteam MUSS ein uneingeschr\xE4nktes Informations-\ - \ und Einsichtnahmerecht f\xFCr seine T\xE4tigkeit einger\xE4umt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 - ref_id: DER.3.2.A5.3 - description: "Bei eigenen IS-Revisionsteams M\xDCSSEN die einzelnen Mitglieder\ - \ unparteilich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 - ref_id: DER.3.2.A5.4 - description: "Die Mitglieder eines IS-Revisionsteams D\xDCRFEN NICHT an der\ - \ Planung oder Umsetzung des ISMS beteiligt sein oder gewesen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A6 - name: Vorbereitung einer IS-Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 - ref_id: DER.3.2.A6.1 - description: Es MUSS ein IS-Revisionsteam mit einer IS-Revision beauftragt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 - ref_id: DER.3.2.A6.2 - description: "Das IS-Revisionsteam MUSS festlegen, welche Referenzdokumente\ - \ f\xFCr eine IS-Revision ben\xF6tigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 - ref_id: DER.3.2.A6.3 - description: "Die zu pr\xFCfende Institution MUSS das Sicherheitskonzept und\ - \ alle weiteren erforderlichen Dokumente an das IS-Revisionsteam \xFCbergeben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A7 - name: "Durchf\xFChrung einer IS-Revision" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 - ref_id: DER.3.2.A7.1 - description: "Im Rahmen einer IS-Revision M\xDCSSEN eine Dokumenten- und eine\ - \ Vor-Ort-Pr\xFCfung durch das IS-Revisionsteam durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 - ref_id: DER.3.2.A7.2 - description: "S\xE4mtliche Ergebnisse dieser beiden Pr\xFCfungen M\xDCSSEN dokumentiert\ - \ und in einem IS-Revisionsbericht zusammengefasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 - ref_id: DER.3.2.A7.3 - description: "Bevor erstmalig eine IS-Querschnittsrevision durchgef\xFChrt wird,\ - \ MUSS als IS-Revisionsverfahren eine IS-Kurzrevision ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 - ref_id: DER.3.2.A7.4 - description: "Die IS-Kurzrevision MUSS mit positivem Votum abgeschlossen werden,\ - \ bevor eine IS-Querschnittsrevision durchgef\xFChrt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A8 - name: Aufbewahrung von IS-Revisionsberichten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 - ref_id: DER.3.2.A8.1 - description: "Die Institution MUSS den IS-Revisionsbericht und die diesem zugrundeliegenden\ - \ Referenzdokumente mindestens f\xFCr zehn Jahre ab Zustellung des Berichts\ - \ sicher aufbewahren, sofern keine anders lautenden Gesetze oder Verordnungen\ - \ gelten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 - ref_id: DER.3.2.A8.2 - description: "Die Institution MUSS sicherstellen, dass lediglich berechtigte\ - \ Personen auf die IS-Revisionsberichte und die Referenzdokumente zugreifen\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A9 - name: Integration in den Informationssicherheitsprozess - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 - ref_id: DER.3.2.A9.1 - description: Die Institution SOLLTE sicherstellen, dass IS-Revisionen ein Teil - des Sicherheitsprozesses sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 - ref_id: DER.3.2.A9.2 - description: "Au\xDFerdem SOLLTEN die Ergebnisse von IS-Revisionen in das ISMS\ - \ zur\xFCckflie\xDFen und zu dessen Verbesserung beitragen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 - ref_id: DER.3.2.A9.3 - description: "Weiter SOLLTEN die Ergebnisse der IS-Revisionen sowie die Aktivit\xE4\ - ten, um M\xE4ngel zu beseitigen und um die Qualit\xE4t zu verbessern, in den\ - \ regelm\xE4\xDFigen Bericht des oder der ISB an die Institutionsleitung aufgenommen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A10 - name: Kommunikationsabsprache - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 - ref_id: DER.3.2.A10.1 - description: "Es SOLLTE klar geregelt werden, wie Informationen zwischen dem\ - \ IS-Revisionsteam und der zu pr\xFCfenden Institution auszutauschen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 - ref_id: DER.3.2.A10.2 - description: So SOLLTE sichergestellt werden, dass diese Informationen vertraulich - und integer bleiben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A11 - name: "Durchf\xFChrung eines Auftaktgespr\xE4chs f\xFCr eine IS-Querschnittsrevision" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - ref_id: DER.3.2.A11.1 - description: "F\xFCr eine IS-Querschnittsrevision SOLLTE ein Auftaktgespr\xE4\ - ch zwischen dem IS-Revisionsteam und der zu pr\xFCfenden Institution durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - ref_id: DER.3.2.A11.2 - description: 'Darin SOLLTEN folgende Inhalte besprochen werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - ref_id: DER.3.2.A11.3 - description: "\u2022 Die Erl\xE4uterung und Darstellung des IS-Revisionsverfahrens," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - ref_id: DER.3.2.A11.4 - description: "\u2022 die Vorstellung der Institution (Arbeitsschwerpunkte und\ - \ \xDCberblick der eingesetzten IT) sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 - ref_id: DER.3.2.A11.5 - description: "\u2022 die \xDCbergabe der Referenzdokumente an das IS-Revisionsteam." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A12 - name: "Erstellung eines Pr\xFCfplans" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 - ref_id: DER.3.2.A12.1 - description: "Vor einer IS-Revision SOLLTE das IS-Revisionsteam einen Pr\xFC\ - fplan erstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 - ref_id: DER.3.2.A12.2 - description: "Ist es w\xE4hrend der IS-Revision notwendig, die geplanten Abl\xE4\ - ufe zu erweitern oder anderweitig anzupassen, SOLLTE der Pr\xFCfplan entsprechend\ - \ angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 - ref_id: DER.3.2.A12.3 - description: "Der Pr\xFCfplan SOLLTE zudem in den abschlie\xDFenden IS-Revisionsbericht\ - \ aufgenommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 - ref_id: DER.3.2.A12.4 - description: "Bei der IS-Kurzrevision SOLLTE die verbindlich festgelegte Pr\xFC\ - fthemenliste des BSI an die Stelle des Pr\xFCfplans treten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A13 - name: "Sichtung und Pr\xFCfung der Dokumente" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.1 - description: "Bei der Dokumentenpr\xFCfung SOLLTE das IS-Revisionsteam die im\ - \ Pr\xFCfplan festgelegten Anforderungen pr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.2 - description: "Das IS-Revisionsteam SOLLTE \xFCberpr\xFCfen, ob alle relevanten\ - \ Dokumente aktuell und vollst\xE4ndig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.3 - description: "Bei der Pr\xFCfung auf Aktualit\xE4t SOLLTE die Granularit\xE4\ - t der Dokumente ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.4 - description: Es SOLLTE darauf geachtet werden, dass alle wesentlichen Aspekte - erfasst und geeignete Rollen zugewiesen wurden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.5 - description: "Weiter SOLLTE gepr\xFCft werden, ob die vorliegenden Dokumente\ - \ und die darin getroffenen Entscheidungen nachvollziehbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 - ref_id: DER.3.2.A13.6 - description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden\ - \ und, soweit sinnvoll, in die Vor-Ort-Pr\xFCfung einflie\xDFen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A14 - name: "Auswahl der Zielobjekte und der zu pr\xFCfenden Anforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.1 - description: "In einer IS-Querschnittsrevision oder IS-Partialrevision SOLLTE\ - \ das IS-Revisionsteam anhand der Ergebnisse der Dokumentenpr\xFCfung die\ - \ Baustein-Zielobjekte f\xFCr die Vor-Ort-Pr\xFCfung ausw\xE4hlen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.2 - description: "Der Baustein zum Informationssicherheitsmanagement (siehe ISMS.1\ - \ Sicherheitsmanagement) des IT-Grundschutz-Kompendiums einschlie\xDFlich\ - \ aller zugeh\xF6rigen Anforderungen SOLLTE jedoch immer vollst\xE4ndig gepr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.3 - description: "Weitere drei\xDFig Prozent der modellierten Baustein-Zielobjekte\ - \ SOLLTEN risikoorientiert zur Pr\xFCfung ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.4 - description: Die Auswahl SOLLTE nachvollziehbar dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.5 - description: "Von den so ausgew\xE4hlten Baustein-Zielobjekten SOLLTEN drei\xDF\ - ig Prozent der jeweiligen Anforderungen bei der IS-Revision gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.6 - description: "Dar\xFCber hinaus SOLLTEN bei der Auswahl der zu pr\xFCfenden\ - \ Baustein-Zielobjekte die bem\xE4ngelten Anforderungen aus vorhergehenden\ - \ IS-Revisionen ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 - ref_id: DER.3.2.A14.7 - description: "Alle Anforderungen mit schwerwiegenden Sicherheitsm\xE4ngeln aus\ - \ vorhergehenden IS-Revisionen SOLLTEN mit gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A15 - name: "Auswahl von geeigneten Pr\xFCfmethoden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 - ref_id: DER.3.2.A15.1 - description: "Das IS-Revisionsteam SOLLTE sicherstellen, dass geeignete Pr\xFC\ - fmethoden eingesetzt werden, um die zu pr\xFCfenden Sachverhalte zu ermitteln." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 - ref_id: DER.3.2.A15.2 - description: "Alle Pr\xFCfungen SOLLTEN verh\xE4ltnism\xE4\xDFig sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A16 - name: "Erstellung eines Ablaufplans f\xFCr die Vor-Ort-Pr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 - ref_id: DER.3.2.A16.1 - description: "Gemeinsam mit der zu pr\xFCfenden Institution SOLLTE das IS-Revisionsteam\ - \ einen Ablaufplan f\xFCr die Vor-Ort-Pr\xFCfung erarbeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 - ref_id: DER.3.2.A16.2 - description: "Die Ergebnisse SOLLTEN zusammen mit dem IS-Pr\xFCfplan dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A17 - name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.1 - description: "Bei der Vor-Ort-Pr\xFCfung SOLLTE das IS-Revisionsteam untersuchen\ - \ und feststellen, ob die ausgew\xE4hlten Ma\xDFnahmen die Anforderungen des\ - \ IT-Grundschutzes angemessen und praxistauglich erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.2 - description: "Die Pr\xFCfung SOLLTE mit einem Er\xF6ffnungsgespr\xE4ch beginnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.3 - description: "Danach SOLLTEN alle f\xFCr die Pr\xFCfung ausgew\xE4hlten Anforderungen\ - \ des Pr\xFCfplans bzw. alle Themenfelder der Pr\xFCfthemenliste \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.4 - description: "Daf\xFCr SOLLTEN die vorgesehenen Pr\xFCfmethoden angewandt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.5 - description: "Werden bei einer ausgew\xE4hlten Stichprobe Abweichungen zum dokumentierten\ - \ Status festgestellt, SOLLTE die Stichprobe bedarfsorientiert erweitert werden,\ - \ bis der Sachverhalt gekl\xE4rt ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.6 - description: "W\xE4hrend der Vor-Ort-Pr\xFCfung SOLLTEN das IS-Revisionsteam\ - \ niemals aktiv in IT-Systeme eingreifen und auch keine Handlungsanweisungen\ - \ zu \xC4nderungen am Revisionsgegenstand erteilen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.7 - description: "Alle wesentlichen Sachverhalte und Angaben zu Quellen-, Auskunfts-\ - \ und Vorlage-Ersuchen sowie durchgef\xFChrten Besprechungen SOLLTEN schriftlich\ - \ festgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.8 - description: "In einem Abschlussgespr\xE4ch SOLLTE das IS-Revisionsteam der\ - \ gepr\xFCften Institution wesentliche Feststellungen kurz darstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.9 - description: "Dabei SOLLTE das IS-Revisionsteam die Feststellungen nicht konkret\ - \ bewerten, sondern Hinweise auf etwaige M\xE4ngel und die weitere Verfahrensweise\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 - ref_id: DER.3.2.A17.10 - description: "Auch dieses Abschlussgespr\xE4ch SOLLTE protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A18 - name: "Durchf\xFChrung von Interviews" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 - ref_id: DER.3.2.A18.1 - description: Interviews durch das IS-Revisionsteam SOLLTEN strukturiert erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 - ref_id: DER.3.2.A18.2 - description: "Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich formuliert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 - ref_id: DER.3.2.A18.3 - description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A19 - name: "\xDCberpr\xFCfung der gew\xE4hlten Risikobehandlungsoptionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 - ref_id: DER.3.2.A19.1 - description: "Das IS-Revisionsteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ - \ f\xFCr den Informationsverbund angemessen und tragbar sind und ob sie verbindlich\ - \ durch die Institutionsleitung getragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 - ref_id: DER.3.2.A19.2 - description: "Das IS-Revisionsteam SOLLTE stichprobenartig verifizieren, ob\ - \ bzw. inwieweit die gew\xE4hlten Risikobehandlungsoptionen umgesetzt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A20 - name: "Nachbereitung der Vor-Ort-Pr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 - ref_id: DER.3.2.A20.1 - description: "Nach der Vor-Ort-Pr\xFCfung SOLLTEN die erhobenen Informationen\ - \ weiter durch das IS-Revisionsteam konsolidiert und ausgewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 - ref_id: DER.3.2.A20.2 - description: "Nachdem die eventuell nachgeforderten Dokumente, Dokumentationen\ - \ und zus\xE4tzlichen Informationen ausgewertet wurden, SOLLTEN die gepr\xFC\ - ften Anforderungen endg\xFCltig bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A21 - name: Erstellung eines IS-Revisionsberichts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.1 - description: "Das IS-Revisionsteam SOLLTE die gewonnenen Ergebnisse in einen\ - \ IS-Revisionsbericht \xFCberf\xFChren und dort nachvollziehbar dokumentieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.2 - description: "Eine Entwurfsversion des Berichts SOLLTE der gepr\xFCften Institution\ - \ vorab \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.3 - description: Es SOLLTE verifiziert werden, ob die durch das IS-Revisionsteam - festgestellten Sachverhalte richtig aufgenommen wurden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.4 - description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ - \ Stellen in der Institution innerhalb einer angemessenen Frist die f\xFC\ - r sie wichtigen und notwendigen Passagen des IS-Revisionsberichts erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.5 - description: "Insbesondere SOLLTEN die Inhalte an die Institutionsleitung, an\ - \ die Verantwortlichen f\xFCr die IS-Revision sowie den oder die ISB kommuniziert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.6 - description: "IS-Revisionsberichte SOLLTEN aufgrund der enthaltenen sch\xFC\ - tzenswerten Informationen mit einer geeigneten Vertraulichkeitseinstufung\ - \ versehen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 - ref_id: DER.3.2.A21.7 - description: "Es SOLLTE \xFCberlegt werden, die Ergebnisse der IS-Revision der\ - \ Institutionsleitung vom IS-Revisionsteam in Form einer Pr\xE4sentation vorzustellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 - ref_id: DER.3.2.A22 - name: Nachbereitung einer IS-Revision - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - ref_id: DER.3.2.A22.1 - description: Die im IS-Revisionsbericht festgestellten Abweichungen SOLLTEN - in einer angemessenen Zeit durch die Institution korrigiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - ref_id: DER.3.2.A22.2 - description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen SOLLTEN mit Zust\xE4\ - ndigkeiten, Umsetzungstermin und dem jeweiligen Status dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - ref_id: DER.3.2.A22.3 - description: Die Umsetzung SOLLTE kontinuierlich nachverfolgt und der Umsetzungsstatus - fortgeschrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - ref_id: DER.3.2.A22.4 - description: "Grunds\xE4tzlich SOLLTE gepr\xFCft werden, ob erg\xE4nzende IS-Revisionen\ - \ notwendig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 - ref_id: DER.3.2.A22.5 - description: Die Institution SOLLTE die Grob- und Detailplanung zur IS-Revision - anpassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der - ref_id: DER.4 - name: Notfallmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A1 - name: Erstellung eines Notfallhandbuchs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.1 - description: Es SOLLTE ein Notfallhandbuch erstellt werden, in dem die wichtigsten - Informationen zu - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.2 - description: "\u2022 Rollen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.3 - description: "\u2022 Sofortma\xDFnahmen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.4 - description: "\u2022 Alarmierung und Eskalation sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.5 - description: "\u2022 Kommunikations-, grunds\xE4tzlichen Gesch\xE4ftsfortf\xFC\ - hrungs-, Wiederanlauf- und Wiederherstellungspl\xE4nen enthalten sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.6 - description: "Zust\xE4ndigkeiten und Befugnisse SOLLTEN zugewiesen, kommuniziert\ - \ und im Notfallhandbuch festgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.7 - description: "Es SOLLTE sichergestellt sein, dass im Notfall entsprechend geschultes\ - \ Personal zur Verf\xFCgung steht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.8 - description: "Es SOLLTE regelm\xE4\xDFig durch Tests und \xDCbungen \xFCberpr\xFC\ - ft werden, ob die im Notfallhandbuch beschriebenen Ma\xDFnahmen auch wie vorgesehen\ - \ funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.9 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob das Notfallhandbuch\ - \ noch aktuell ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.10 - description: Gegebenenfalls SOLLTE es aktualisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.11 - description: "Es SOLLTE auch im Notfall zug\xE4nglich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.12 - description: "Das Notfallhandbuch SOLLTE um Verhaltensregeln f\xFCr spezielle\ - \ F\xE4lle erg\xE4nzt werden, z. B. Brand." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 - ref_id: DER.4.A1.13 - description: Die Regeln SOLLTEN allen Mitarbeitenden bekanntgegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A2 - name: Integration von Notfallmanagement und Informationssicherheitsmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2 - ref_id: DER.4.A2.1 - description: "Die Prozesse im Sicherheitsmanagement SOLLTEN mit dem Notfallmanagement\ - \ abgestimmt werden (siehe DER.2.1 Behandlung von Sicherheitsvorf\xE4llen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A3 - name: Festlegung des Geltungsbereichs und der Notfallmanagementstrategie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 - ref_id: DER.4.A3.1 - description: "Der Geltungsbereich f\xFCr das Notfallmanagementsystem SOLLTE\ - \ eindeutig festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 - ref_id: DER.4.A3.2 - description: Die Institutionsleitung SOLLTE eine Notfallmanagementstrategie - festlegen, welche die angestrebten Ziele und das Risikoakzeptanzniveau darlegen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A4 - name: "Leitlinie zum Notfallmanagement und \xDCbernahme der Gesamtverantwortung\ - \ durch die Institutionsleitung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 - ref_id: DER.4.A4.1 - description: Die Institutionsleitung SOLLTE eine Leitlinie zum Notfallmanagement - verabschieden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 - ref_id: DER.4.A4.2 - description: Diese SOLLTE die wesentlichen Eckpunkte des Notfallmanagements - enthalten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 - ref_id: DER.4.A4.3 - description: "Die Leitlinie zum Notfallmanagement SOLLTE regelm\xE4\xDFig \xFC\ - berpr\xFCft und gegebenenfalls \xFCberarbeitet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 - ref_id: DER.4.A4.4 - description: Sie SOLLTE allen Mitarbeitenden bekanntgegeben werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A5 - name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr das Notfallmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 - ref_id: DER.4.A5.1 - description: "Die Rollen f\xFCr das Notfallmanagement SOLLTEN f\xFCr die Gegebenheiten\ - \ der Institution angemessen festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 - ref_id: DER.4.A5.2 - description: Dies SOLLTE mit den Aufgaben, Pflichten und Kompetenzen der Rollen - schriftlich dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 - ref_id: DER.4.A5.3 - description: "Es SOLLTEN f\xFCr alle Rollen im Notfallmanagement qualifizierte\ - \ Mitarbeitende benannt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 - ref_id: DER.4.A5.4 - description: "Die Organisationsstruktur im Notfallmanagement SOLLTE regelm\xE4\ - \xDFig darauf \xFCberpr\xFCft werden, ob sie praxistauglich, effektiv und\ - \ effizient ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A6 - name: "Bereitstellung angemessener Ressourcen f\xFCr das Notfallmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 - ref_id: DER.4.A6.1 - description: "Die finanziellen, technischen und personellen Ressourcen f\xFC\ - r die angestrebten Ziele des Notfallmanagements SOLLTEN angemessen sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 - ref_id: DER.4.A6.2 - description: "Der oder die Notfallbeauftragte bzw. das Notfallmanagement-Team\ - \ SOLLTE \xFCber gen\xFCgend Zeit f\xFCr die Aufgaben im Notfallmanagement\ - \ verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A7 - name: Erstellung eines Notfallkonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.1 - description: "Alle kritischen Gesch\xE4ftsprozesse und Ressourcen SOLLTEN identifiziert\ - \ werden, beispielsweise mit einer Business-Impact-Analyse (BIA)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.2 - description: "Es SOLLTEN die wichtigsten relevanten Risiken f\xFCr die kritischen\ - \ Gesch\xE4ftsprozesse und Fachaufgaben sowie deren Ressourcen identifiziert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.3 - description: "F\xFCr jedes identifizierte Risiko SOLLTE entschieden werden,\ - \ welche Risikostrategien zur Risikobehandlung eingesetzt werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.4 - description: "Es SOLLTEN Kontinuit\xE4tsstrategien entwickelt werden, die einen\ - \ Wiederanlauf und eine Wiederherstellung der kritischen Gesch\xE4ftsprozesse\ - \ in der geforderten Zeit erm\xF6glichen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.5 - description: Es SOLLTE ein Notfallkonzept erstellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.6 - description: "Es SOLLTEN solche Notfallpl\xE4ne und Ma\xDFnahmen entwickelt\ - \ und implementiert werden, die eine effektive Notfallbew\xE4ltigung und eine\ - \ schnelle Wiederaufnahme der kritischen Gesch\xE4ftsprozesse erm\xF6glichen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 - ref_id: DER.4.A7.7 - description: "Im Notfallkonzept SOLLTE die Informationssicherheit ber\xFCcksichtigt\ - \ und entsprechende Sicherheitskonzepte f\xFCr die Notfalll\xF6sungen entwickelt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A8 - name: Integration der Mitarbeitenden in den Notfallmanagement-Prozess - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 - ref_id: DER.4.A8.1 - description: "Alle Mitarbeitenden SOLLTEN regelm\xE4\xDFig f\xFCr das Thema\ - \ Notfallmanagement sensibilisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 - ref_id: DER.4.A8.2 - description: Zum Notfallmanagement SOLLTE es ein Schulungs- und Sensibilisierungskonzept - geben. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 - ref_id: DER.4.A8.3 - description: "Die Mitarbeitenden im Notfallmanagement-Team SOLLTEN regelm\xE4\ - \xDFig geschult werden, um die ben\xF6tigten Kompetenzen aufzubauen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A9 - name: "Integration von Notfallmanagement in organisationsweite Abl\xE4ufe und\ - \ Prozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 - ref_id: DER.4.A9.1 - description: "Es SOLLTE sichergestellt werden, dass Aspekte des Notfallmanagements\ - \ in allen Gesch\xE4ftsprozessen und Fachaufgaben der Institution ber\xFC\ - cksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 - ref_id: DER.4.A9.2 - description: Die Prozesse, Vorgaben und Verantwortlichkeiten im Notfallmanagement - SOLLTEN mit dem Risikomanagement und Krisenmanagement abgestimmt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A10 - name: "Tests und Notfall\xFCbungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 - ref_id: DER.4.A10.1 - description: "Alle wesentlichen Sofortma\xDFnahmen und Notfallpl\xE4ne SOLLTEN\ - \ in angemessener Weise regelm\xE4\xDFig und anlassbezogen getestet und ge\xFC\ - bt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 - ref_id: DER.4.A10.2 - description: "Der zeitliche Rahmen und die fachliche Abdeckung aller \xDCbungen\ - \ SOLLTEN \xFCbergreifend in einem \xDCbungsplan dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 - ref_id: DER.4.A10.3 - description: "Im Notfallmanagement SOLLTEN ausreichend Ressourcen f\xFCr die\ - \ Planung, Konzeption, Durchf\xFChrung und Auswertung der Tests und \xDCbungen\ - \ bereitgestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A12 - name: Dokumentation im Notfallmanagement-Prozess - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 - ref_id: DER.4.A12.1 - description: Der Ablauf des Notfallmanagement-Prozesses, die Arbeitsergebnisse - der einzelnen Phasen und wichtige Entscheidungen SOLLTEN dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 - ref_id: DER.4.A12.2 - description: "Ein festgelegtes Verfahren SOLLTE sicherstellen, dass diese Dokumente\ - \ regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 - ref_id: DER.4.A12.3 - description: "Dar\xFCber hinaus SOLLTE der Zugriff auf die Dokumentation auf\ - \ autorisierte Personen beschr\xE4nkt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A13 - name: "\xDCberpr\xFCfung und Steuerung des Notfallmanagement-Systems" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 - ref_id: DER.4.A13.1 - description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig anhand von\ - \ Managementberichten \xFCber den Stand des Notfallmanagements informieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 - ref_id: DER.4.A13.2 - description: "Sie SOLLTE so das Notfallmanagement-System regelm\xE4\xDFig \xFC\ - berpr\xFCfen, bewerten und gegebenenfalls korrigieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A14 - name: "Regelm\xE4\xDFige \xDCberpr\xFCfung und Verbesserung der Notfallma\xDF\ - nahmen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.1 - description: "Alle Notfallma\xDFnahmen SOLLTEN regelm\xE4\xDFig oder bei gr\xF6\ - \xDFeren \xC4nderungen daraufhin \xFCberpr\xFCft werden, ob sie noch eingehalten\ - \ und korrekt umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.2 - description: "Es SOLLTE gepr\xFCft werden, ob sie sich noch dazu eignen, die\ - \ definierten Ziele zu erreichen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.3 - description: "Dabei SOLLTE untersucht werden, ob technische Ma\xDFnahmen korrekt\ - \ implementiert und konfiguriert wurden und ob organisatorische Ma\xDFnahmen\ - \ effektiv und effizient umgesetzt sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.4 - description: "Bei Abweichungen SOLLTEN die Ursachen f\xFCr die M\xE4ngel ermittelt\ - \ und Verbesserungsma\xDFnahmen veranlasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.5 - description: "Diese Ergebnis\xFCbersicht SOLLTE von der Institutionsleitung\ - \ freigegeben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.6 - description: "Es SOLLTE zudem ein Prozess etabliert werden, der steuert und\ - \ \xFCberwacht, ob und wie die Verbesserungsma\xDFnahmen umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.7 - description: "Verz\xF6gerungen SOLLTEN fr\xFChzeitig an die Institutionsleitung\ - \ gemeldet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.8 - description: "Es SOLLTE von der Institutionsleitung festgelegt sein, wie die\ - \ \xDCberpr\xFCfungen koordiniert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.9 - description: "Die \xDCberpr\xFCfungen SOLLTEN so geplant werden, dass kein relevanter\ - \ Teil ausgelassen wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.10 - description: "Insbesondere SOLLTEN die im Bereich der Revision, der IT, des\ - \ Sicherheitsmanagements, des Informationssicherheitsmanagements und des Notfallmanagements\ - \ durchgef\xFChrten \xDCberpr\xFCfungen miteinander koordiniert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 - ref_id: DER.4.A14.11 - description: "Dazu SOLLTE geregelt werden, welche Ma\xDFnahmen wann und von\ - \ wem \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A15 - name: "Bewertung der Leistungsf\xE4higkeit des Notfallmanagementsystems" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.1 - description: "Es SOLLTE regelm\xE4\xDFig bewertet werden, wie leistungsf\xE4\ - hig und effektiv das Notfallmanagement-System ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.2 - description: Als Grundlage SOLLTEN Mess- und Bewertungskriterien wie z. B. Leistungskennzahlen - definiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.3 - description: "Diese Messgr\xF6\xDFen SOLLTEN regelm\xE4\xDFig ermittelt und\ - \ mit geeigneten vorangegangenen Werten, mindestens aber mit den Vorjahreswerten,\ - \ verglichen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.4 - description: "Weichen die Werte negativ ab, SOLLTEN die Ursachen ermittelt und\ - \ Verbesserungsma\xDFnahmen definiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.5 - description: Die Ergebnisse der Bewertung SOLLTEN an die Leitung berichtet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.6 - description: "Die Leitung SOLLTE entscheiden, mit welchen Ma\xDFnahmen das Notfallmanagement\ - \ weiterentwickelt werden soll." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 - ref_id: DER.4.A15.7 - description: Alle Entscheidungen der Institutionsleitung SOLLTEN dokumentiert - und die bisherigen Aufzeichnungen aktualisiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 - ref_id: DER.4.A16 - name: "Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 - ref_id: DER.4.A16.1 - description: "Bei der Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte\ - \ Komponenten SOLLTE regelm\xE4\xDFig das Notfallmanagement der liefernden\ - \ oder dienstleistenden Institution in den unterzeichneten Vertr\xE4gen gepr\xFC\ - ft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 - ref_id: DER.4.A16.2 - description: "Auch SOLLTEN die Abl\xE4ufe in Notfalltests und -\xFCbungen mit\ - \ der liefernden oder bereitstellenden Institution abgestimmt und, wenn angemessen,\ - \ gemeinsam durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 - ref_id: DER.4.A16.3 - description: "Die Ergebnisse und Auswertungen SOLLTEN regelm\xE4\xDFig zwischen\ - \ der Institutionsleitung und den liefernden Institutionen oder Dienstleistenden\ - \ ausgetauscht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 - ref_id: DER.4.A16.4 - description: "In den Auswertungen SOLLTEN auch eventuelle Verbesserungsma\xDF\ - nahmen enthalten sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - assessable: false - depth: 1 - ref_id: IND - name: Industrielle IT - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.1 - name: Prozessleit- und Automatisierungstechnik - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A1 - name: Einbindung in die Sicherheitsorganisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 - ref_id: IND.1.A1.1 - description: "Ein Managementsystem f\xFCr Informationssicherheit (ISMS) f\xFC\ - r den Betrieb der OT-Infrastruktur MUSS entweder als selbst\xE4ndiges ISMS\ - \ oder als Teil eines Gesamt-ISMS existieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 - ref_id: IND.1.A1.2 - description: "Eine gesamtverantwortliche Person f\xFCr die Informationssicherheit\ - \ im OT-Bereich MUSS benannt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 - ref_id: IND.1.A1.3 - description: Er oder sie MUSS innerhalb der Institution bekannt gegeben werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A3 - name: Schutz vor Schadprogrammen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 - ref_id: IND.1.A3.1 - description: "Beim Einsatz von Virenschutz-Software auf OT-Komponenten MUSS\ - \ ber\xFCcksichtigt werden, ob und in welcher Konfiguration der Betrieb von\ - \ Virenschutz-Software vom herstellenden Unternehmen unterst\xFCtzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 - ref_id: IND.1.A3.2 - description: "Ist dies nicht der Fall, MUSS der Bedarf an alternativen Schutzverfahren\ - \ gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 - ref_id: IND.1.A3.3 - description: "Die Virensignaturen D\xDCRFEN NICHT von OT-Systemen direkt aus\ - \ dem Internet bezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A4 - name: Dokumentation der OT-Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.1 - description: Alle sicherheitsrelevanten Parameter der OT-Infrastruktur SOLLTEN - dokumentiert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.2 - description: "In einem Bestandsverzeichnis SOLLTEN alle Software- und Systemkomponenten\ - \ gef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.3 - description: "Hieraus SOLLTEN die eingesetzten Produkt- und Protokollversionen\ - \ sowie die Zust\xE4ndigkeiten hervorgehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.4 - description: Zu den eingesetzten Komponenten SOLLTEN eventuelle Restriktionen - der herstellenden Unternehmen oder regulatorische Auflagen bestimmt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.5 - description: "Diese Dokumentation und ein Systeminventar SOLLTEN beispielsweise\ - \ in einem Leitsystem gef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.6 - description: "Zus\xE4tzlich SOLLTE ein aktueller Netzplan Zonen, Zonen\xFCberg\xE4\ - nge (Conduits), eingesetzte Kommunikationsprotokolle und -verfahren sowie\ - \ Au\xDFenschnittstellen dokumentieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.7 - description: "Bei den Schnittstellen SOLLTEN aktive Netzkomponenten und manuelle\ - \ Datentransferverfahren, z. B. durch Wechseldatentr\xE4ger, ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 - ref_id: IND.1.A4.8 - description: "Zonen und Conduits sch\xFCtzen die OT-Infrastrukur, indem die\ - \ Automatisierungsl\xF6sung in Zellen und Kommunikationskan\xE4len strukturiert\ - \ werden SOLLTE." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A5 - name: Entwicklung eines geeigneten Zonenkonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.1 - description: "Die OT-Infrastruktur SOLLTE auch horizontal in unabh\xE4ngige\ - \ Funktionsbereiche, wie etwa Anlagen, segmentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.2 - description: "Die einzelnen Zonen SOLLTEN, so weit wie m\xF6glich, im Betrieb\ - \ voneinander unabh\xE4ngig sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.3 - description: "Insbesondere die Zonen, in denen der technische Prozess gesteuert\ - \ wird, SOLLTEN bei einem Ausfall der anderen Zonen f\xFCr einen gewissen\ - \ Zeitraum weiter funktionst\xFCchtig sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.4 - description: Auch SOLLTE die Abkopplung nach einem Angriff weiter funktionieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.5 - description: Dieser Zeitraum SOLLTE geeignet definiert und dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 - ref_id: IND.1.A5.6 - description: Das Netz SOLLTE manipulations- und fehlerresistent konzipiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A6 - name: "\xC4nderungsmanagement im OT-Betrieb" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6 - ref_id: IND.1.A6.1 - description: "F\xFCr \xC4nderungen an der OT SOLLTE ein eigener \xC4nderungsprozess\ - \ definiert, dokumentiert und gelebt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A7 - name: "Etablieren einer \xFCbergreifenden Berechtigungsverwaltung zwischen der\ - \ OT und in der Office-IT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.1 - description: "Die Institution SOLLTE einen Prozess zur Verwaltung von Zug\xE4\ - ngen und zugeordneten Berechtigungen f\xFCr den Zugriff auf die OT etablieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.2 - description: "Die Berechtigungsverwaltung SOLLTE den Prozess, die Durchf\xFC\ - hrung und die Dokumentation f\xFCr die Beantragung, Einrichtung und den Entzug\ - \ von Berechtigungen umfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.3 - description: "Die Berechtigungsverwaltung SOLLTE gew\xE4hrleisten, dass Berechtigungen\ - \ nach dem Minimalprinzip vergeben und regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.4 - description: "In der Berechtigungsverwaltung SOLLTEN die Zugriffe auf IT-Systeme\ - \ f\xFCr Mitarbeitende, Administrierende und Dritte geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.5 - description: "Jeder oder jede Beteiligte SOLLTE regelm\xE4\xDFig zu den einzuhaltenden\ - \ Regelungen sensibilisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.6 - description: "Die Einhaltung SOLLTE \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 - ref_id: IND.1.A7.7 - description: Fehlverhalten SOLLTE sanktioniert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A8 - name: Sichere Administration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 - ref_id: IND.1.A8.1 - description: "F\xFCr die Erstkonfiguration, Verwaltung und Fernwartung in der\ - \ OT SOLLTEN entweder sichere Protokolle oder abgetrennte Administrationsnetze\ - \ mit entsprechendem Schutzbedarf genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 - ref_id: IND.1.A8.2 - description: "Der Zugang zu diesen Schnittstellen SOLLTE auf die Berechtigten\ - \ eingeschr\xE4nkt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 - ref_id: IND.1.A8.3 - description: "Es SOLLTE nur der Zugriff auf die Systeme und Funktionen gew\xE4\ - hrt sein, die f\xFCr die jeweilige Administrationsaufgabe ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 - ref_id: IND.1.A8.4 - description: "Die Systeme und Kommunikationskan\xE4le, mit denen die Administration\ - \ oder Fernwartung durchgef\xFChrt wird, SOLLTEN das gleiche Schutzniveau\ - \ aufweisen wie die verwaltete OT-Komponente." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A9 - name: "Restriktiver Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ - ten in ICS-Umgebungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.1 - description: "F\xFCr die Nutzung von Wechseldatentr\xE4gern und mobilen Endger\xE4\ - ten SOLLTEN Regelungen aufgestellt und bekannt gegeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.2 - description: "Der Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ - ten in ICS-Umgebungen SOLLTE beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.3 - description: "F\xFCr Medien und Ger\xE4te von Dienstleistenden SOLLTEN ein Genehmigungsprozess\ - \ und eine Anforderungsliste existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.4 - description: "Die Vorgaben SOLLTEN allen Dienstleistenden bekannt sein und von\ - \ diesen schriftlich best\xE4tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.5 - description: "Auf den OT-Komponenten SOLLTEN alle nicht ben\xF6tigten Schnittstellen\ - \ deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 - ref_id: IND.1.A9.6 - description: "An den aktiven Schnittstellen SOLLTE die Nutzung auf bestimmte\ - \ Ger\xE4te oder Medien eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A10 - name: Monitoring, Protokollierung und Detektion - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.1 - description: Betriebs- und sicherheitsrelevante Ereignisse SOLLTEN zeitnah identifiziert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.2 - description: Hierzu SOLLTE ein geeignetes Log- und Event-Management entwickelt - und umgesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.3 - description: "Das Log- und Event-Management SOLLTE angemessene Ma\xDFnahmen\ - \ umfassen, um sicherheitsrelevante Ereignisse zu erkennen und zu erheben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.4 - description: Es SOLLTE zudem einen Reaktionsplan (Security Incident Response) - enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.5 - description: "Der Reaktionsplan SOLLTE Verfahren zur Behandlung von Sicherheitsvorf\xE4\ - llen festlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 - ref_id: IND.1.A10.6 - description: "Darin abgedeckt sein SOLLTEN die Klassifizierung von Ereignissen,\ - \ Meldewege und Festlegung der einzubeziehenden Organisationseinheiten, Reaktionspl\xE4\ - ne zur Schadensbegrenzung, Analyse und Wiederherstellung von Systemen und\ - \ Diensten sowie die Dokumentation und Nachbereitung von Vorf\xE4llen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A11 - name: Sichere Beschaffung und Systementwicklung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.1 - description: Sollen OT-Systeme beschafft, geplant oder entwickelt werden, SOLLTEN - Regelungen zur Informationssicherheit getroffen und dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.2 - description: Die Unterlagen SOLLTEN Teil der Ausschreibung sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.3 - description: "Bei Beschaffungen, Planungen oder Entwicklungen SOLLTE die Informationssicherheit\ - \ in dem gesamten Lebenszyklus ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.4 - description: "Voraussetzungen und Umsetzungshinweise f\xFCr einen sicheren Betrieb\ - \ von ICS-Komponenten von den herstellenden Unternehmen SOLLTEN fr\xFChzeitig\ - \ eingeplant und umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.5 - description: "F\xFCr ICS-Komponenten SOLLTEN einheitliche und dem Schutzbedarf\ - \ angemessene Anforderungen an die Informationssicherheit definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.6 - description: "Diese SOLLTEN ber\xFCcksichtigt werden, wenn neue ICS-Komponenten\ - \ beschafft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.7 - description: Die Einhaltung und Umsetzung SOLLTE dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.8 - description: "Die Institution SOLLTE dokumentieren, wie sich das System in die\ - \ Konzepte f\xFCr die Zoneneinteilung, das Berechtigungs- und Schwachstellen-Management\ - \ sowie f\xFCr den Virenschutz einf\xFCgt und diese gegebenenfalls anpassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 - ref_id: IND.1.A11.9 - description: Es SOLLTE geregelt sein, wie der Betrieb aufrechterhalten werden - kann, falls einer der Kooperationspartner keine Dienstleistungen mehr anbietet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A12 - name: Etablieren eines Schwachstellen-Managements - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - ref_id: IND.1.A12.1 - description: "F\xFCr den sicheren Betrieb einer OT-Umgebung SOLLTE die Institution\ - \ ein Schwachstellen-Management etablieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - ref_id: IND.1.A12.2 - description: "Das Schwachstellen-Management SOLLTE L\xFCcken in Software, Komponenten,\ - \ Protokollen und Au\xDFenschnittstellen der Umgebung identifizieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - ref_id: IND.1.A12.3 - description: "Au\xDFerdem SOLLTEN sich daraus erforderliche Handlungen ableiten,\ - \ bewerten und umsetzen lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - ref_id: IND.1.A12.4 - description: "Grundlage daf\xFCr SOLLTEN Schwachstellenmeldungen von herstellenden\ - \ Unternehmen oder \xF6ffentlich verf\xFCgbare CERT-Meldungen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 - ref_id: IND.1.A12.5 - description: "Erg\xE4nzend hierzu SOLLTEN organisatorische und technische Audits\ - \ zur Schwachstellenanalyse durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A13 - name: "Notfallplanung f\xFCr OT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 - ref_id: IND.1.A13.1 - description: "Notfallpl\xE4ne f\xFCr den Ausfall und f\xFCr die Kompromittierung\ - \ jeder Zone SOLLTEN definiert, dokumentiert, nach jeder gr\xF6\xDFeren \xC4\ - nderung getestet und regelm\xE4\xDFig ge\xFCbt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 - ref_id: IND.1.A13.2 - description: "Zudem SOLLTE ein wirksames Ersatzverfahren f\xFCr den Ausfall\ - \ der (Fern-) Administrationsm\xF6glichkeit definiert, dokumentiert und getestet\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A14 - name: Starke Authentisierung an OT-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 - ref_id: IND.1.A14.1 - description: "Zur sicheren Authentisierung von privilegierten Benutzenden in\ - \ Steuerungssystemen SOLLTE ein zentraler Verzeichnisdienst eingerichtet werden\ - \ (siehe Baustein ORP.4 Identit\xE4ts- und Berechtigungsmanagement)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 - ref_id: IND.1.A14.2 - description: "Die Authentisierung SOLLTE durch den Einsatz mehrerer Faktoren\ - \ wie Wissen, Besitz oder Biometrie zus\xE4tzlich abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 - ref_id: IND.1.A14.3 - description: "Bei der Planung SOLLTE darauf geachtet werden, dass daraus entstehende\ - \ Abh\xE4ngigkeiten in der Authentisierung bekannt sind und bei der Umsetzung\ - \ der L\xF6sung ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 - ref_id: IND.1.A14.4 - description: "Es SOLLTE sichergestellt werden, dass die Authentisierung von\ - \ betrieblich erforderlichen technischen Konten auch in Notf\xE4llen durchgef\xFC\ - hrt werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A15 - name: "\xDCberwachung von weitreichenden Berechtigungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 - ref_id: IND.1.A15.1 - description: "Die Institution SOLLTE ein Bestandsverzeichnis f\xFChren, das\ - \ alle vergebenen Zutritts-, Zugangs und Zugriffsrechte auf kritische Systeme\ - \ enth\xE4lt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 - ref_id: IND.1.A15.2 - description: "Das Verzeichnis SOLLTE beinhalten, welche Rechte ein bestimmter\ - \ Benutzender oder eine bestimme Benutzende effektiv hat und wer an einem\ - \ bestimmten System \xFCber welche Rechte verf\xFCgt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 - ref_id: IND.1.A15.3 - description: "Alle kritischen administrativen T\xE4tigkeiten SOLLTEN protokolliert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 - ref_id: IND.1.A15.4 - description: "Der IT-Betrieb SOLLTE NICHT die Protokolle l\xF6schen oder manipulieren\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A16 - name: "St\xE4rkere Abschottung der Zonen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 - ref_id: IND.1.A16.1 - description: "Bei hoch schutzbed\xFCrftigen oder schlecht absicherbaren ICS-Umgebungen\ - \ SOLLTEN vorbeugend Schnittstellensysteme mit Sicherheitspr\xFCffunktionen\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 - ref_id: IND.1.A16.2 - description: "Durch Realisierung einer oder mehrerer Anbindungszonen (DMZ) in\ - \ P-A-P-Struktur SOLLTEN durchg\xE4ngige Au\xDFenverbindungen terminiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 - ref_id: IND.1.A16.3 - description: "Erforderliche Sicherheitspr\xFCfungen SOLLTEN so erfolgen, dass\ - \ die ICS-Anlage nicht angepasst werden muss." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A17 - name: "Regelm\xE4\xDFige Sicherheits\xFCberpr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 - ref_id: IND.1.A17.1 - description: "Die Sicherheitskonfiguration von OT-Komponenten SOLLTE regelm\xE4\ - \xDFig und bedarfsorientiert bei pl\xF6tzlich auftretenden neuen, bisher unbekannten\ - \ Gef\xE4hrdungen \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 - ref_id: IND.1.A17.2 - description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE zumindest die exponierten\ - \ Systeme mit Au\xDFenschnittstellen oder Benutzendeninteraktion umfassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 - ref_id: IND.1.A17.3 - description: "Auch das realisierte Sicherheitskonzept SOLLTE regelm\xE4\xDF\ - ig \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 - ref_id: IND.1.A17.4 - description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE als Konfigurationspr\xFC\ - fung oder auch durch automatisierte Konformit\xE4tspr\xFCfungen erfolgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A18 - name: Protokollierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 - ref_id: IND.1.A18.1 - description: "Jede \xC4nderung an ICS-Komponenten MUSS protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 - ref_id: IND.1.A18.2 - description: "Au\xDFerdem M\xDCSSEN alle Zugriffe auf ICS-Komponenten protokolliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A19 - name: Erstellung von Datensicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 - ref_id: IND.1.A19.1 - description: "Programme und Daten M\xDCSSEN regelm\xE4\xDFig gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 - ref_id: IND.1.A19.2 - description: "Auch nach jeder System\xE4nderung an OT-Komponenten MUSS eine\ - \ Sicherung erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A20 - name: Systemdokumentation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 - ref_id: IND.1.A20.1 - description: Es SOLLTE eine erweiterte Systemdokumentation erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 - ref_id: IND.1.A20.2 - description: "Darin SOLLTEN Besonderheiten im Betrieb und die M\xF6glichkeiten\ - \ zur Systemverwaltung festgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 - ref_id: IND.1.A20.3 - description: "Au\xDFerdem SOLLTE dokumentiert werden, wenn ICS-Komponenten ver\xE4\ - ndert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A21 - name: Dokumentation der Kommunikationsbeziehungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 - ref_id: IND.1.A21.1 - description: Es SOLLTE dokumentiert werden, mit welchen Systemen eine ICS-Komponente - welche Daten austauscht. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 - ref_id: IND.1.A21.2 - description: "Au\xDFerdem SOLLTEN die Kommunikationsverbindungen neu integrierter\ - \ ICS-Komponenten dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A22 - name: "Zentrale Systemprotokollierung und -\xFCberwachung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 - ref_id: IND.1.A22.1 - description: Die Protokollierungsdaten von ICS-Komponenten SOLLTEN zentral gespeichert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 - ref_id: IND.1.A22.2 - description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A23 - name: Aussonderung von ICS-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 - ref_id: IND.1.A23.1 - description: "Wenn alte oder defekte ICS-Komponenten ausgesondert werden, SOLLTEN\ - \ alle sch\xFCtzenswerten Daten sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 - ref_id: IND.1.A23.2 - description: Es SOLLTE insbesondere sichergestellt sein, dass alle Zugangsdaten - nachhaltig entfernt wurden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 - ref_id: IND.1.A24 - name: "Kommunikation im St\xF6rfall" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24 - ref_id: IND.1.A24.1 - description: "Alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ - \ SOLLTEN aufgebaut und betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.2.1 - name: Allgemeine ICS-Komponente - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A1 - name: "Einschr\xE4nkung des Zugriffs auf Konfigurations- und Wartungsschnittstellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - ref_id: IND.2.1.A1.1 - description: "Standardm\xE4\xDFig eingerichtete bzw. vom herstellenden Unternehmen\ - \ gesetzte Passw\xF6rter M\xDCSSEN gewechselt werden (siehe ORP.4 Identit\xE4\ - ts- und Berechtigungsmanagement)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - ref_id: IND.2.1.A1.2 - description: Der Wechsel MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - ref_id: IND.2.1.A1.3 - description: "Die Passw\xF6rter M\xDCSSEN sicher hinterlegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - ref_id: IND.2.1.A1.4 - description: "Es MUSS sichergestellt werden, dass nur berechtigte Mitarbeitende\ - \ auf Konfigurations- und Wartungsschnittstellen von ICS-Komponenten zugreifen\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 - ref_id: IND.2.1.A1.5 - description: "Die Konfiguration von ICS-Komponenten DARF NUR nach einer Freigabe\ - \ durch die verantwortliche Person oder nach einer Authentisierung ge\xE4\ - ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A2 - name: "Nutzung sicherer \xDCbertragungs-Protokolle f\xFCr die Konfiguration\ - \ und Wartung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 - ref_id: IND.2.1.A2.1 - description: "F\xFCr die Konfiguration und Wartung von ICS-Komponenten M\xDC\ - SSEN sichere Protokolle eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 - ref_id: IND.2.1.A2.2 - description: "Die Informationen M\xDCSSEN gesch\xFCtzt \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A4 - name: Deaktivierung oder Deinstallation nicht genutzter Dienste, Funktionen - und Schnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4 - ref_id: IND.2.1.A4.1 - description: "Alle nicht genutzten Dienste, Funktionen und Schnittstellen der\ - \ ICS-Komponenten M\xDCSSEN deaktiviert oder deinstalliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A6 - name: Netzsegmentierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 - ref_id: IND.2.1.A6.1 - description: "ICS-Komponenten M\xDCSSEN von der Office-IT getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 - ref_id: IND.2.1.A6.2 - description: "H\xE4ngen ICS-Komponenten von anderen Diensten im Netz ab, SOLLTE\ - \ das ausreichend dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 - ref_id: IND.2.1.A6.3 - description: "ICS-Komponenten SOLLTEN so wenig wie m\xF6glich mit anderen ICS-Komponenten\ - \ kommunizieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A7 - name: Erstellung von Datensicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7 - ref_id: IND.2.1.A7.1 - description: "Vor jeder System\xE4nderung an einer ICS-Komponente M\xDCSSEN\ - \ Backups erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A8 - name: Schutz vor Schadsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 - ref_id: IND.2.1.A8.1 - description: "ICS-Komponenten SOLLTEN durch geeignete Mechanismen vor Schadprogrammen\ - \ gesch\xFCtzt werden (siehe OPS.1.1.4 Schutz vor Schadprogrammen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 - ref_id: IND.2.1.A8.2 - description: "Wird daf\xFCr ein Virenschutzprogramm benutzt, SOLLTEN das Programm\ - \ und die Virensignaturen nach der Freigabe durch das herstellende Unternehmen\ - \ immer auf dem aktuellen Stand sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 - ref_id: IND.2.1.A8.3 - description: "Wenn die Ressourcen auf der ICS-Komponente nicht ausreichend sind\ - \ oder die Echtzeitanforderung durch den Einsatz von Virenschutzprogrammen\ - \ gef\xE4hrdet werden k\xF6nnte, SOLLTEN alternative Ma\xDFnahmen ergriffen\ - \ werden, etwa die Abschottung der ICS-Komponente oder des Produktionsnetzes." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A11 - name: Wartung der ICS-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 - ref_id: IND.2.1.A11.1 - description: Bei der Wartung einer ICS-Komponente SOLLTEN immer die aktuellen - und freigegebenen Sicherheitsupdates eingespielt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 - ref_id: IND.2.1.A11.2 - description: "Updates f\xFCr das Betriebssystem SOLLTEN erst nach Freigabe durch\ - \ das herstellende Unternehmen einer ICS-Komponente installiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 - ref_id: IND.2.1.A11.3 - description: Alternativ SOLLTE die Aktualisierung in einer Testumgebung erprobt - werden, bevor diese in einer produktiven ICS-Komponente eingesetzt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 - ref_id: IND.2.1.A11.4 - description: "F\xFCr kritische Sicherheitsupdates SOLLTE kurzfristig eine Wartung\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A13 - name: Geeignete Inbetriebnahme von ICS-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 - ref_id: IND.2.1.A13.1 - description: Bevor ICS-Komponenten in Betrieb genommen werden, SOLLTEN sie dem - aktuellen, intern freigegebenen Firmware-, Software- und Patch-Stand entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 - ref_id: IND.2.1.A13.2 - description: "Neue ICS-Komponenten SOLLTEN in die bestehenden Betriebs-, \xDC\ - berwachungs- und Informationssicherheitsmanagement-Prozesse eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A16 - name: Schutz externer Schnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16 - ref_id: IND.2.1.A16.1 - description: "Von au\xDFen erreichbare Schnittstellen SOLLTEN vor Missbrauch\ - \ gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A17 - name: "Nutzung sicherer Protokolle f\xFCr die \xDCbertragung von Mess- und Steuerdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 - ref_id: IND.2.1.A17.1 - description: "Mess- oder Steuerdaten SOLLTEN bei der \xDCbertragung vor unberechtigten\ - \ Zugriffen oder Ver\xE4nderungen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 - ref_id: IND.2.1.A17.2 - description: "Bei Anwendungen mit Echtzeitanforderungen SOLLTE gepr\xFCft werden,\ - \ ob dies umsetzbar ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 - ref_id: IND.2.1.A17.3 - description: "Werden Mess- oder Steuerdaten \xFCber \xF6ffentliche Netze \xFC\ - bertragen, SOLLTEN sie angemessen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A18 - name: "Kommunikation im St\xF6rfall" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18 - ref_id: IND.2.1.A18.1 - description: "Es SOLLTE alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ - \ geben, die bei einem St\xF6rfall benutzt werden k\xF6nnen, um handlungsf\xE4\ - hig zu bleiben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A19 - name: Security-Tests - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - ref_id: IND.2.1.A19.1 - description: "Mithilfe von regelm\xE4\xDFigen Security-Tests SOLLTE gepr\xFC\ - ft werden, ob die technischen Sicherheitsma\xDFnahmen noch effektiv umgesetzt\ - \ sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - ref_id: IND.2.1.A19.2 - description: Die Security-Tests SOLLTEN nicht im laufenden Anlagenbetrieb erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - ref_id: IND.2.1.A19.3 - description: Die Tests SOLLTEN auf die Wartungszeiten geplant werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - ref_id: IND.2.1.A19.4 - description: Die Ergebnisse SOLLTEN dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 - ref_id: IND.2.1.A19.5 - description: Erkannte Risiken SOLLTEN bewertet und behandelt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 - ref_id: IND.2.1.A20 - name: "Vertrauensw\xFCrdiger Code" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 - ref_id: IND.2.1.A20.1 - description: "Firmware-Updates oder neue Steuerungsprogramme SOLLTEN NUR eingespielt\ - \ werden, wenn vorher ihre Integrit\xE4t \xFCberpr\xFCft wurde." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 - ref_id: IND.2.1.A20.2 - description: "Sie SOLLTEN nur aus vertrauensw\xFCrdigen Quellen stammen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.2.2 - name: Speicherprogrammierbare Steuerung (SPS) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 - ref_id: IND.2.2.A1 - name: "Erweiterte Systemdokumentation f\xFCr Speicherprogrammierbare Steuerungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 - ref_id: IND.2.2.A1.1 - description: "Steuerungsprogramme und Konfigurationen SOLLTEN immer gesichert\ - \ werden, bevor an ihnen etwas ver\xE4ndert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 - ref_id: IND.2.2.A1.2 - description: "\xC4nderungen an der Konfiguration oder der Tausch von Komponenten\ - \ SOLLTEN vollst\xE4ndig dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 - ref_id: IND.2.2.A3 - name: Zeitsynchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3 - ref_id: IND.2.2.A3.1 - description: "Die Systemzeit SOLLTE automatisch \xFCber eine zentrale automatisierte\ - \ Zeitsynchronisation eingestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.2.3 - name: Sensoren und Aktoren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 - ref_id: IND.2.3.A1 - name: Installation von Sensoren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 - ref_id: IND.2.3.A1.1 - description: "Sensoren M\xDCSSEN in geeigneter Weise installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 - ref_id: IND.2.3.A1.2 - description: "Sensoren M\xDCSSEN ausreichend robust sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 - ref_id: IND.2.3.A1.3 - description: "Sie M\xDCSSEN zuverl\xE4ssig unter den vorhandenen Umgebungsbedingungen\ - \ wie gro\xDFer W\xE4rme, K\xE4lte, Staub, Vibration oder Korrosion messen\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 - ref_id: IND.2.3.A2 - name: Kalibrierung von Sensoren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 - ref_id: IND.2.3.A2.1 - description: "Wenn notwendig, SOLLTEN Sensoren regelm\xE4\xDFig kalibriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 - ref_id: IND.2.3.A2.2 - description: Die Kalibrierungen SOLLTEN geeignet dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 - ref_id: IND.2.3.A2.3 - description: "Der Zugang zur Kalibrierung eines Sensors MUSS gesch\xFCtzt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 - ref_id: IND.2.3.A3 - name: Drahtlose Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 - ref_id: IND.2.3.A3.1 - description: Drahtlose Verwaltungsschnittstellen wie Bluetooth, WLAN oder NFC - SOLLTEN NICHT benutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 - ref_id: IND.2.3.A3.2 - description: Alle nicht benutzten Kommunikationsschnittstellen SOLLTEN deaktiviert - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.2.4 - name: Maschine - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 - ref_id: IND.2.4.A1 - name: Fernwartung durch Maschinen- und Anlagenbauende - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.1 - description: "F\xFCr die Fernwartung einer Maschine MUSS es eine zentrale Richtlinie\ - \ geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.2 - description: "Darin MUSS geregelt werden, wie die jeweiligen Fernwartungsl\xF6\ - sungen einzusetzen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.3 - description: "Die Richtlinie MUSS auch festlegen, wie Kommunikationsverbindungen\ - \ gesch\xFCtzt werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.4 - description: "Hier\xFCber hinaus MUSS sie auch beschreiben, welche Aktivit\xE4\ - ten w\xE4hrend der Fernwartung \xFCberwacht werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.5 - description: "Au\xDFerdem SOLLTE NICHT m\xF6glich sein, dass \xFCber die Fernwartung\ - \ einer Maschine auf andere IT-Systeme oder Maschinen der Institution zugegriffen\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 - ref_id: IND.2.4.A1.6 - description: "Mit Dienstleistenden MUSS vereinbart werden, wie sie die in der\ - \ Maschine gespeicherten Informationen verwerten d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 - ref_id: IND.2.4.A2 - name: "Betrieb nach Ende der Gew\xE4hrleistung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 - ref_id: IND.2.4.A2.1 - description: "Es MUSS ein Prozess etabliert werden, der gew\xE4hrleistet, dass\ - \ die Maschine auch \xFCber den Gew\xE4hrleistungszeitraum hinaus sicher weiterbetrieben\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 - ref_id: IND.2.4.A2.2 - description: "Hierzu M\xDCSSEN mit den Liefernden weitere Unterst\xFCtzungsleistungen\ - \ vertraglich vereinbart werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.2.7 - name: Safety Instrumented Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A1 - name: Erfassung und Dokumentation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1 - ref_id: IND.2.7.A1.1 - description: "Alle zum SIS geh\xF6renden Hardware- und Softwarekomponenten,\ - \ relevante Informationen, Verbindungen sowie Rollen und Zust\xE4ndigkeiten\ - \ M\xDCSSEN gesondert erfasst und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A2 - name: Zweckgebundene Nutzung der Hard- und Softwarekomponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2 - ref_id: IND.2.7.A2.1 - description: "Die Hard- und Softwarekomponenten, die zum SIS geh\xF6ren oder\ - \ im Zusammenhang mit diesem genutzt werden, D\xDCRFEN NICHT zweckentfremdet\ - \ werde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A3 - name: "\xC4nderung des Anwendungsprogramms auf dem Logiksystem" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 - ref_id: IND.2.7.A3.1 - description: "Bereits vorhandene Schutzmechanismen am Logiksystem M\xDCSSEN\ - \ aktiviert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 - ref_id: IND.2.7.A3.2 - description: "Wenn dies nicht m\xF6glich ist, M\xDCSSEN alternative Ma\xDFnahmen\ - \ ergriffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 - ref_id: IND.2.7.A3.3 - description: "Anwendungsprogramme auf den Logiksystemen D\xDCRFEN NUR von autorisierten\ - \ Personen ge\xE4ndert oder zur \xDCbertragung freigegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A4 - name: Verankerung von Informationssicherheit im Functional Safety Management - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 - ref_id: IND.2.7.A4.1 - description: "Alle Prozesse und Zust\xE4ndigkeiten bez\xFCglich der Informationssicherheit\ - \ von SIS SOLLTEN klar definiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 - ref_id: IND.2.7.A4.2 - description: Im Functional Safety Management SOLLTEN diese beschrieben und namentlich - genannt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A5 - name: Notfallmanagement von SIS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 - ref_id: IND.2.7.A5.1 - description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE in einem Vorfallreaktionsplan\ - \ festgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 - ref_id: IND.2.7.A5.2 - description: "Dieser SOLLTE die Rollen und Zust\xE4ndigkeiten festhalten und\ - \ die zu ergreifenden Ma\xDFnahmen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A6 - name: Sichere Planung und Spezifikation des SIS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6 - ref_id: IND.2.7.A6.1 - description: "Versehentliche oder unautorisierte \xC4nderungen an der Spezifikation,\ - \ Implementierung und an den Engineering-Daten SOLLTEN verhindert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A7 - name: "Trennung und Unabh\xE4ngigkeit des SIS von der Umgebung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 - ref_id: IND.2.7.A7.1 - description: "Das SIS SOLLTE r\xFCckwirkungsfrei von seiner Umgebung betrieben\ - \ werden, um seine Sicherheitsfunktionen gew\xE4hrleisten zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 - ref_id: IND.2.7.A7.2 - description: "Prozesse, die potenziell Auswirkungen auf das SIS haben, SOLLTEN\ - \ dem \xC4nderungsmanagementprozess des Functional Safety Management unterstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A8 - name: "Sichere \xDCbertragung von Engineering Daten auf SIS" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8 - ref_id: IND.2.7.A8.1 - description: "Die Integrit\xE4t der Engineering-Daten SOLLTE w\xE4hrend der\ - \ \xDCbertragung auf SIS sichergestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A9 - name: Absicherung der Daten- und Signalverbindungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9 - ref_id: IND.2.7.A9.1 - description: "Sofern keine R\xFCckwirkungsfreiheit von Daten- und Signalverbindungen\ - \ (Unidirektionalit\xE4t) nachgewiesen werden kann, SOLLTEN diese Verbindungen\ - \ geeignet abgesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A10 - name: "Anzeige und Alarmierung von simulierten oder gebr\xFCckten Variablen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 - ref_id: IND.2.7.A10.1 - description: "Variablen der SIS, die durch Ersatzwerte besetzt (simuliert) oder\ - \ von au\xDFen gebr\xFCckt werden, SOLLTEN in geeigneter Weise \xFCberwacht\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 - ref_id: IND.2.7.A10.2 - description: Die Werte SOLLTEN den Benutzenden fortlaufend angezeigt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 - ref_id: IND.2.7.A10.3 - description: Grenzwerte SOLLTEN definiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 - ref_id: IND.2.7.A10.4 - description: "Wenn diese Grenzwerte erreicht werden, SOLLTEN die zust\xE4ndigen\ - \ Personen in geeigneter Weise alarmiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A11 - name: Umgang mit integrierten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11 - ref_id: IND.2.7.A11.1 - description: "F\xFCr integrierte Systeme SOLLTE eine passende Strategie entwickelt\ - \ werden, die den Umgang mit Komponenten regelt, welche die funktionale Sicherheit\ - \ (Safety) betreffen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 - ref_id: IND.2.7.A12 - name: "Sicherstellen der Integrit\xE4t und Authentizit\xE4t von Anwendungsprogrammen\ - \ und Konfigurationsdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 - ref_id: IND.2.7.A12.1 - description: "Es SOLLTE darauf geachtet werden, dass die herstellenden Unternehmen\ - \ geeignete Mechanismen entwickeln und integrieren, die die Integrit\xE4t\ - \ und Authentizit\xE4t von Konfigurationsdaten und Anwendungsprogrammen auf\ - \ dem Logiksystem oder auf den damit verbundenen Sensoren und Aktoren gew\xE4\ - hrleisten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 - ref_id: IND.2.7.A12.2 - description: "Jegliche Software, die als Download angeboten wird, SOLLTE vor\ - \ Manipulation gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 - ref_id: IND.2.7.A12.3 - description: "Verletzungen der Integrit\xE4t SOLLTEN automatisch erkannt und\ - \ gemeldet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind - ref_id: IND.3.2 - name: Fernwartung im industriellen Umfeld - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A1 - name: Planung des Einsatzes der Fernwartung in der OT - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.1 - description: "Im industriellen Umfeld MUSS f\xFCr s\xE4mtliche Einrichtungen\ - \ zur Fernwartung ein einheitliches, zentrales Fernwartungskonzept f\xFCr\ - \ die gesamte OT der Institution erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.2 - description: "In dem OT-Fernwartungskonzept M\xDCSSEN folgende Aspekte ber\xFC\ - cksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.3 - description: "\u2022 spezifische gesetzliche Vorgaben, z. B. Schutz von Personen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.4 - description: "\u2022 spezifische Vorgaben durch anlagenherstellende Unternehmen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.5 - description: "\u2022 spezifische Anforderungen durch dezentrale Infrastrukturen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.6 - description: "\u2022 spezifische Anforderungen an die Anbindungen f\xFCr die\ - \ Fernwartung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.7 - description: "\u2022 spezifische Anforderungen an die Verf\xFCgbarkeit der Fernwartung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.8 - description: "\u2022 spezifische Anforderungen durch Umgebungsbedingungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.9 - description: "\u2022 spezifische Anforderungen durch Bestandsanlagen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.10 - description: "Alle diese Aspekte M\xDCSSEN mit s\xE4mtlichen beteiligten internen\ - \ und externen Stellen abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.11 - description: "S\xE4mtliche Fernwartungszug\xE4nge, \xFCber die Zugriffe auf\ - \ ein ICS der Institution m\xF6glich sind, M\xDCSSEN in einer zentralen Dokumentation\ - \ erfasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.12 - description: "F\xFCr neu anzuschaffende fernwartbare Maschinen M\xDCSSEN die\ - \ Anforderungen an die Informationssicherheit mit den Liefernden abgestimmt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.13 - description: "Das Ziel SOLLTE eine Standardisierung der verwendeten Fernwartungsl\xF6\ - sungen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 - ref_id: IND.3.2.A1.14 - description: "Sobald standardisierte L\xF6sungen f\xFCr die Fernwartung geplant\ - \ werden, M\xDCSSEN sich die OT und die B\xFCro- und Geb\xE4ude-IT gemeinsam\ - \ abstimmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A2 - name: "Konsistente Dokumentation der Fernwartung durch OT sowie B\xFCro- und\ - \ Geb\xE4ude-IT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 - ref_id: IND.3.2.A2.1 - description: "Im industriellen Umfeld M\xDCSSEN die OT und die B\xFCro- und\ - \ Geb\xE4ude-IT s\xE4mtliche OT-Fernwartungszug\xE4nge gemeinsam erfassen\ - \ und dokumentieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 - ref_id: IND.3.2.A2.2 - description: "Insbesondere bei Fernwartungskomponenten, die in Package Units\ - \ integriert sind, M\xDCSSEN auch alle deaktivierten Zug\xE4nge dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A3 - name: "Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender\ - \ OT-Fernwartungszug\xE4nge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 - ref_id: IND.3.2.A3.1 - description: "S\xE4mtliche Anlagen M\xDCSSEN regelm\xE4\xDFig gepr\xFCft werden,\ - \ ob alle ihre Fernwartungszug\xE4nge dem Soll-Zustand, d. h. dem aktuellen\ - \ Fernwartungskonzept f\xFCr die OT, entsprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 - ref_id: IND.3.2.A3.2 - description: "F\xFCr notwendige Abweichungen vom Konzept MUSS innerhalb der\ - \ OT ein Genehmigungsprozess etabliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A4 - name: Verbindliche Regelung der OT-Fernwartung durch Dritte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.1 - description: "Mit s\xE4mtlichen externen Benutzenden, d. h. herstellenden Unternehmen,\ - \ Integratoren und Wartungsdienstleistenden, M\xDCSSEN angemessen restriktive\ - \ Regelungen f\xFCr die OT-Fernwartung vertraglich vereinbart werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.2 - description: "Diese vertraglichen Regelungen M\xDCSSEN zu jedem Zeitpunkt gew\xE4\ - hrleisten, dass externe Benutzende jegliche OT-Fernwartungszug\xE4nge ausschlie\xDF\ - lich kontrolliert und abgestimmt nutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.3 - description: "Intern MUSS festgelegt werden, \xFCber welche Fernwartungszug\xE4\ - nge welche T\xE4tigkeiten durch welche externen Benutzenden zul\xE4ssig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.4 - description: "Dar\xFCber hinaus MUSS festgelegt werden, welche internen Mitarbeitende\ - \ Fernwartungszugriffe und -t\xE4tigkeiten von Externen autorisieren, beobachten\ - \ und gegebenenfalls unterst\xFCtzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.5 - description: "Im industriellen Umfeld MUSS sichergestellt werden, dass Personen\ - \ an oder in Anlagen und Maschinen weder direkt noch indirekt durch eine aktive\ - \ Fernwartung gef\xE4hrdet werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.6 - description: "Insbesondere bei Safety-Maschinen MUSS der oder die interne OT-Mitarbeitende\ - \ sowohl organisatorisch als auch technisch die Hoheit \xFCber den Beginn\ - \ und das Ende der Fernwartung haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 - ref_id: IND.3.2.A4.7 - description: Vertraglich MUSS ausgeschlossen werden, dass der Remote-Zugriff - ohne explizite Zustimmung der internen OT-Mitarbeitenden aufgebaut und aufrechterhalten - werden kann. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A5 - name: "Interne Abstimmung f\xFCr die OT-Fernwartung mit der B\xFCro- und Geb\xE4\ - ude-IT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.1 - description: "Die OT, die B\xFCro- und Geb\xE4ude-IT sowie alle weiteren beteiligten\ - \ Organisationseinheiten M\xDCSSEN angemessen restriktive Regelungen f\xFC\ - r s\xE4mtliche Komponenten und Schnittstellen festlegen, die direkt oder indirekt\ - \ OT-Fernwartung in der Institution erm\xF6glichen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.2 - description: "Diese internen Regelungen M\xDCSSEN zu jedem Zeitpunkt eine kontrollierte\ - \ und abgestimmte Nutzung der jeweiligen OT-Fernwartungszug\xE4nge gew\xE4\ - hrleisten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.3 - description: "Folgende Aspekte M\xDCSSEN geregelt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.4 - description: "\u2022 Prozesse" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.5 - description: "\u2022 Zust\xE4ndigkeiten" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 - ref_id: IND.3.2.A5.6 - description: "\u2022 Berechtigungen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A6 - name: Absicherung jedes Fernwartungszugriffs auf die OT - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - ref_id: IND.3.2.A6.1 - description: "Im industriellen Umfeld MUSS die OT jeden Zugriff auf ein IT-System,\ - \ das einen Fernwartungsdienst f\xFCr die OT bereitstellt, selbst steuern\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - ref_id: IND.3.2.A6.2 - description: "Hierf\xFCr MUSS der Zugriff durch mindestens eine Sicherheitskomponente\ - \ in der Zust\xE4ndigkeit der OT abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - ref_id: IND.3.2.A6.3 - description: "Der Zugang zur Fernwartung SOLLTE f\xFCr alle Zugriffe vereinheitlicht\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - ref_id: IND.3.2.A6.4 - description: Jeder Zugriff SOLLTE mithilfe zentraler Authentisierungskomponenten - kontrolliert und explizit zugelassen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 - ref_id: IND.3.2.A6.5 - description: "Falls Komponenten von OT-Fernwartungszug\xE4ngen dezentral liegen\ - \ oder in Package Units integriert sind, dann M\xDCSSEN diese Zug\xE4nge durch\ - \ eine zus\xE4tzliche Sicherheitskomponente abgesichert werden, die ihrerseits\ - \ zentral liegt und nicht in eine Package Unit integriert ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A7 - name: Technische Entkopplung von Zugriffen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - ref_id: IND.3.2.A7.1 - description: Jeder Fernzugriff auf jegliche Komponenten in einer OT-Zone SOLLTE - entkoppelt erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - ref_id: IND.3.2.A7.2 - description: "In jedem Fernwartungszugang in die OT SOLLTE ein IT-System positioniert\ - \ sein, das die Verbindung vor dem \xDCbergang in die OT-Zielzone terminiert\ - \ und zum Fernwartungsdienst eine neue, \xFCberwachte und reglementierte Kommunikation\ - \ aufbaut." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - ref_id: IND.3.2.A7.3 - description: "Alle f\xFCr die Fernwartung ben\xF6tigten Werkzeuge und Programme\ - \ SOLLTEN auf dem IT-System des Fernwartungszugangs installiert und lauff\xE4\ - hig sein sowie einen Mehrbenutzendenbetrieb unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - ref_id: IND.3.2.A7.4 - description: Das IT-System SOLLTE ein Sprungserver oder ein vergleichbares Application - Layer Gateway (ALG) sein, das in einem dedizierten Sicherheitssegment, z. - B. in einer demilitarisierten Zone (DMZ) positioniert ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 - ref_id: IND.3.2.A7.5 - description: "F\xFCr das IT-System zur Entkopplung der Zugriffe SOLLTE die OT\ - \ zust\xE4ndig sein, d. h. es liegt idealerweise in einer OT-DMZ." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A8 - name: Explizite Freigabe jeder OT-Fernwartungssitzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - ref_id: IND.3.2.A8.1 - description: "Jede Fernwartungssitzung SOLLTE vorab durch einen oder einer OT-Mitarbeitenden\ - \ der betreibenden Institution, der oder die f\xFCr das Zielsystem der Sitzung\ - \ zust\xE4ndig ist, genehmigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - ref_id: IND.3.2.A8.2 - description: Erst danach SOLLTE der oder die OT-Mitarbeitende den Fernwartungszugang - freischalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - ref_id: IND.3.2.A8.3 - description: "Die explizite Freigabe SOLLTE sowohl im Bedarfsfall als auch w\xE4\ - hrend abgestimmter Wartungsfenster eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - ref_id: IND.3.2.A8.4 - description: "Die Freigabe SOLLTE grunds\xE4tzlich nur f\xFCr einen begrenzten\ - \ Zeitraum g\xFCltig sein, d. h. die zust\xE4ndigen OT-Mitarbeitenden behalten\ - \ die Hoheit \xFCber den Zeitpunkt der Fernwartung (siehe Anforderung IND.3.2.A3\ - \ Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender OT-Fernwartungszug\xE4\ - nge)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 - ref_id: IND.3.2.A8.5 - description: "Dar\xFCber hinaus SOLLTEN externe Fernwartungszugriffe ausschlie\xDF\ - lich von innen nach au\xDFen, d. h. aus dem OT-Netz heraus, aufgebaut werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A9 - name: Sicherer Austausch von Dateien begleitend zur OT-Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 - ref_id: IND.3.2.A9.1 - description: "F\xFCr einen Dateiaustausch im Rahmen der OT-Fernwartung, z. B.\ - \ von Konfigurationsdateien, Updates oder Handb\xFCchern, SOLLTE ein sicheres\ - \ Vorgehen etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 - ref_id: IND.3.2.A9.2 - description: "Dies MUSS mindestens eine \xDCberpr\xFCfung auf Schadsoftware\ - \ beinhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 - ref_id: IND.3.2.A9.3 - description: Der Verbindungsaufbau zwischen einem Datenaustauschsystem und der - Dateiquelle SOLLTE nicht automatisiert erfolgen, sondern vor jedem Dateiaustausch - von der OT der Institution initiiert und authentisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 - ref_id: IND.3.2.A9.4 - description: "Ein Dateiaustausch SOLLTE grunds\xE4tzlich protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A10 - name: Beobachtung und Kontrolle von OT-Fernwartungssitzungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 - ref_id: IND.3.2.A10.1 - description: "Im industriellen Umfeld MUSS sichergestellt werden, dass weder\ - \ direkt noch indirekt Personen an oder in Anlagen und Maschinen sowie die\ - \ Anlagen oder Maschinen selbst durch eine aktive Fernwartung gef\xE4hrdet\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 - ref_id: IND.3.2.A10.2 - description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass eine aktive\ - \ Fernwartung den Produktionsprozess nicht beeintr\xE4chtigt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 - ref_id: IND.3.2.A10.3 - description: "Falls Personen- oder Sachsch\xE4den m\xF6glich sind, MUSS sichergestellt\ - \ sein, dass die OT-Mitarbeitenden die Fernwartungst\xE4tigkeiten vor Ort\ - \ mitverfolgen k\xF6nnen (Vier-Augen-Prinzip)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 - ref_id: IND.3.2.A10.4 - description: "Die OT-Mitarbeitenden SOLLTEN bei Bedarf eingreifen k\xF6nnen\ - \ sowie eine Fernwartungssitzung unterbrechen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A11 - name: "Zentrale Verwaltung aller Konten f\xFCr die OT-Fernwartung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11 - ref_id: IND.3.2.A11.1 - description: "F\xFCr den Fernwartungszugriff in der OT SOLLTEN ausschlie\xDF\ - lich Konten verwendet werden, die in einem zentralen Verzeichnisdienst der\ - \ OT oder der Institution verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A12 - name: "Dedizierte Fernwartungsl\xF6sung in der OT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 - ref_id: IND.3.2.A12.1 - description: "F\xFCr die Fernwartung im industriellen Umfeld SOLLTE eine dedizierte\ - \ OT-Fernwartungsl\xF6sung eingesetzt werden, die unabh\xE4ngig von der B\xFC\ - ro- und Geb\xE4ude-IT ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 - ref_id: IND.3.2.A12.2 - description: "Alle weiteren Funktionen auf den IT-Systemen zur OT-Fernwartung,\ - \ insbesondere auch Funktionen zur Administration von IT-Systemen und Netzen\ - \ au\xDFerhalb der OT, SOLLTEN deaktiviert bzw. unterbunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 - ref_id: IND.3.2.A12.3 - description: "Falls eine maximale Unabh\xE4ngigkeit realisiert werden soll,\ - \ SOLLTE auch ein dedizierter Internet-Zugang f\xFCr die OT-Fernwartung genutzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A13 - name: Protokollierung der Inhalte von Fernwartungszugriffen in der OT - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 - ref_id: IND.3.2.A13.1 - description: "F\xFCr die Fernwartung von OT-Anwendungen oder -Systemen SOLLTE\ - \ die Protokollierung so ausgeweitet werden, dass s\xE4mtliche T\xE4tigkeiten\ - \ l\xFCckenlos und umgehend nachvollziehbar sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 - ref_id: IND.3.2.A13.2 - description: "Hierzu SOLLTEN erg\xE4nzend zur Protokollierung von Ereignissen\ - \ und Sitzungsdaten auch die Inhalte von Fernwartungszugriffen protokolliert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 - ref_id: IND.3.2.A14 - name: Technische Kontrolle von Fernwartungssitzungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 - ref_id: IND.3.2.A14.1 - description: "OT-Fernwartungssitzungen SOLLTEN erg\xE4nzend zu IND.3.2.A10 Beobachtung\ - \ und Kontrolle von OT-Fernwartungssitzungen kontinuierlich durch eine technische\ - \ L\xF6sung reglementiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 - ref_id: IND.3.2.A14.2 - description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ - \ und automatisierte Befehle, technisch \xFCberwacht und gegebenenfalls automatisch\ - \ unterbunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 - ref_id: IND.3.2.A14.3 - description: "Zus\xE4tzlich SOLLTEN Sitzungen komponenten\xFCbergreifend \xFC\ - berwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 - ref_id: IND.3.2.A14.4 - description: "Falls technisch \xFCberwacht wird, dann SOLLTE nicht nur bei konkreten\ - \ Regelverst\xF6\xDFen, sondern auch bei Anomalien im Benutzungsverhalten\ - \ ein Alarm ausgel\xF6st werden, z. B. sobald ein pl\xF6tzlich erh\xF6htes\ - \ Kommunikationsvolumen erkannt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - assessable: false - depth: 1 - ref_id: INF - name: Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.1 - name: "Allgemeines Geb\xE4ude" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A1 - name: "Planung der Geb\xE4udeabsicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 - ref_id: INF.1.A1.1 - description: "Je nach der (geplanten) Nutzung eines Geb\xE4udes und dem Schutzbedarf\ - \ der dort betriebenen Gesch\xE4ftsprozesse MUSS festgelegt werden, wie das\ - \ Geb\xE4ude abzusichern ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 - ref_id: INF.1.A1.2 - description: "Bei einem Geb\xE4ude M\xDCSSEN insbesondere Sicherheitsaspekte\ - \ zum Schutz von Personen im Geb\xE4ude, dem Schutz der Wirtschaftsg\xFCter\ - \ und der IT beachtet werden, von Brandschutz \xFCber Elektrik bis hin zur\ - \ Zutrittskontrolle." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 - ref_id: INF.1.A1.3 - description: "Die Sicherheitsanforderungen aus den verschiedenen Bereichen M\xDC\ - SSEN aufeinander abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A2 - name: Angepasste Aufteilung der Stromkreise - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2 - ref_id: INF.1.A2.1 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Absicherung\ - \ und Auslegung der Stromkreise noch den tats\xE4chlichen Bed\xFCrfnissen\ - \ gen\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A3 - name: Einhaltung von Brandschutzvorschriften - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.1 - description: "Die bestehenden Brandschutzvorschriften sowie die Auflagen der\ - \ Bauaufsicht M\xDCSSEN eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.2 - description: "Die Fluchtwege M\xDCSSEN vorschriftsm\xE4\xDFig ausgeschildert\ - \ und freigehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.3 - description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass die Fluchtwege\ - \ benutzbar und frei von Hindernissen sind, damit das Geb\xE4ude in einer\ - \ Gefahrensituation schnell ger\xE4umt werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.4 - description: "Bei der Brandschutzplanung SOLLTE die \xF6rtliche Feuerwehr hinzugezogen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.5 - description: "Unn\xF6tige Brandlasten M\xDCSSEN vermieden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.6 - description: Es MUSS eine Brandschutzbeauftragte oder einen Brandschutzbeauftragten - oder eine mit dem Aufgabengebiet betraute Person geben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 - ref_id: INF.1.A3.7 - description: Diese Person MUSS geeignet geschult sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A4 - name: "Branderkennung in Geb\xE4uden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - ref_id: INF.1.A4.1 - description: "Geb\xE4ude M\xDCSSEN entsprechend der Auflagen in der Baugenehmigung\ - \ und dem Brandschutzkonzept folgend mit einer ausreichenden Anzahl von Rauchmeldern\ - \ ausgestattet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - ref_id: INF.1.A4.2 - description: "Ist eine lokale Alarmierung am Ort des Melders nicht ausreichend,\ - \ M\xDCSSEN alle Melder auf eine Brandmeldezentrale (BMZ) aufgeschaltet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - ref_id: INF.1.A4.3 - description: "Bei Rauchdetektion MUSS eine Alarmierung im Geb\xE4ude ausgel\xF6\ - st werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - ref_id: INF.1.A4.4 - description: "Es MUSS sichergestellt sein, dass alle im Geb\xE4ude anwesenden\ - \ Personen diese wahrnehmen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 - ref_id: INF.1.A4.5 - description: "Die Funktionsf\xE4higkeit aller Rauchmelder sowie aller sonstigen\ - \ Komponenten einer Brandmeldeanlage (BMA) MUSS regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A5 - name: "Handfeuerl\xF6scher" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 - ref_id: INF.1.A5.1 - description: "Zur Sofortbek\xE4mpfung von Br\xE4nden M\xDCSSEN Handfeuerl\xF6\ - scher in der jeweils geeigneten Brandklasse (DIN EN 3 Tragbare Feuerl\xF6\ - scher) in ausreichender Zahl und Gr\xF6\xDFe im Geb\xE4ude zur Verf\xFCgung\ - \ stehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 - ref_id: INF.1.A5.2 - description: "Die Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig gepr\xFCft\ - \ und gewartet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 - ref_id: INF.1.A5.3 - description: "Die Mitarbeitenden SOLLTEN in die Benutzung der Handfeuerl\xF6\ - scher eingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 - ref_id: INF.1.A5.4 - description: "Die Einweisungen SOLLTEN in zweckm\xE4\xDFigen Zeitabst\xE4nden\ - \ wiederholt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A6 - name: "Geschlossene Fenster und T\xFCren" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.1 - description: "Fenster und von au\xDFen zug\xE4ngliche T\xFCren, etwa von Balkonen\ - \ oder Terrassen, M\xDCSSEN zu Zeiten, in denen ein Raum nicht besetzt ist,\ - \ geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.2 - description: "R\xE4ume M\xDCSSEN verschlossen werden, falls dort vertrauliche\ - \ Informationen zur\xFCckgelassen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.3 - description: "Daf\xFCr MUSS es eine entsprechende Anweisung geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.4 - description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung - nachzukommen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.5 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Fenster\ - \ und Innen- sowie Au\xDFent\xFCren nach Verlassen des Geb\xE4udes verschlossen\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 - ref_id: INF.1.A6.6 - description: "Brand- und Rauchschutzt\xFCren D\xDCRFEN NUR dann dauerhaft offen\ - \ gehalten werden, wenn dies durch zugelassene Feststellanlagen erfolgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A7 - name: Zutrittsregelung und -kontrolle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.1 - description: "Der Zutritt zu schutzbed\xFCrftigen Geb\xE4udeteilen und R\xE4\ - umen MUSS geregelt und kontrolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.2 - description: "Es SOLLTE ein Konzept f\xFCr die Zutrittskontrolle existieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.3 - description: "Die Zahl der zutrittsberechtigten Personen SOLLTE f\xFCr jeden\ - \ Bereich auf ein Mindestma\xDF reduziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.4 - description: "Weitere Personen D\xDCRFEN erst Zutritt erhalten, nachdem gepr\xFC\ - ft wurde, ob dies notwendig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.5 - description: Alle erteilten Zutrittsberechtigungen SOLLTEN dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.6 - description: "Die Zutrittskontrollma\xDFnahmen M\xDCSSEN regelm\xE4\xDFig auf\ - \ ihre Wirksamkeit \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 - ref_id: INF.1.A7.7 - description: "Zutrittskontrollen SOLLTEN auch w\xE4hrend Umz\xFCgen soweit wie\ - \ m\xF6glich vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A8 - name: Rauchverbot - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 - ref_id: INF.1.A8.1 - description: "F\xFCr R\xE4ume mit IT oder Datentr\xE4gern, in denen Br\xE4nde\ - \ oder Verschmutzungen zu hohen Sch\xE4den f\xFChren k\xF6nnen, wie Serverr\xE4\ - ume, Datentr\xE4ger- oder Belegarchive, MUSS ein Rauchverbot erlassen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 - ref_id: INF.1.A8.2 - description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass bei der Einrichtung\ - \ oder Duldung von Raucherzonen der Zutrittsschutz nicht umgangen wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A9 - name: "Sicherheitskonzept f\xFCr die Geb\xE4udenutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - ref_id: INF.1.A9.1 - description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Geb\xE4udenutzung\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - ref_id: INF.1.A9.2 - description: "Das Sicherheitskonzept f\xFCr das Geb\xE4ude SOLLTE mit dem Gesamtsicherheitskonzept\ - \ der Institution abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - ref_id: INF.1.A9.3 - description: "Es SOLLTE dokumentiert und regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - ref_id: INF.1.A9.4 - description: "Sch\xFCtzenswerte R\xE4ume oder Geb\xE4udeteile SOLLTEN nicht\ - \ in exponierten oder besonders gef\xE4hrdeten Bereichen untergebracht sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 - ref_id: INF.1.A9.5 - description: Es MUSS ein IT-bezogenes Brandschutzkonzept erstellt und umgesetzt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A10 - name: "Einhaltung einschl\xE4giger Normen und Vorschriften" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10 - ref_id: INF.1.A10.1 - description: "Bei der Planung, der Errichtung und dem Umbau von Geb\xE4uden\ - \ sowie beim Einbau von technischen Einrichtungen M\xDCSSEN alle relevanten\ - \ Normen und Vorschriften ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A12 - name: "Schl\xFCsselverwaltung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - ref_id: INF.1.A12.1 - description: "F\xFCr alle Schl\xFCssel des Geb\xE4udes SOLLTE ein Schlie\xDF\ - plan vorliegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - ref_id: INF.1.A12.2 - description: "Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schl\xFC\ - sseln SOLLTE zentral geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - ref_id: INF.1.A12.3 - description: "Reserveschl\xFCssel SOLLTEN vorgehalten und gesichert, aber f\xFC\ - r Notf\xE4lle griffbereit aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - ref_id: INF.1.A12.4 - description: "Nicht ausgegebene Schl\xFCssel SOLLTEN sicher aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 - ref_id: INF.1.A12.5 - description: "Jede Schl\xFCsselausgabe SOLLTE dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A13 - name: "Regelungen f\xFCr Zutritt zu Verteilern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 - ref_id: INF.1.A13.1 - description: "Der Zutritt zu den Verteilern aller Versorgungseinrichtungen in\ - \ einem Geb\xE4ude SOLLTE im Bedarfsfall schnell m\xF6glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 - ref_id: INF.1.A13.2 - description: "Der Zutritt zu Verteilern SOLLTE auf einen engen Kreis von Berechtigten\ - \ beschr\xE4nkt sein" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A14 - name: Blitzschutzeinrichtungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 - ref_id: INF.1.A14.1 - description: Es SOLLTE eine Blitzschutzanlage nach geltender Norm installiert - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 - ref_id: INF.1.A14.2 - description: "Es SOLLTE ein umfassendes Blitz- und \xDCberspannungsschutzkonzept\ - \ vorhanden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 - ref_id: INF.1.A14.3 - description: "Die Fangeinrichtungen bei Geb\xE4uden mit umfangreicher IT-Ausstattung\ - \ SOLLTEN mindestens der Schutzklasse II gem\xE4\xDF DIN EN 62305 Blitzschutz\ - \ entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 - ref_id: INF.1.A14.4 - description: "Die Blitzschutzanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und gewartet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A15 - name: "Lagepl\xE4ne der Versorgungsleitungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 - ref_id: INF.1.A15.1 - description: "Es SOLLTEN aktuelle Lagepl\xE4ne aller Versorgungsleitungen existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 - ref_id: INF.1.A15.2 - description: "Es SOLLTE geregelt sein, wer die Lagepl\xE4ne aller Versorgungsleitungen\ - \ f\xFChrt und aktualisiert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 - ref_id: INF.1.A15.3 - description: "Die Pl\xE4ne SOLLTEN so aufbewahrt werden, dass ausschlie\xDF\ - lich berechtigte Personen darauf zugreifen k\xF6nnen, sie aber im Bedarfsfall\ - \ schnell verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A16 - name: "Vermeidung von Lagehinweisen auf sch\xFCtzenswerte Geb\xE4udeteile" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 - ref_id: INF.1.A16.1 - description: "Lagehinweise auf schutzw\xFCrdige Bereiche SOLLTEN vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 - ref_id: INF.1.A16.2 - description: "Schutzw\xFCrdige Geb\xE4udebereiche SOLLTEN von au\xDFen nicht\ - \ leicht einsehbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A17 - name: Baulicher Rauchschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 - ref_id: INF.1.A17.1 - description: "Der bauliche Rauchschutz SOLLTE nach Installations- und Umbauarbeiten\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 - ref_id: INF.1.A17.2 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Rauchschutz-Komponenten\ - \ noch funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A18 - name: Brandschutzbegehungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 - ref_id: INF.1.A18.1 - description: "Brandschutzbegehungen SOLLTEN regelm\xE4\xDFig, d. h. mindestens\ - \ ein- bis zweimal im Jahr, stattfinden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 - ref_id: INF.1.A18.2 - description: "Bei Brandschutzbegehungen festgestellte M\xE4ngel SOLLTEN unverz\xFC\ - glich behoben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A19 - name: Information des oder der Brandschutzbeauftragten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 - ref_id: INF.1.A19.1 - description: "Der oder die Brandschutzbeauftragte SOLLTE \xFCber Arbeiten an\ - \ Leitungstrassen, Fluren, Flucht- und Rettungswegen informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 - ref_id: INF.1.A19.2 - description: "Diese Person SOLLTE die ordnungsgem\xE4\xDFe Ausf\xFChrung von\ - \ Brandschutzma\xDFnahmen kontrollieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A20 - name: "Alarmierungsplan und Brandschutz\xFCbungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 - ref_id: INF.1.A20.1 - description: "Es SOLLTE ein Alarmierungsplan f\xFCr die im Brandfall zu ergreifenden\ - \ Ma\xDFnahmen erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 - ref_id: INF.1.A20.2 - description: "Der Alarmierungsplan SOLLTE in regelm\xE4\xDFigen Abst\xE4nden\ - \ \xFCberpr\xFCft und aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 - ref_id: INF.1.A20.3 - description: "Brandschutz\xFCbungen SOLLTEN regelm\xE4\xDFig durchgef\xFChrt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A22 - name: "Sichere T\xFCren und Fenster" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 - ref_id: INF.1.A22.1 - description: "T\xFCren und Fenster SOLLTEN anhand der Schutzziele des zu sichernden\ - \ Bereichs und des Schutzbedarfs der Institution in der passenden Klassifizierung\ - \ nach den einschl\xE4gigen Normen ausgew\xE4hlt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 - ref_id: INF.1.A22.2 - description: "Alle raumumschlie\xDFenden Sicherungsma\xDFnahmen durch Fenster,\ - \ T\xFCren und W\xE4nde SOLLTEN in Bezug auf Einbruch, Brand und Rauch gleichwertig\ - \ und angemessen sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 - ref_id: INF.1.A22.3 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, dass die Sicherheitst\xFC\ - ren und -fenster funktionst\xFCchtig sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A23 - name: Bildung von Sicherheitszonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23 - ref_id: INF.1.A23.1 - description: "R\xE4ume \xE4hnlichen Schutzbedarfs SOLLTEN in Zonen zusammengefasst\ - \ werden, um vergleichbare Risiken einheitlich behandeln und Kosten f\xFC\ - r erforderliche Sicherheitsma\xDFnahmen reduzieren zu k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A24 - name: "Selbstt\xE4tige Entw\xE4sserung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 - ref_id: INF.1.A24.1 - description: "Alle von Wasser gef\xE4hrdeten Bereiche SOLLTEN mit einer selbstt\xE4\ - tigen Entw\xE4sserung ausgestattet sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 - ref_id: INF.1.A24.2 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die aktiven und\ - \ passiven Entw\xE4sserungseinrichtungen noch funktionieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A25 - name: Geeignete Standortauswahl - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 - ref_id: INF.1.A25.1 - description: "Bei Planung und Auswahl des Geb\xE4udestandortes SOLLTE gepr\xFC\ - ft werden, welche Umfeldbedingungen Einfluss auf die Informationssicherheit\ - \ haben k\xF6nnten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 - ref_id: INF.1.A25.2 - description: "Es SOLLTE eine \xDCbersicht \xFCber standortbedingte Gef\xE4hrdungen\ - \ geben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 - ref_id: INF.1.A25.3 - description: "Diesen Gef\xE4hrdungen SOLLTE mit zus\xE4tzlichen kompensierenden\ - \ Ma\xDFnahmen entgegengewirkt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A26 - name: Pforten- oder Sicherheitsdienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - ref_id: INF.1.A26.1 - description: Die Aufgaben des Pforten- oder Sicherheitsdienstes SOLLTEN klar - dokumentiert sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - ref_id: INF.1.A26.2 - description: "Der Pfortendienst SOLLTE alle Personenbewegungen an der Pforte\ - \ und an allen anderen Eing\xE4ngen beobachten und, je nach Sicherheitskonzept,\ - \ kontrollieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - ref_id: INF.1.A26.3 - description: "Alle Mitarbeitenden und Besuchenden SOLLTEN sich bei dem Pfortendienst\ - \ ausweisen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - ref_id: INF.1.A26.4 - description: Besuchende SOLLTEN zu den Besuchten begleitet oder an der Pforte - abgeholt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 - ref_id: INF.1.A26.5 - description: "Der Pfortendienst SOLLTE rechtzeitig dar\xFCber informiert werden,\ - \ wenn sich Zutrittsberechtigungen \xE4ndern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A27 - name: Einbruchschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 - ref_id: INF.1.A27.1 - description: "Es SOLLTEN ausreichende und den \xF6rtlichen Gegebenheiten angepasste\ - \ Ma\xDFnahmen zum Einbruchschutz umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 - ref_id: INF.1.A27.2 - description: "Bei der Planung, der Umsetzung und im Betrieb SOLLTE beim Einbruchschutz\ - \ darauf geachtet werden, dass er gleichwertig und durchg\xE4ngig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 - ref_id: INF.1.A27.3 - description: "Er SOLLTE regelm\xE4\xDFig durch eine fachkundige Person begutachtet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 - ref_id: INF.1.A27.4 - description: Die Regelungen zum Einbruchschutz SOLLTEN den Mitarbeitenden bekannt - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A30 - name: "Auswahl eines geeigneten Geb\xE4udes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 - ref_id: INF.1.A30.1 - description: "Bei der Auswahl eines geeigneten Geb\xE4udes SOLLTE gepr\xFCft\ - \ werden, ob alle f\xFCr die sp\xE4tere Nutzung relevanten Sicherheitsanforderungen\ - \ umgesetzt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 - ref_id: INF.1.A30.2 - description: "F\xFCr jedes Geb\xE4ude SOLLTEN im Vorfeld die vorhandenen Gef\xE4\ - hrdungen und die erforderlichen Sch\xE4den vorbeugenden oder reduzierenden\ - \ Ma\xDFnahmen dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A31 - name: "Auszug aus Geb\xE4uden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 - ref_id: INF.1.A31.1 - description: "Im Vorfeld des Auszugs SOLLTE ein Bestandsverzeichnis aller f\xFC\ - r die Informationssicherheit f\xFCr den Umzug relevanten Objekte wie Hardware,\ - \ Software, Datentr\xE4ger, Ordner oder Schriftst\xFCcke erstellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 - ref_id: INF.1.A31.2 - description: "Nach dem Auszug SOLLTEN alle R\xE4ume nach zur\xFCckgelassenen\ - \ Dingen durchsucht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A32 - name: Brandschott-Kataster - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 - ref_id: INF.1.A32.1 - description: "Es SOLLTE ein Brandschott-Kataster gef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 - ref_id: INF.1.A32.2 - description: In diesem SOLLTEN alle Arten von Schotten individuell aufgenommen - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 - ref_id: INF.1.A32.3 - description: "Nach Arbeiten an Brandschotten SOLLTEN die \xC4nderungen im Kataster\ - \ sp\xE4testens nach vier Wochen eingetragen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A34 - name: Gefahrenmeldeanlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 - ref_id: INF.1.A34.1 - description: "Es SOLLTE eine den R\xE4umlichkeiten und den Risiken angemessene\ - \ Gefahrenmeldeanlage geben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 - ref_id: INF.1.A34.2 - description: "Die Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ - \ gewartet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 - ref_id: INF.1.A34.3 - description: Es MUSS sichergestellt werden, dass diejenigen, die Gefahrenmeldungen - empfangen in der Lage sind, technisch und personell angemessen auf den Alarm - zu reagieren. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A35 - name: Perimeterschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.1 - description: "Abh\xE4ngig vom Schutzbedarf des Geb\xE4udes und abh\xE4ngig vom\ - \ Gel\xE4nde SOLLTE dieses \xFCber einen Perimeterschutz verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.2 - description: 'Hierbei SOLLTEN mindestens folgende Komponenten auf ihren Nutzen - und ihre Umsetzbarkeit hin betrachtet werden:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.3 - description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.4 - description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ - \ einer Grundst\xFCcksgrenze," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.5 - description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ - \ \xDCberwinden der Grundst\xFCcksgrenze," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.6 - description: "\u2022 Ma\xDFnahmen zur Erschwerung des beabsichtigten gewaltsamen\ - \ \xDCberwindens der Grundst\xFCcksgrenze," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.7 - description: "\u2022 Freigel\xE4nde-Sicherungsma\xDFnahmen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.8 - description: "\u2022 Personen- und Fahrzeugdetektion," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.9 - description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ - \ sowie" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 - ref_id: INF.1.A35.10 - description: "\u2022 automatische Alarmierung." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 - ref_id: INF.1.A36 - name: "Regelm\xE4\xDFige Aktualisierungen der Dokumentation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 - ref_id: INF.1.A36.1 - description: "Die Dokumentation eines Geb\xE4udes, z. B. Baupl\xE4ne, Trassenpl\xE4\ - ne, Strangschemata, Fluchtwegpl\xE4ne und Feuerwehrlaufkarten, SOLLTE immer\ - \ auf dem aktuellen Stand gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 - ref_id: INF.1.A36.2 - description: "Es SOLLTE mindestens einmal innerhalb von drei Jahren \xFCberpr\xFC\ - ft werden, ob alle relevanten Pl\xE4ne noch aktuell und korrekt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 - ref_id: INF.1.A36.3 - description: "\xDCber \xC4nderungen SOLLTEN die Mitarbeitenden informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.2 - name: Rechenzentrum sowie Serverraum - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A1 - name: Festlegung von Anforderungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.1 - description: "F\xFCr ein Rechenzentrum M\xDCSSEN angemessene technische und\ - \ organisatorische Vorgaben definiert und umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.2 - description: "Wenn ein Rechenzentrum geplant wird oder geeignete R\xE4umlichkeiten\ - \ ausgew\xE4hlt werden, M\xDCSSEN auch geeignete Sicherheitsma\xDFnahmen unter\ - \ Ber\xFCcksichtigung des Schutzbedarfs der IT-Komponenten (insbesondere der\ - \ Verf\xFCgbarkeit) mit geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.3 - description: Ein Rechenzentrum MUSS insgesamt als geschlossener Sicherheitsbereich - konzipiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.4 - description: Es MUSS zudem unterschiedliche Sicherheitszonen aufweisen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.5 - description: "Daf\xFCr M\xDCSSEN z. B. Verwaltungs-, Logistik-, IT-Betriebs-\ - \ und Support-Bereiche klar voneinander getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 - ref_id: INF.2.A1.6 - description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob unterschiedliche\ - \ Sicherheitszonen eingerichtet werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A2 - name: Bildung von Brandabschnitten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 - ref_id: INF.2.A2.1 - description: "Es M\xDCSSEN geeignete Brand- und Rauchabschnitte f\xFCr die R\xE4\ - umlichkeiten eines Rechenzentrums festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 - ref_id: INF.2.A2.2 - description: "Die Brand- und Rauchabschnitte M\xDCSSEN \xFCber den baurechtlich\ - \ vorgeschriebenen Rahmen hinaus auch Schutz f\xFCr die darin befindlichen\ - \ technischen Einrichtungen und deren Verf\xFCgbarkeit bieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 - ref_id: INF.2.A2.3 - description: Es MUSS verhindert werden, dass sich Brand und Rauch ausbreiten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 - ref_id: INF.2.A2.4 - description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob geeignete\ - \ Brand- und Rauchabschnitte f\xFCr die R\xE4umlichkeiten umsetzbar sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A3 - name: Einsatz einer unterbrechungsfreien Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.1 - description: "F\xFCr alle betriebsrelevanten Komponenten des Rechenzentrums\ - \ MUSS eine unterbrechungsfreie Stromversorgung (USV) installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.2 - description: "Da der Leistungsbedarf von Klimaanlagen oft zu hoch f\xFCr eine\ - \ USV ist, MUSS mindestens die Steuerung der Anlagen an die unterbrechungsfreie\ - \ Stromversorgung angeschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.3 - description: "Im Falle eines Serverraums SOLLTE je nach Verf\xFCgbarkeitsanforderungen\ - \ der IT-Systeme gepr\xFCft werden, ob der Betrieb einer USV notwendig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.4 - description: Die USV MUSS ausreichend dimensioniert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.5 - description: "Bei relevanten \xC4nderungen an den Verbrauchern MUSS \xFCberpr\xFC\ - ft werden, ob die vorhandenen USV-Systeme noch ausreichend dimensioniert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.6 - description: Bei USV-Systemen mit Batterie als Energiespeicher MUSS die Batterie - im erforderlichen Temperaturbereich gehalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.7 - description: "Sie SOLLTE dazu vorzugsweise r\xE4umlich getrennt von der Leistungselektronik\ - \ der USV platziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.8 - description: "Die USV MUSS regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ - higkeit getestet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 - ref_id: INF.2.A3.9 - description: "Daf\xFCr M\xDCSSEN die vom herstellenden Unternehmen vorgesehenen\ - \ Wartungsintervalle eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A4 - name: Notabschaltung der Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - ref_id: INF.2.A4.1 - description: "Es MUSS geeignete M\xF6glichkeiten geben, elektrische Verbraucher\ - \ im Rechenzentrum spannungsfrei zu schalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - ref_id: INF.2.A4.2 - description: "Dabei MUSS darauf geachtet werden, ob und wie eine vorhandene\ - \ USV r\xE4umlich und funktional in die Stromversorgung eingebunden ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - ref_id: INF.2.A4.3 - description: "Werden klassische Not-Aus-Schalter eingesetzt, MUSS darauf geachtet\ - \ werden, dass dar\xFCber nicht das komplette Rechenzentrum abgeschaltet wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - ref_id: INF.2.A4.4 - description: Die Notabschaltung MUSS sinnvoll parzelliert und zielgerichtet - erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 - ref_id: INF.2.A4.5 - description: "Alle Not-Aus-Schalter M\xDCSSEN so gesch\xFCtzt sein, dass sie\ - \ nicht unbeabsichtigt oder unbefugt bet\xE4tigt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A5 - name: Einhaltung der Lufttemperatur und -feuchtigkeit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 - ref_id: INF.2.A5.1 - description: Es MUSS sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit - im IT-Betriebsbereich innerhalb der vorgeschriebenen Grenzwerte liegen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 - ref_id: INF.2.A5.2 - description: "Die tats\xE4chliche W\xE4rmelast in den gek\xFChlten Bereichen\ - \ MUSS in regelm\xE4\xDFigen Abst\xE4nden und nach gr\xF6\xDFeren Umbauten\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 - ref_id: INF.2.A5.3 - description: "Eine vorhandene Klimatisierung MUSS regelm\xE4\xDFig gewartet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 - ref_id: INF.2.A5.4 - description: "Die Parameter Temperatur und Feuchtigkeit M\xDCSSEN mindestens\ - \ so aufgezeichnet werden, dass sich r\xFCckwirkend erkennen l\xE4sst, ob\ - \ Grenzwerte \xFCberschritten wurden, und dass sie bei der Lokalisierung der\ - \ Ursache der Abweichung sowie bei der Beseitigung der Ursache unterst\xFC\ - tzend genutzt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A6 - name: Zutrittskontrolle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.1 - description: Der Zutritt zum Rechenzentrum MUSS kontrolliert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.2 - description: "Zutrittsrechte M\xDCSSEN gem\xE4\xDF der Vorgaben des Bausteins\ - \ ORP.4 Identit\xE4ts- und Berechtigungsmanagement vergeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.3 - description: "F\xFCr im Rechenzentrum t\xE4tige Personen MUSS sichergestellt\ - \ werden, dass diese keinen Zutritt zu IT-Systemen au\xDFerhalb ihres T\xE4\ - tigkeitsbereiches erhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.4 - description: "Alle Zutrittsm\xF6glichkeiten zum Rechenzentrum M\xDCSSEN mit\ - \ Zutrittskontrolleinrichtungen ausgestattet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.5 - description: Jeder Zutritt zum Rechenzentrum MUSS von der Zutrittskontrolle - individuell erfasst werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.6 - description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob eine \xDC\ - berwachung aller Zutrittsm\xF6glichkeiten sinnvoll ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.7 - description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die Regelungen\ - \ zum Einsatz einer Zutrittskontrolle eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 - ref_id: INF.2.A6.8 - description: "Die Anforderungen der Institution an ein Zutrittskontrollsystem\ - \ M\xDCSSEN in einem Konzept ausreichend detailliert dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A7 - name: "Verschlie\xDFen und Sichern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.1 - description: "Alle T\xFCren des Rechenzentrums M\xDCSSEN stets verschlossen\ - \ gehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.2 - description: "Fenster M\xDCSSEN m\xF6glichst schon bei der Planung vermieden\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.3 - description: "Falls sie doch vorhanden sind, M\xDCSSEN sie ebenso wie die T\xFC\ - ren stets verschlossen gehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.4 - description: "T\xFCren und Fenster M\xDCSSEN einen dem Sicherheitsniveau angemessenen\ - \ Schutz gegen Angriffe und Umgebungseinfl\xFCsse bieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.5 - description: "Sie M\xDCSSEN mit einem Sichtschutz versehen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 - ref_id: INF.2.A7.6 - description: "Dabei MUSS beachtet werden, dass die bauliche Ausf\xFChrung aller\ - \ raumbildenden Elemente in Bezug auf die erforderliche Schutzwirkung gleichwertig\ - \ sein muss." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A8 - name: Einsatz einer Brandmeldeanlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - ref_id: INF.2.A8.1 - description: In einem Rechenzentrum MUSS eine Brandmeldeanlage installiert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - ref_id: INF.2.A8.2 - description: "Diese MUSS alle Fl\xE4chen \xFCberwachen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - ref_id: INF.2.A8.3 - description: "Alle Meldungen der Brandmeldeanlage M\xDCSSEN geeignet weitergeleitet\ - \ werden (siehe dazu auch INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - ref_id: INF.2.A8.4 - description: "Die Brandmeldeanlage MUSS regelm\xE4\xDFig gewartet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 - ref_id: INF.2.A8.5 - description: "Es MUSS sichergestellt werden, dass in R\xE4umen des Rechenzentrums\ - \ keine besonderen Brandlasten vorhanden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A9 - name: "Einsatz einer L\xF6sch- oder Brandvermeidungsanlage" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.1 - description: "In einem Rechenzentrum MUSS entweder eine L\xF6sch- oder Brandvermeidungsanlage\ - \ nach aktuellem Stand der Technik installiert sein oder durch technische\ - \ (insbesondere durch eine fl\xE4chendeckende Brandfr\xFCherkennung, siehe\ - \ INF.2.A17 Brandfr\xFCherkennung) und organisatorische Ma\xDFnahmen (geschultes\ - \ Personal und Reaktionspl\xE4ne f\xFCr Meldungen der Brandfr\xFCherkennung)\ - \ sichergestellt sein, dass unmittelbar (innerhalb von maximal 3 Minuten)\ - \ auf Meldungen der Brandfr\xFCherkennung mit schadensminimierenden Ma\xDF\ - nahmen reagiert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.2 - description: "In Serverr\xE4umen ohne L\xF6sch- oder Brandvermeidungsanlage\ - \ M\xDCSSEN Handfeuerl\xF6scher mit geeigneten L\xF6schmitteln in ausreichender\ - \ Zahl und Gr\xF6\xDFe vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.3 - description: "Es MUSS beachtet werden, dass dar\xFCber hinausgehende baurechtliche\ - \ Anforderungen hinsichtlich der Ausstattung mit Handfeuerl\xF6schern davon\ - \ unber\xFChrt bleiben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.4 - description: "Die Feuerl\xF6scher M\xDCSSEN so angebracht werden, dass sie im\ - \ Brandfall leicht zu erreichen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.5 - description: "Jeder Feuerl\xF6scher MUSS regelm\xE4\xDFig gepr\xFCft und gewartet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 - ref_id: INF.2.A9.6 - description: "Alle Mitarbeitenden, die ein Rechenzentrum oder einen Serverraum\ - \ betreten d\xFCrfen, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A10 - name: Inspektion und Wartung der Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 - ref_id: INF.2.A10.1 - description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ - \ M\xDCSSEN mindestens die vom herstellenden Unternehmen empfohlenen oder\ - \ durch Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion\ - \ und Wartung eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 - ref_id: INF.2.A10.2 - description: "Inspektionen und Wartungsarbeiten M\xDCSSEN protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 - ref_id: INF.2.A10.3 - description: "Brandschotten M\xDCSSEN daraufhin gepr\xFCft werden, ob sie unversehrt\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 - ref_id: INF.2.A10.4 - description: "Die Ergebnisse M\xDCSSEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A11 - name: "Automatische \xDCberwachung der Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 - ref_id: INF.2.A11.1 - description: "Alle Einrichtungen der Infrastruktur, wie z. B. Leckage\xFCberwachung,\ - \ Klima-, Strom- und USV-Anlagen, M\xDCSSEN automatisch \xFCberwacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 - ref_id: INF.2.A11.2 - description: "Erkannte St\xF6rungen M\xDCSSEN schnellstm\xF6glich in geeigneter\ - \ Weise weitergeleitet und bearbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 - ref_id: INF.2.A11.3 - description: "Im Falle eines Serverraums SOLLTEN IT- und Supportger\xE4te, die\ - \ nicht oder nur selten von einer Person bedient werden m\xFCssen, mit einer\ - \ Fernanzeige f\xFCr St\xF6rungen ausgestattet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 - ref_id: INF.2.A11.4 - description: "Die verantwortlichen Mitarbeitenden M\xDCSSEN zeitnah alarmiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A12 - name: "Perimeterschutz f\xFCr das Rechenzentrum" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.1 - description: "F\xFCr Rechenzentren SOLLTE ein Perimeterschutz existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.2 - description: "Je nach festgelegtem Schutzbedarf f\xFCr das Rechenzentrum und\ - \ abh\xE4ngig vom Gel\xE4nde SOLLTE der Perimeterschutz aus folgenden Komponenten\ - \ bestehen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.3 - description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.4 - description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ - \ einer Grundst\xFCcksgrenze," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.5 - description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ - \ \xDCberwinden der Grundst\xFCcksgrenze," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.6 - description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltsames\ - \ \xDCberwinden der Grundst\xFCcksgrenze," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.7 - description: "\u2022 Freiland-Sicherungsma\xDFnahmen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.8 - description: "\u2022 \xE4u\xDFere Personen- und Fahrzeugdetektion," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.9 - description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 - ref_id: INF.2.A12.10 - description: "\u2022 automatische Alarmierung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A13 - name: Planung und Installation von Gefahrenmeldeanlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.1 - description: "Basierend auf dem Sicherheitskonzept des Geb\xE4udes SOLLTE geplant\ - \ werden, welche Gefahrenmeldeanlagen f\xFCr welche Bereiche des Rechenzentrums\ - \ ben\xF6tigt und installiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.2 - description: "Hier\xFCber hinaus SOLLTE festgelegt werden, wie mit Alarmmeldungen\ - \ umzugehen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.3 - description: "Das Konzept SOLLTE immer angepasst werden, wenn sich die Nutzung\ - \ der Geb\xE4udebereiche ver\xE4ndert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.4 - description: Es SOLLTE eine zum jeweiligen Einsatzzweck passende Gefahrenmeldeanlage - (GMA) installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.5 - description: "Die Meldungen der GMA SOLLTEN unter Beachtung der daf\xFCr geltenden\ - \ Technischen Anschlussbedingungen (TAB) auf eine Alarmempfangsstelle aufgeschaltet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.6 - description: "Die ausgew\xE4hlte Alarmempfangsstelle MUSS jederzeit erreichbar\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.7 - description: "Sie MUSS technisch sowie personell in der Lage sein, geeignet\ - \ auf die gemeldete Gef\xE4hrdung zu reagieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.8 - description: "Der \xDCbertragungsweg zwischen eingesetzter GMA und Alarmempfangsstelle\ - \ SOLLTE entsprechend den TAB und nach M\xF6glichkeit redundant ausgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 - ref_id: INF.2.A13.9 - description: "Alle vorhandenen \xDCbertragungswege M\xDCSSEN regelm\xE4\xDF\ - ig getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A14 - name: Einsatz einer Netzersatzanlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.1 - description: "Die Energieversorgung eines Rechenzentrums aus dem Netz eines\ - \ Energieversorgungsunternehmens SOLLTE um eine Netzersatzanlage (NEA) erg\xE4\ - nzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.2 - description: "Wird eine NEA verwendet, MUSS sie regelm\xE4\xDFig gewartet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.3 - description: "Bei diesen Wartungen M\xDCSSEN auch Belastungs- und Funktionstests\ - \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.4 - description: "Der Betriebsmittelvorrat einer NEA MUSS regelm\xE4\xDFig daraufhin\ - \ \xFCberpr\xFCft werden, ob er ausreichend ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.5 - description: "Au\xDFerdem MUSS regelm\xE4\xDFig kontrolliert werden, ob die\ - \ Vorr\xE4te noch verwendbar sind, vor allem um die sogenannte Dieselpest\ - \ zu vermeiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.6 - description: "Nach M\xF6glichkeit SOLLTE statt Diesel-Kraftstoff schwefelarmes\ - \ Heiz\xF6l verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.7 - description: "Die Tankvorg\xE4nge von Brennstoffen M\xDCSSEN protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.8 - description: Aus dem Protokoll MUSS die Art des Brennstoffs, die genutzten Additive, - das Tankdatum und die getankte Menge hervorgehen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 - ref_id: INF.2.A14.9 - description: "Wenn f\xFCr einen Serverraum auf den Einsatz einer NEA verzichtet\ - \ wird, SOLLTE alternativ zur NEA eine USV mit einer dem Schutzbedarf angemessenen\ - \ Autonomiezeit realisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A15 - name: "\xDCberspannungsschutzeinrichtung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 - ref_id: INF.2.A15.1 - description: "Es SOLLTE auf Basis der aktuell g\xFCltigen Norm (DIN EN 62305\ - \ Teil 1 bis 4) ein Blitz- und \xDCberspannungsschutzkonzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 - ref_id: INF.2.A15.2 - description: "Dabei sind die f\xFCr den ordnungsgem\xE4\xDFen Betrieb des RZ\ - \ erforderlichen Blitzschutzzonen (LPZ) festzulegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 - ref_id: INF.2.A15.3 - description: "F\xFCr alle f\xFCr den ordnungsgem\xE4\xDFen Betreib des RZ und\ - \ dessen Dienstleistungsbereitstellung erforderlichen Einrichtungen SOLLTE\ - \ das mindestens die LPZ 2 sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 - ref_id: INF.2.A15.4 - description: "Alle Einrichtungen des \xDCberspannungsschutzes SOLLTEN gem\xE4\ - \xDF DIN EN 62305-3, Tabelle E.2 ein Mal im Jahr einer Umfassenden Pr\xFC\ - fung unterzogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A16 - name: Klimatisierung im Rechenzentrum - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - ref_id: INF.2.A16.1 - description: Es SOLLTE sichergestellt werden, dass im Rechenzentrum geeignete - klimatische Bedingungen geschaffen und aufrechterhalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - ref_id: INF.2.A16.2 - description: "Die Klimatisierung SOLLTE f\xFCr das Rechenzentrum ausreichend\ - \ dimensioniert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - ref_id: INF.2.A16.3 - description: "Alle relevanten Werte SOLLTEN st\xE4ndig \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - ref_id: INF.2.A16.4 - description: Weicht ein Wert von der Norm ab, SOLLTE automatisch alarmiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 - ref_id: INF.2.A16.5 - description: "Die Klimaanlagen SOLLTEN in IT-Betriebsbereichen m\xF6glichst\ - \ ausfallsicher sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A17 - name: "Einsatz einer Brandfr\xFCherkennung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - ref_id: INF.2.A17.1 - description: "Ein Rechenzentrum MUSS mit einer Brandfr\xFCherkennungsanlage\ - \ ausgestattet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - ref_id: INF.2.A17.2 - description: "Ein Serverraum SOLLTE mit einer Brandfr\xFCherkennungsanlage ausgestattet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - ref_id: INF.2.A17.3 - description: "Die Meldungen der Brandfr\xFCherkennung M\xDCSSEN an eine st\xE4\ - ndig besetzte Stelle geleitet werden, die eine Kontrolle und Schutzreaktion\ - \ innerhalb von maximal 3 Minuten veranlassen kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - ref_id: INF.2.A17.4 - description: Alternativ MUSS eine automatische Schutzreaktion erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 - ref_id: INF.2.A17.5 - description: "Um ein ausgewogenes Verh\xE4ltnis zwischen Brandschutz und Verf\xFC\ - gbarkeit zu erreichen, MUSS sichergestellt werden, dass sich einander Redundanz\ - \ gebende Einrichtungen nicht gemeinsam im Wirkungsbereich der gleichen Spannungsfreischaltung\ - \ befinden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A19 - name: "Durchf\xFChrung von Funktionstests der technischen Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 - ref_id: INF.2.A19.1 - description: "Die technische Infrastruktur eines Rechenzentrums SOLLTE regelm\xE4\ - \xDFig (zumindest ein- bis zweimal j\xE4hrlich) sowie nach Systemumbauten\ - \ und umfangreichen Reparaturen getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 - ref_id: INF.2.A19.2 - description: Die Ergebnisse SOLLTEN dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 - ref_id: INF.2.A19.3 - description: Besonders ganze Reaktionsketten SOLLTEN einem echten Funktionstest - unterzogen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A21 - name: Ausweichrechenzentrum - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.1 - description: Es SOLLTE ein geografisch separiertes Ausweichrechenzentrum aufgebaut - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.2 - description: "Das Ausweichrechenzentrum SOLLTE so dimensioniert sein, dass alle\ - \ Prozesse der Institution aufrechterhalten werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.3 - description: "Auch SOLLTE es st\xE4ndig einsatzbereit sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.4 - description: "Alle Daten der Institution SOLLTEN regelm\xE4\xDFig ins Ausweichrechenzentrum\ - \ gespiegelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.5 - description: "Der Schwenk auf das Notfallrechenzentrum SOLLTE regelm\xE4\xDF\ - ig getestet und ge\xFCbt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 - ref_id: INF.2.A21.6 - description: "Die \xDCbertragungswege in das Ausweichrechenzentrum SOLLTEN geeignet\ - \ abgesichert und entsprechend redundant ausgelegt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A22 - name: "Durchf\xFChrung von Staubschutzma\xDFnahmen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 - ref_id: INF.2.A22.1 - description: "Bei Bauma\xDFnahmen in einem Rechenzentrum SOLLTEN geeignete Staubschutzma\xDF\ - nahmen definiert, geplant und umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 - ref_id: INF.2.A22.2 - description: "Personen, die selbst nicht an den Bauma\xDFnahmen beteiligt sind,\ - \ SOLLTEN in ausreichend engen Zeitabst\xE4nden kontrollieren, ob die Staubschutzma\xDF\ - nahmen ordnungsgem\xE4\xDF funktionieren und die Regelungen zum Staubschutz\ - \ eingehalten werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A23 - name: "Zweckm\xE4\xDFiger Aufbau der Verkabelung im Rechenzentrum" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 - ref_id: INF.2.A23.1 - description: "Kabeltrassen in Rechenzentren SOLLTEN sorgf\xE4ltig geplant und\ - \ ausgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 - ref_id: INF.2.A23.2 - description: "Trassen SOLLTEN hinsichtlich Anordnung und Dimensionierung so\ - \ ausgelegt sein, dass eine Trennung der Spannungsebenen sowie eine sinnvolle\ - \ Verteilung von Kabeln auf den Trassen m\xF6glich ist und dass auch f\xFC\ - r zuk\xFCnftige Bedarfsmehrung ausreichend Platz zur Verf\xFCgung steht." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 - ref_id: INF.2.A23.3 - description: "Zur optimalen Versorgung von IT-Hardware, die \xFCber zwei Netzteile\ - \ verf\xFCgt, SOLLTE ab der Niederspannungshauptverteilung f\xFCr die IT-Betriebsbereiche\ - \ eine zweiz\xFCgige sogenannte A-B-Versorgung aufgebaut werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 - ref_id: INF.2.A23.4 - description: "Einander Redundanz gebende Leitungen SOLLTEN \xFCber getrennte\ - \ Trassen verlegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A24 - name: "Einsatz von Video\xFCberwachungsanlagen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - ref_id: INF.2.A24.1 - description: "Die Zutrittskontrolle und die Einbruchmeldung SOLLTEN durch Video\xFC\ - berwachungsanlagen erg\xE4nzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - ref_id: INF.2.A24.2 - description: "Eine Video\xFCberwachung SOLLTE in das gesamte Sicherheitskonzept\ - \ eingebettet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - ref_id: INF.2.A24.3 - description: Bei der Planung, Konzeption und eventuellen Auswertung von Videoaufzeichnungen - MUSS der Datenschutzbeauftragte immer mit einbezogen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - ref_id: INF.2.A24.4 - description: "Die f\xFCr eine Video\xFCberwachung ben\xF6tigten zentralen Technikkomponenten\ - \ SOLLTEN in einer geeigneten Umgebung gesch\xFCtzt aufgestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 - ref_id: INF.2.A24.5 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Video\xFC\ - berwachungsanlage korrekt funktioniert und ob die mit dem oder der Datenschutzbeauftragten\ - \ abgestimmten Blickwinkel eingehalten werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A25 - name: Redundante Auslegung von unterbrechungsfreien Stromversorgungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 - ref_id: INF.2.A25.1 - description: USV-Systeme SOLLTEN modular und so aufgebaut sein, dass der Ausfall - durch ein redundantes Modul unterbrechungsfrei kompensiert wird. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 - ref_id: INF.2.A25.2 - description: "Sofern f\xFCr die IT-Betriebsbereiche eine zweiz\xFCgige sogenannte\ - \ A-B-Versorgung aufgebaut ist, SOLLTE jeder der beiden Strompfade mit einem\ - \ eigenst\xE4ndigen USV-System ausgestattet sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A26 - name: Redundante Auslegung von Netzersatzanlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 - ref_id: INF.2.A26.1 - description: Netzersatzanlagen SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 - ref_id: INF.2.A26.2 - description: "Hinsichtlich der Wartung M\xDCSSEN auch redundante NEAs entsprechend\ - \ INF.2.A14 Einsatz einer Netzersatzanlage behandelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A28 - name: "Einsatz von h\xF6herwertigen Gefahrenmeldeanlagen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28 - ref_id: INF.2.A28.1 - description: "F\xFCr Rechenzentrumsbereiche mit erh\xF6htem Schutzbedarf SOLLTEN\ - \ ausschlie\xDFlich Gefahrenmeldeanlagen der VdS-Klasse C (gem\xE4\xDF VDS-Richtlinie\ - \ 2311) eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A29 - name: "Vermeidung und \xDCberwachung nicht erforderlicher Leitungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.1 - description: "In einem Rechenzentrum D\xDCRFEN NUR Leitungen verlegt werden,\ - \ die der unmittelbaren Versorgung der im Rechenzentrum aufgebauten Technik\ - \ (in der Regel IT- und gegebenenfalls K\xFChltechnik) dienen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.2 - description: "Ist es aus baulichen Gr\xFCnden unabwendbar, Leitungen durch das\ - \ Rechenzentrum zu f\xFChren, um andere Bereiche als die des Rechenzentrums\ - \ zu versorgen, MUSS dies einschlie\xDFlich Begr\xFCndung dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.3 - description: "Die Risiken, die von solchen Leitungen ausgehen, M\xDCSSEN durch\ - \ geeignete Ma\xDFnahmen minimiert werden, z. B. durch Einhausung und \xDC\ - berwachung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.4 - description: "Durch Serverr\xE4ume d\xFCrfen vorgenannte Leitungen gef\xFChrt\ - \ werden, ohne zu begr\xFCnden, warum dies unabwendbar ist, diese M\xDCSSEN\ - \ aber genauso behandelt werden, wie f\xFCr das Rechenzentrum beschrieben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.5 - description: "Meldungen aus der \xDCberwachung der Leitungen M\xDCSSEN unverz\xFC\ - glich hinsichtlich der Gef\xE4hrdungsrelevanz gepr\xFCft und bewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 - ref_id: INF.2.A29.6 - description: "Gegenma\xDFnahmen M\xDCSSEN entsprechend der erkannten Gef\xE4\ - hrdungsrelevanz zeitgerecht umgesetzt werden (siehe auch INF.2.A13 Planung\ - \ und Installation von Gefahrenmeldeanlagen)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 - ref_id: INF.2.A30 - name: "Anlagen zur, L\xF6schung oder Vermeidung von Br\xE4nden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30 - ref_id: INF.2.A30.1 - description: "Ein Rechenzentrum SOLLTE mit einer automatischen L\xF6sch- oder\ - \ Brandvermeidungsanlage ausgestattet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.5 - name: "Raum sowie Schrank f\xFCr technische Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A1 - name: Planung der Raumabsicherung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 - ref_id: INF.5.A1.1 - description: "F\xFCr einen Raum f\xFCr technische Infrastruktur M\xDCSSEN angemessene\ - \ technische und organisatorische Vorgaben definiert und umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 - ref_id: INF.5.A1.2 - description: "Dabei MUSS das f\xFCr den Raum zu erreichende Schutzniveau ber\xFC\ - cksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 - ref_id: INF.5.A1.3 - description: "Bei der Planung M\xDCSSEN sowohl gesetzliche Regelungen und Vorschriften\ - \ als auch potenzielle Gef\xE4hrdungen durch Umwelteinfl\xFCsse, Einbruch\ - \ und Sabotage beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A2 - name: "Lage und Gr\xF6\xDFe des Raumes f\xFCr technische Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 - ref_id: INF.5.A2.1 - description: "Der Raum f\xFCr technische Infrastruktur DARF KEIN Durchgangsraum\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 - ref_id: INF.5.A2.2 - description: "Es MUSS sichergestellt sein, dass ausreichend Fl\xE4che f\xFC\ - r Fluchtwege und Arbeitsfl\xE4che vorhanden ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A3 - name: Zutrittsregelung und -kontrolle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 - ref_id: INF.5.A3.1 - description: "Der Raum f\xFCr technische Infrastruktur MUSS gegen unberechtigten\ - \ Zutritt gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 - ref_id: INF.5.A3.2 - description: "Es MUSS geregelt werden, welche Personen f\xFCr welchen Zeitraum,\ - \ f\xFCr welche Bereiche und zu welchem Zweck den Raum betreten d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 - ref_id: INF.5.A3.3 - description: "Dabei MUSS sichergestellt sein, dass keine unn\xF6tigen oder zu\ - \ weitreichenden Zutrittsrechte vergeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 - ref_id: INF.5.A3.4 - description: "Alle Zutritte zum Raum f\xFCr technische Infrastruktur SOLLTEN\ - \ von der Zutrittskontrolle individuell erfasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A4 - name: Schutz vor Einbruch - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 - ref_id: INF.5.A4.1 - description: "Der Raum MUSS vor Einbruch gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 - ref_id: INF.5.A4.2 - description: "Je nach erforderlichem Sicherheitsniveau des Raumes f\xFCr technische\ - \ Infrastruktur SOLLTEN geeignete raumbildende Teile wie W\xE4nde, Decken\ - \ und B\xF6den sowie Fenster und T\xFCren mit entsprechenden Widerstandsklassen\ - \ nach DIN EN 1627 ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A5 - name: "Vermeidung sowie Schutz vor elektromagnetischen St\xF6rfeldern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 - ref_id: INF.5.A5.1 - description: "Elektromagnetische Felder M\xDCSSEN in unmittelbarer N\xE4he zum\ - \ Raum f\xFCr technische Infrastruktur vermieden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 - ref_id: INF.5.A5.2 - description: "Ein ausreichender Abstand zu gro\xDFen Maschinen wie z. B. Aufzugsmotoren\ - \ MUSS eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A6 - name: Minimierung von Brandlasten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 - ref_id: INF.5.A6.1 - description: "Brandlasten innerhalb und in der direkten Umgebung des Raumes\ - \ f\xFCr technische Infrastruktur M\xDCSSEN auf ein Minimum reduziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 - ref_id: INF.5.A6.2 - description: "Auf brennbare Materialien f\xFCr raumbildende Teile MUSS verzichtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A7 - name: Verhinderung von Zweckentfremdung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7 - ref_id: INF.5.A7.1 - description: "Der Raum f\xFCr technische Infrastruktur DARF NICHT zweckentfremdet\ - \ werden, z. B. als Abstellraum oder Putzmittellager." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A8 - name: Vermeidung von unkontrollierter elektrostatischer Entladung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8 - ref_id: INF.5.A8.1 - description: "Im Raum f\xFCr technische Infrastruktur SOLLTE ein ableitf\xE4\ - higer Fu\xDFbodenbelag nach DIN EN 14041 verlegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A9 - name: Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9 - ref_id: INF.5.A9.1 - description: "Das Stromversorgungsnetz, \xFCber das der Raum f\xFCr technische\ - \ Infrastruktur und die daran angeschlossenen Endger\xE4te versorgt werden,\ - \ MUSS als TN-S-System errichtet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A10 - name: Einhaltung der Lufttemperatur und -Feuchtigkeit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 - ref_id: INF.5.A10.1 - description: "Es SOLLTE sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit\ - \ im Raum f\xFCr technische Infrastruktur innerhalb der Grenzen liegen, die\ - \ in den Datenbl\xE4ttern der darin betriebenen Ger\xE4te genannt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 - ref_id: INF.5.A10.2 - description: "Daf\xFCr SOLLTE eine geeignete raumlufttechnische Anlage eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 - ref_id: INF.5.A10.3 - description: Diese SOLLTE ausreichend dimensioniert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A11 - name: "Vermeidung von Leitungen mit gef\xE4hrdenden Fl\xFCssigkeiten und Gasen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 - ref_id: INF.5.A11.1 - description: "Im Raum f\xFCr technische Infrastruktur SOLLTE es nur Leitungen\ - \ geben, die f\xFCr den Betrieb der Technik im Raum unbedingt erforderlich\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 - ref_id: INF.5.A11.2 - description: "Leitungen wie Abwasserleitungen, Frischwasserleitungen, Gas- und\ - \ Heizungsrohre sowie Leitungen f\xFCr Treibstoff oder Ferndampf SOLLTEN NICHT\ - \ durch den Raum gef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A12 - name: "Schutz vor versehentlicher Besch\xE4digung von Zuleitungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12 - ref_id: INF.5.A12.1 - description: "Zuleitungen au\xDFerhalb des Raumes f\xFCr technische Infrastruktur\ - \ SOLLTEN gegen versehentliche Besch\xE4digung gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A13 - name: "Schutz vor Sch\xE4digung durch Brand und Rauchgase" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 - ref_id: INF.5.A13.1 - description: "Unabh\xE4ngig von den f\xFCr den Raum geltenden baurechtlichen\ - \ Brandschutzvorgaben SOLLTEN alle raumbildenden Teile sowie T\xFCren und\ - \ Fenster gleichwertig rauchdicht sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 - ref_id: INF.5.A13.2 - description: "Sie SOLLTEN Feuer und Rauch f\xFCr mindestens 30 Minuten standhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 - ref_id: INF.5.A13.3 - description: Brandlasten im Bereich der Leitungstrassen SOLLTEN vermieden werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A14 - name: Minimierung von Brandgefahren aus Nachbarbereichen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14 - ref_id: INF.5.A14.1 - description: "Der Raum SOLLTE NICHT in unmittelbarer N\xE4he zu anderen R\xE4\ - umlichkeiten mit brennbaren Materialien liegen, deren Menge \xFCber eine b\xFC\ - rotypische Nutzung hinaus geht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A15 - name: "Blitz- und \xDCberspannungsschutz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 - ref_id: INF.5.A15.1 - description: "Es SOLLTE ein Blitz- und \xDCberspannungsschutzkonzept nach dem\ - \ Prinzip der energetischen Koordination (siehe DIN EN 62305) erstellt und\ - \ umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 - ref_id: INF.5.A15.2 - description: "Der Raum f\xFCr technische Infrastruktur SOLLTE mindestens der\ - \ Blitzschutzzone 2 (LPZ 2) zugeordnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 - ref_id: INF.5.A15.3 - description: "Die Blitz- und \xDCberspannungsschutzeinrichtungen SOLLTEN regelm\xE4\ - \xDFig und anlassbezogen auf ihre Funktion \xFCberpr\xFCft und, falls erforderlich,\ - \ ersetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A16 - name: Einsatz einer unterbrechungsfreien Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.1 - description: "Es SOLLTE gepr\xFCft werden, welche Ger\xE4te an eine USV angeschlossen\ - \ werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.2 - description: "Falls eine USV erforderlich ist, SOLLTE die St\xFCtzzeit der USV\ - \ so ausgelegt sein, dass alle versorgten Komponenten sicher herunterfahren\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.3 - description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Batterien von USV-Anlagen\ - \ altern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.4 - description: "Bei relevanten \xC4nderungen SOLLTE \xFCberpr\xFCft werden, ob\ - \ die vorhandenen USV-Anlagen noch ausreichend dimensioniert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.5 - description: Die Batterie der USV SOLLTE im erforderlichen Temperaturbereich - gehalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.6 - description: "Die USV SOLLTE regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ - higkeit getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 - ref_id: INF.5.A16.7 - description: "Daf\xFCr SOLLTEN die vom herstellenden Unternehmen vorgesehenen\ - \ Wartungsintervalle eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A17 - name: Inspektion und Wartung der Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 - ref_id: INF.5.A17.1 - description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ - \ SOLLTEN mindestens die vom herstellenden Unternehmen empfohlenen oder durch\ - \ Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion und Wartung\ - \ eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 - ref_id: INF.5.A17.2 - description: "Kabel- und Rohrdurchf\xFChrungen durch brand- und rauchabschnittbegrenzende\ - \ W\xE4nde SOLLTEN daraufhin gepr\xFCft werden, ob die Schotten die f\xFC\ - r den jeweiligen Einsatzzweck erforderliche Zulassung haben und unversehrt\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 - ref_id: INF.5.A17.3 - description: "Inspektionen und Wartungsarbeiten M\xDCSSEN geeignet protokolliert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A18 - name: "Lage des Raumes f\xFCr technische Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 - ref_id: INF.5.A18.1 - description: "Der Raum f\xFCr technische Infrastruktur SOLLTE so im Geb\xE4\ - ude angeordnet werden, dass er weder internen noch externen Gef\xE4hrdungen\ - \ wie z. B. Regen, Wasser oder Abwasser ausgesetzt ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 - ref_id: INF.5.A18.2 - description: "In oberirdischen Geschossen SOLLTE darauf geachtet werden, dass\ - \ der Raum nicht durch Sonneneinstrahlung erw\xE4rmt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 - ref_id: INF.5.A18.3 - description: "Wird der Raum im obersten Geschoss des Geb\xE4udes untergebracht,\ - \ SOLLTE sichergestellt werden, dass kein Wasser \xFCber das Dach eindringen\ - \ kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A19 - name: "Redundanz des Raumes f\xFCr technische Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 - ref_id: INF.5.A19.1 - description: Der Raum SOLLTE redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 - ref_id: INF.5.A19.2 - description: "Beide R\xE4ume SOLLTEN eine eigene Elektrounterverteilung erhalten,\ - \ die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 - ref_id: INF.5.A19.3 - description: "Beide R\xE4ume SOLLTEN unterschiedlichen Brandabschnitten zugeordnet\ - \ sein und, sofern erforderlich, jeweils \xFCber eine eigene raumlufttechnische\ - \ Anlage verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A20 - name: Erweiterter Schutz vor Einbruch und Sabotage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.1 - description: Der Raum SOLLTE fensterlos sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.2 - description: "Sind dennoch Fenster vorhanden, SOLLTEN sie je nach Geschossh\xF6\ - he gegen Eindringen von au\xDFen angemessen gesichert sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.3 - description: "Gibt es neben Fenstern und T\xFCren weitere betriebsnotwendige\ - \ \xD6ffnungen, wie z. B. L\xFCftungskan\xE4le, SOLLTEN diese gleichwertig\ - \ zur Raumh\xFClle gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.4 - description: "Es SOLLTEN Einbruchmeldeanlagen nach VdS Klasse C (gem\xE4\xDF\ - \ VdS-Richtlinie 2311) eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.5 - description: "Alle erforderlichen T\xFCren, Fenster und sonstige gesch\xFCtzte\ - \ \xD6ffnungen SOLLTEN \xFCber die Einbruchmeldeanlage auf Verschluss, Verriegelung\ - \ und Durchbruch \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.6 - description: Vorhandene Fenster SOLLTEN stets geschlossen sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.7 - description: "Die Widerstandsklasse von raumbildenden Teilen, Fenstern und T\xFC\ - ren SOLLTE dem Sicherheitsbedarf des Raumes angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 - ref_id: INF.5.A20.8 - description: "Die Qualit\xE4t der Schl\xF6sser, Schlie\xDFzylinder und Schutzbeschl\xE4\ - ge SOLLTE der Widerstandsklasse der T\xFCr entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A22 - name: Redundante Auslegung der Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 - ref_id: INF.5.A22.1 - description: "Die Stromversorgung SOLLTE durchg\xE4ngig vom Niederspannungshauptverteiler\ - \ (NSHV) bis zum Verbraucher im Raum f\xFCr technische Infrastruktur zweiz\xFC\ - gig sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 - ref_id: INF.5.A22.2 - description: Diese Stromversorgungen SOLLTEN sich in getrennten Brandabschnitten - befinden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 - ref_id: INF.5.A22.3 - description: Der NSHV SOLLTE betriebsredundant ausgelegt sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A23 - name: Netzersatzanlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 - ref_id: INF.5.A23.1 - description: "Die Energieversorgung der Institution SOLLTE um eine Netzersatzanlage\ - \ (NEA) erg\xE4nzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 - ref_id: INF.5.A23.2 - description: "Der Betriebsmittelvorrat einer NEA SOLLTE regelm\xE4\xDFig kontrolliert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 - ref_id: INF.5.A23.3 - description: "Die NEA SOLLTE au\xDFerdem regelm\xE4\xDFig gewartet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 - ref_id: INF.5.A23.4 - description: "Bei diesen Wartungen SOLLTEN auch Belastungs- und Funktionstests\ - \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A24 - name: "L\xFCftung und K\xFChlung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 - ref_id: INF.5.A24.1 - description: "Die L\xFCftungs- und K\xFChltechnik SOLLTE betriebsredundant ausgelegt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 - ref_id: INF.5.A24.2 - description: "Es SOLLTE sichergestellt werden, dass diese Anlagen regelm\xE4\ - \xDFig gewartet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 - ref_id: INF.5.A24.3 - description: Bei sehr hohem Schutzbedarf SOLLTE auch eine Wartungsredundanz - vorhanden sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A25 - name: "Erh\xF6hter Schutz vor Sch\xE4digung durch Brand und Rauchgase" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.1 - description: "Raumbildende Teile sowie T\xFCren, Fenster und L\xFCftungsklappen\ - \ SOLLTEN Feuer und Rauch f\xFCr mindestens 90 Minuten standhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.2 - description: "Die Zuleitungen SOLLTEN einen Funktionserhalt von mindestens 90\ - \ Minuten gew\xE4hrleisten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.3 - description: "Bei sehr hohem Schutzbedarf SOLLTE die Raumh\xFClle wie ein eigener\ - \ Brandabschnitt ausgebildet sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.4 - description: "In vorhandenen L\xFCftungskan\xE4len SOLLTEN Brandschutzklappen\ - \ eingebaut werden, die \xFCber Rauchmelder angesteuert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.5 - description: "Trassen SOLLTEN bis zum Eintritt in den Raum in getrennten Brandabschnitten\ - \ gef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.6 - description: "Bei sehr hohem Schutzbedarf SOLLTEN ein Brandfr\xFChesterkennungssystem\ - \ und eine automatische L\xF6schanlage vorhanden sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.7 - description: Brand- und Rauchmelder SOLLTEN an die Brandmelderzentrale angeschlossen - sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 - ref_id: INF.5.A25.8 - description: "Das Brandfr\xFChesterkennungssystem und die automatische L\xF6\ - schanlage SOLLTEN an die zweiz\xFCgige Stromversorgung mit USV und NEA angebunden\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 - ref_id: INF.5.A26 - name: "\xDCberwachung der Energieversorgung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26 - ref_id: INF.5.A26.1 - description: "Es SOLLTEN geeignete \xDCberwachungseinrichtungen eingebaut und\ - \ betrieben werden, die unzul\xE4ssig hohe Str\xF6me auf dem Schutzleitersystem\ - \ und damit auf Leitungsschirmen sowie potenziell st\xF6rende Oberschwingungen\ - \ erfassen und an geeigneter Stelle zur Nachverfolgung und Behebung anzeigen\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.6 - name: "Datentr\xE4gerarchiv" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A1 - name: "Handfeuerl\xF6scher" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 - ref_id: INF.6.A1.1 - description: "Im Brandfall M\xDCSSEN im Datentr\xE4gerarchiv geeignete Handfeuerl\xF6\ - scher leicht erreichbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 - ref_id: INF.6.A1.2 - description: "Diese Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig inspiziert\ - \ und gewartet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 - ref_id: INF.6.A1.3 - description: "Mitarbeitende, die in der N\xE4he eines Datentr\xE4gerarchivs\ - \ t\xE4tig sind, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A2 - name: Zutrittsregelung und -kontrolle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.1 - description: "Der Zutritt zum Datentr\xE4gerarchiv DARF NUR f\xFCr befugte Personen\ - \ m\xF6glich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.2 - description: "Der Zutritt MUSS auf ein Mindestma\xDF an Mitarbeitenden reduziert\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.3 - description: Daher MUSS der Zutritt geregelt und kontrolliert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.4 - description: "F\xFCr die Zutrittskontrolle MUSS ein Konzept entwickelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.5 - description: "Die darin festgelegten Ma\xDFnahmen f\xFCr die Zutrittskontrolle\ - \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie noch wirksam\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 - ref_id: INF.6.A2.6 - description: "Um es zu erschweren bzw. zu verhindern, dass eine Zutrittskontrolle\ - \ umgangen wird, MUSS der komplette Raum einen dem Schutzbedarf gen\xFCgenden\ - \ mechanischen Widerstand aufweisen, der keinesfalls unter RC2 (gem\xE4\xDF\ - \ DIN EN 1627) liegen darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A3 - name: Schutz vor Staub und anderer Verschmutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 - ref_id: INF.6.A3.1 - description: "Es MUSS sichergestellt werden, dass die Datentr\xE4ger im Datentr\xE4\ - gerarchiv ausreichend vor Staub und Verschmutzung gesch\xFCtzt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 - ref_id: INF.6.A3.2 - description: "Die Anforderungen daf\xFCr M\xDCSSEN bereits in der Planungsphase\ - \ analysiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 - ref_id: INF.6.A3.3 - description: "Es MUSS in Datentr\xE4gerarchiven ein striktes Rauchverbot eingehalten\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A4 - name: "Geschlossene Fenster und abgeschlossene T\xFCren" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 - ref_id: INF.6.A4.1 - description: "In einem Datentr\xE4gerarchiv SOLLTEN, wenn m\xF6glich, keine\ - \ Fenster vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 - ref_id: INF.6.A4.2 - description: "Gibt es dennoch Fenster, M\xDCSSEN diese beim Verlassen des Datentr\xE4\ - gerarchivs geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 - ref_id: INF.6.A4.3 - description: "Ebenso MUSS beim Verlassen die T\xFCr verschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 - ref_id: INF.6.A4.4 - description: "Auch Brand- und Rauchschutzt\xFCren M\xDCSSEN geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A5 - name: "Verwendung von Schutzschr\xE4nken" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5 - ref_id: INF.6.A5.1 - description: "Die Datentr\xE4ger und Medien in Datentr\xE4gerarchiven SOLLTEN\ - \ in geeigneten Schutzschr\xE4nken gelagert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A6 - name: "Vermeidung von wasserf\xFChrenden Leitungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 - ref_id: INF.6.A6.1 - description: "In Datentr\xE4gerarchiven SOLLTEN unn\xF6tige wasserf\xFChrende\ - \ Leitungen generell vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 - ref_id: INF.6.A6.2 - description: "Sind dennoch Wasserleitungen durch das Datentr\xE4gerarchiv hinweg\ - \ verlegt, SOLLTEN diese regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ - \ ob sie noch dicht sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 - ref_id: INF.6.A6.3 - description: "Zudem SOLLTEN Vorkehrungen getroffen werden, um fr\xFChzeitig\ - \ erkennen zu k\xF6nnen, ob dort Wasser austritt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 - ref_id: INF.6.A6.4 - description: "F\xFCr ein Datentr\xE4gerarchiv mit Hochverf\xFCgbarkeitsanforderungen\ - \ SOLLTE es Reaktionspl\xE4ne geben, die genau vorgeben, wer im Fall eines\ - \ Lecks informiert werden muss und wie grunds\xE4tzlich vorzugehen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A7 - name: Einhaltung von klimatischen Bedingungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 - ref_id: INF.6.A7.1 - description: "Es SOLLTE sichergestellt werden, dass die zul\xE4ssigen H\xF6\ - chst- und Tiefstwerte f\xFCr Temperatur und Luftfeuchtigkeit sowie der Schwebstoffanteil\ - \ in der Raumluft im Datentr\xE4gerarchiv eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 - ref_id: INF.6.A7.2 - description: "Die Werte von Lufttemperatur und -feuchte SOLLTEN mehrmals im\ - \ Jahr f\xFCr die Dauer von einer Woche aufgezeichnet und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 - ref_id: INF.6.A7.3 - description: Dabei festgestellte Abweichungen vom Sollwert SOLLTEN zeitnah behoben - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 - ref_id: INF.6.A7.4 - description: "Die eingesetzten Klimager\xE4te SOLLTEN regelm\xE4\xDFig gewartet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A8 - name: "Sichere T\xFCren und Fenster" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 - ref_id: INF.6.A8.1 - description: "Sicherungsma\xDFnahmen wie Fenster, T\xFCren und W\xE4nde SOLLTEN\ - \ bez\xFCglich Einbruch, Brand und Rauch gleichwertig und angemessen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 - ref_id: INF.6.A8.2 - description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine geeignete Widerstandsklasse\ - \ gem\xE4\xDF der DIN EN 1627 erf\xFCllt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 - ref_id: INF.6.A8.3 - description: "Alle Sicherheitst\xFCren und -fenster SOLLTEN regelm\xE4\xDFig\ - \ daraufhin \xFCberpr\xFCft werden, ob sie noch entsprechend funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 - ref_id: INF.6.A8.4 - description: "Der komplette Raum SOLLTE einen dem Schutzbedarf gen\xFCgenden\ - \ mechanischen Widerstand aufweisen, der keinesfalls unter RC3 (gem\xE4\xDF\ - \ DIN EN 1627) liegt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 - ref_id: INF.6.A9 - name: Gefahrenmeldeanlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 - ref_id: INF.6.A9.1 - description: "Es SOLLTE in Datentr\xE4gerarchiven eine angemessene Gefahrenmeldeanlage\ - \ eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 - ref_id: INF.6.A9.2 - description: "Diese Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ - \ gewartet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 - ref_id: INF.6.A9.3 - description: Es SOLLTE sichergestellt sein, dass diejenigen Personen, die Gefahrenmeldungen - empfangen in der Lage sind, auf Alarmmeldungen angemessen zu reagieren. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.7 - name: "B\xFCroarbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A1 - name: "Geeignete Auswahl und Nutzung eines B\xFCroraumes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 - ref_id: INF.7.A1.1 - description: "Es D\xDCRFEN NUR geeignete R\xE4ume als B\xFCror\xE4ume genutzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 - ref_id: INF.7.A1.2 - description: "Die B\xFCror\xE4ume M\xDCSSEN f\xFCr den Schutzbedarf bzw. das\ - \ Schutzniveau der dort verarbeiteten Informationen angemessen ausgew\xE4\ - hlt und ausgestattet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 - ref_id: INF.7.A1.3 - description: "B\xFCror\xE4ume mit Publikumsverkehr D\xDCRFEN NICHT in sicherheitsrelevanten\ - \ Bereichen liegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 - ref_id: INF.7.A1.4 - description: "F\xFCr den Arbeitsplatz und f\xFCr die Einrichtung eines B\xFC\ - roraumes MUSS die Arbeitsst\xE4ttenverordnung umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A2 - name: "Geschlossene Fenster und abgeschlossene T\xFCren" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.1 - description: "Wenn Mitarbeitende ihre B\xFCror\xE4ume verlassen, SOLLTEN alle\ - \ Fenster geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.2 - description: "Befinden sich vertrauliche Informationen in dem B\xFCroraum, M\xDC\ - SSEN beim Verlassen die T\xFCren abgeschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.3 - description: Dies SOLLTE insbesondere in Bereichen mit Publikumsverkehr beachtet - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.4 - description: Die entsprechenden Vorgaben SOLLTEN in einer geeigneten Anweisung - festgehalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.5 - description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung - nachzukommen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.6 - description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob beim\ - \ Verlassen des B\xFCroraums die Fenster geschlossen und, wenn notwendig,\ - \ die T\xFCren abgeschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 - ref_id: INF.7.A2.7 - description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ - ren tats\xE4chlich geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A3 - name: Fliegende Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 - ref_id: INF.7.A3.1 - description: "Die Stromanschl\xFCsse und Zug\xE4nge zum Datennetz im B\xFCroraum\ - \ SOLLTEN sich dort befinden, wo die IT-Ger\xE4te aufgestellt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 - ref_id: INF.7.A3.2 - description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ - \ abgedeckt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A5 - name: Ergonomischer Arbeitsplatz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - ref_id: INF.7.A5.1 - description: "Die Arbeitspl\xE4tze aller Mitarbeitenden SOLLTEN ergonomisch\ - \ eingerichtet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - ref_id: INF.7.A5.2 - description: "Vor allem die Bildschirme SOLLTEN so aufgestellt werden, dass\ - \ ein ergonomisches und ungest\xF6rtes Arbeiten m\xF6glich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - ref_id: INF.7.A5.3 - description: "Dabei SOLLTE beachtet werden, dass Bildschirme nicht durch Unbefugte\ - \ eingesehen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - ref_id: INF.7.A5.4 - description: Die Bildschirmarbeitsschutzverordnung (BildscharbV) SOLLTE umgesetzt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 - ref_id: INF.7.A5.5 - description: "Alle Arbeitspl\xE4tze SOLLTEN f\xFCr eine m\xF6glichst fehlerfreie\ - \ Bedienung der IT individuell verstellbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A6 - name: "Aufger\xE4umter Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 - ref_id: INF.7.A6.1 - description: "Alle Mitarbeitenden SOLLTEN dazu angehalten werden, seinen Arbeitsplatz\ - \ aufger\xE4umt zu hinterlassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 - ref_id: INF.7.A6.2 - description: "Die Mitarbeitenden SOLLTEN daf\xFCr sorgen, dass Unbefugte keine\ - \ vertraulichen Informationen einsehen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 - ref_id: INF.7.A6.3 - description: "Alle Mitarbeitenden SOLLTEN ihre Arbeitspl\xE4tze sorgf\xE4ltig\ - \ \xFCberpr\xFCfen und sicherstellen, dass keine vertraulichen Informationen\ - \ frei zug\xE4nglich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 - ref_id: INF.7.A6.4 - description: "Vorgesetzte SOLLTEN Arbeitspl\xE4tze sporadisch daraufhin \xFC\ - berpr\xFCfen, ob dort schutzbed\xFCrftige Informationen offen zugreifbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A7 - name: "Geeignete Aufbewahrung dienstlicher Unterlagen und Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 - ref_id: INF.7.A7.1 - description: "Die Mitarbeitenden SOLLTEN angewiesen werden, vertrauliche Dokumente\ - \ und Datentr\xE4ger verschlossen aufzubewahren, wenn sie nicht verwendet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 - ref_id: INF.7.A7.2 - description: "Daf\xFCr SOLLTEN geeignete Beh\xE4ltnisse in den B\xFCror\xE4\ - umen oder in deren Umfeld aufgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 - ref_id: INF.7.A8 - name: Einsatz von Diebstahlsicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 - ref_id: INF.7.A8.1 - description: "Wenn der Zutritt zu den R\xE4umen nicht geeignet beschr\xE4nkt\ - \ werden kann, SOLLTEN f\xFCr alle IT-Systeme Diebstahlsicherungen eingesetzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 - ref_id: INF.7.A8.2 - description: In Bereichen mit Publikumsverkehr SOLLTEN Diebstahlsicherungen - benutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.8 - name: "H\xE4uslicher Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A1 - name: "Sichern von dienstlichen Unterlagen am h\xE4uslichen Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 - ref_id: INF.8.A1.1 - description: "Dienstliche Unterlagen und Datentr\xE4ger M\xDCSSEN am h\xE4uslichen\ - \ Arbeitsplatz so aufbewahrt werden, dass keine unbefugten Personen darauf\ - \ zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 - ref_id: INF.8.A1.2 - description: "Daher M\xDCSSEN ausreichend verschlie\xDFbare Beh\xE4ltnisse (z.\ - \ B. abschlie\xDFbare Rollcontainer oder Schr\xE4nke) vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 - ref_id: INF.8.A1.3 - description: "Alle Mitarbeitenden M\xDCSSEN ihre Arbeitspl\xE4tze aufger\xE4\ - umt hinterlassen und sicherstellen, dass keine vertraulichen Informationen\ - \ frei zug\xE4nglich sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A2 - name: "Transport von Arbeitsmaterial zum h\xE4uslichen Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 - ref_id: INF.8.A2.1 - description: "Es MUSS geregelt werden, welche Datentr\xE4ger und Unterlagen\ - \ am h\xE4uslichen Arbeitsplatz bearbeitet und zwischen der Institution und\ - \ dem h\xE4uslichen Arbeitsplatz hin und her transportiert werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 - ref_id: INF.8.A2.2 - description: "Generell M\xDCSSEN Datentr\xE4ger und andere Unterlagen sicher\ - \ transportiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 - ref_id: INF.8.A2.3 - description: "Diese Regelungen M\xDCSSEN den Mitarbeitenden in geeigneter Weise\ - \ bekanntgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A3 - name: "Schutz vor unbefugtem Zutritt am h\xE4uslichen Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 - ref_id: INF.8.A3.1 - description: "Den Mitarbeitenden MUSS mitgeteilt werden, welche Regelungen und\ - \ Ma\xDFnahmen zum Einbruchs- und Zutrittsschutz zu beachten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 - ref_id: INF.8.A3.2 - description: "So MUSS darauf hingewiesen werden, Fenster zu schlie\xDFen und\ - \ T\xFCren abzuschlie\xDFen, wenn der h\xE4usliche Arbeitsplatz nicht besetzt\ - \ ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 - ref_id: INF.8.A3.3 - description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ - \ Zeit den h\xE4uslichen Arbeitsplatz betreten und auf dienstliche IT und\ - \ Unterlagen zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 - ref_id: INF.8.A3.4 - description: "Diese Ma\xDFnahmen M\xDCSSEN in sinnvollen zeitlichen Abst\xE4\ - nden \xFCberpr\xFCft werden, mindestens aber, wenn sich die h\xE4uslichen\ - \ Verh\xE4ltnisse \xE4ndern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A4 - name: "Geeignete Einrichtung des h\xE4uslichen Arbeitsplatzes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 - ref_id: INF.8.A4.1 - description: "Der h\xE4usliche Arbeitsplatz SOLLTE durch eine geeignete Raumaufteilung\ - \ von den privaten Bereichen der Wohnung getrennt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 - ref_id: INF.8.A4.2 - description: "Der h\xE4usliche Arbeitsplatz SOLLTE mit B\xFCrom\xF6beln eingerichtet\ - \ sein, die ergonomischen Anforderungen entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 - ref_id: INF.8.A4.3 - description: "Ebenso SOLLTE der h\xE4usliche Arbeitsplatz durch geeignete technische\ - \ Sicherungsma\xDFnahmen vor Einbr\xFCchen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 - ref_id: INF.8.A4.4 - description: "Die Schutzma\xDFnahmen SOLLTEN an die \xF6rtlichen Gegebenheiten\ - \ und den vorliegenden Schutzbedarf angepasst sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A5 - name: "Entsorgung von vertraulichen Informationen am h\xE4uslichen Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 - ref_id: INF.8.A5.1 - description: Vertrauliche Informationen SOLLTEN sicher entsorgt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 - ref_id: INF.8.A5.2 - description: "In einer speziellen Sicherheitsrichtlinie SOLLTE daher geregelt\ - \ werden, wie schutzbed\xFCrftiges Material zu beseitigen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 - ref_id: INF.8.A5.3 - description: "Es SOLLTEN die daf\xFCr ben\xF6tigten Entsorgungsm\xF6glichkeiten\ - \ verf\xFCgbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 - ref_id: INF.8.A6 - name: "Umgang mit dienstlichen Unterlagen bei erh\xF6htem Schutzbedarf am h\xE4\ - uslichen Arbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 - ref_id: INF.8.A6.1 - description: "Wenn Informationen mit erh\xF6htem Schutzbedarf bearbeitet werden,\ - \ SOLLTE \xFCberlegt werden, von einem h\xE4uslichen Arbeitsplatz ganz abzusehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 - ref_id: INF.8.A6.2 - description: "Anderenfalls SOLLTE der h\xE4usliche Arbeitsplatz durch erweiterte,\ - \ hochwertige technische Sicherungsma\xDFnahmen gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.9 - name: Mobiler Arbeitsplatz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A1 - name: Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.1 - description: "Die Institution MUSS ihren Mitarbeitenden vorschreiben, wie mobile\ - \ Arbeitspl\xE4tze in geeigneter Weise ausgew\xE4hlt und benutzt werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.2 - description: "Es M\xDCSSEN Eigenschaften definiert werden, die f\xFCr einen\ - \ mobilen Arbeitsplatz w\xFCnschenswert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.3 - description: "Es M\xDCSSEN aber auch Ausschlusskriterien definiert werden, die\ - \ gegen einen mobilen Arbeitsplatz sprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.4 - description: 'Mindestens MUSS geregelt werden:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.5 - description: "\u2022 unter welchen Arbeitsplatzbedingungen sch\xFCtzenswerte\ - \ Informationen bearbeitet werden d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.6 - description: "\u2022 wie sich Mitarbeitende am mobilen Arbeitsplatz vor ungewollter\ - \ Einsichtnahme Dritter sch\xFCtzen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.7 - description: "\u2022 ob eine permanente Netz- und Stromversorgung gegeben sein\ - \ muss sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 - ref_id: INF.9.A1.8 - description: "\u2022 welche Arbeitsplatzumgebungen komplett verboten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A2 - name: "Regelungen f\xFCr mobile Arbeitspl\xE4tze" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.1 - description: "F\xFCr alle Arbeiten unterwegs MUSS geregelt werden, welche Informationen\ - \ au\xDFerhalb der Institution transportiert und bearbeitet werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.2 - description: Es MUSS zudem geregelt werden, welche Schutzvorkehrungen dabei - zu treffen sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.3 - description: "Dabei MUSS auch gekl\xE4rt werden, unter welchen Rahmenbedingungen\ - \ Mitarbeitende mit mobilen IT-Systemen auf interne Informationen ihrer Institution\ - \ zugreifen d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.4 - description: "Die Mitnahme von IT-Komponenten und Datentr\xE4gern MUSS klar\ - \ geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.5 - description: "So MUSS festgelegt werden, welche IT-Systeme und Datentr\xE4ger\ - \ mitgenommen werden d\xFCrfen, wer diese mitnehmen darf und welche grundlegenden\ - \ Sicherheitsanforderungen dabei beachtet werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.6 - description: "Es MUSS zudem protokolliert werden, wann und von wem welche mobilen\ - \ Endger\xE4te au\xDFer Haus eingesetzt wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.7 - description: "Die Benutzenden von mobilen Endger\xE4ten M\xDCSSEN f\xFCr den\ - \ Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen\ - \ sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.8 - description: "Sie M\xDCSSEN \xFCber die spezifischen Gef\xE4hrdungen und Ma\xDF\ - nahmen der von ihnen benutzten IT-Systeme aufgekl\xE4rt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.9 - description: "Au\xDFerdem M\xDCSSEN sie dar\xFCber informiert werden, welche\ - \ Art von Informationen auf mobilen IT-Systemen verarbeitet werden darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.10 - description: "Alle Benutzenden M\xDCSSEN auf die geltenden Regelungen hingewiesen\ - \ werden, die von ihnen einzuhalten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 - ref_id: INF.9.A2.11 - description: "Sie M\xDCSSEN entsprechend geschult werden" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A3 - name: Zutritts- und Zugriffsschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - ref_id: INF.9.A3.1 - description: "Den Mitarbeitenden MUSS bekannt gegeben werden, welche Regelungen\ - \ und Ma\xDFnahmen zum Einbruch- und Zutrittsschutz am mobilen Arbeitsplatz\ - \ zu beachten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - ref_id: INF.9.A3.2 - description: "Wenn der mobile Arbeitsplatz nicht besetzt ist, M\xDCSSEN Fenster\ - \ und T\xFCren abgeschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - ref_id: INF.9.A3.3 - description: "Ist dies nicht m\xF6glich, z. B. im Zug, M\xDCSSEN die Mitarbeitenden\ - \ alle Unterlagen und IT-Systeme an sicherer Stelle verwahren oder mitf\xFC\ - hren, wenn sie abwesend sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - ref_id: INF.9.A3.4 - description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ - \ Zeit auf dienstliche IT und Unterlagen zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 - ref_id: INF.9.A3.5 - description: "Wird der Arbeitsplatz nur kurz verlassen, M\xDCSSEN die eingesetzten\ - \ IT-Systeme gesperrt werden, sodass sie nur nach erfolgreicher Authentisierung\ - \ wieder benutzt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A4 - name: Arbeiten mit fremden IT-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - ref_id: INF.9.A4.1 - description: "Die Institution MUSS regeln, wie Mitarbeitende mit institutionsfremden\ - \ IT-Systemen arbeiten d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - ref_id: INF.9.A4.2 - description: "Alle mobilen Mitarbeitenden M\xDCSSEN \xFCber die Gefahren fremder\ - \ IT-Systeme aufgekl\xE4rt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - ref_id: INF.9.A4.3 - description: "Die Regelungen M\xDCSSEN vorgeben, ob und wie sch\xFCtzenswerte\ - \ Informationen an fremden IT-Systemen bearbeitet werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - ref_id: INF.9.A4.4 - description: "Sie M\xDCSSEN zudem festlegen, wie verhindert wird, dass nicht\ - \ autorisierte Personen die Informationen einsehen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 - ref_id: INF.9.A4.5 - description: "Wenn Mitarbeitende mit fremden IT-Systemen arbeiten, MUSS grunds\xE4\ - tzlich sichergestellt sein, dass alle w\xE4hrenddessen entstandenen tempor\xE4\ - ren Daten gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A5 - name: Zeitnahe Verlustmeldung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 - ref_id: INF.9.A5.1 - description: "Mitarbeitende SOLLTEN ihrer Institution umgehend melden, wenn\ - \ Informationen, IT-Systeme oder Datentr\xE4ger verlorengegangen sind oder\ - \ gestohlen wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 - ref_id: INF.9.A5.2 - description: "Daf\xFCr SOLLTE es klare Meldewege und Ansprechpartner innerhalb\ - \ der Institution geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A6 - name: Entsorgung von vertraulichen Informationen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 - ref_id: INF.9.A6.1 - description: Vertrauliche Informationen SOLLTEN auch unterwegs sicher entsorgt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 - ref_id: INF.9.A6.2 - description: "Bevor ausgediente oder defekte Datentr\xE4ger und Dokumente vernichtet\ - \ werden, MUSS \xFCberpr\xFCft werden, ob sie sensible Informationen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 - ref_id: INF.9.A6.3 - description: "Ist dies der Fall, M\xDCSSEN die Datentr\xE4ger und Dokumente\ - \ wieder mit zur\xFCcktransportiert werden und auf institutseigenem Wege entsorgt\ - \ oder vernichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A7 - name: "Rechtliche Rahmenbedingungen f\xFCr das mobile Arbeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 - ref_id: INF.9.A7.1 - description: "F\xFCr das mobile Arbeiten SOLLTEN arbeitsrechtliche und arbeitsschutzrechtliche\ - \ Rahmenbedingungen beachtet und geregelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 - ref_id: INF.9.A7.2 - description: "Alle relevanten Punkte SOLLTEN entweder durch Betriebsvereinbarungen\ - \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ - \ zwischen dem mobilen Mitarbeitenden und der Institution geregelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A8 - name: "Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 - ref_id: INF.9.A8.1 - description: "Alle relevanten Sicherheitsanforderungen f\xFCr mobile Arbeitspl\xE4\ - tze SOLLTEN in einer f\xFCr die mobilen Mitarbeitenden verpflichtenden Sicherheitsrichtlinie\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 - ref_id: INF.9.A8.2 - description: Sie SOLLTE zudem mit den bereits vorhandenen Sicherheitsrichtlinien - der Institution sowie mit allen relevanten Fachabteilungen abgestimmt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 - ref_id: INF.9.A8.3 - description: "Die Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze SOLLTE\ - \ regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 - ref_id: INF.9.A8.4 - description: Die Mitarbeitenden der Institution SOLLTEN hinsichtlich der aktuellen - Sicherheitsrichtlinie sensibilisiert und geschult sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A9 - name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 - ref_id: INF.9.A9.1 - description: "Bei tragbaren IT-Systemen und Datentr\xE4gern SOLLTE sichergestellt\ - \ werden, dass diese entsprechend den internen Richtlinien abgesichert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 - ref_id: INF.9.A9.2 - description: "Mobile IT-Systeme und Datentr\xE4ger SOLLTEN dabei verschl\xFC\ - sselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 - ref_id: INF.9.A9.3 - description: "Die kryptografischen Schl\xFCssel SOLLTEN getrennt vom verschl\xFC\ - sselten Ger\xE4t aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A10 - name: Einsatz von Diebstahlsicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 - ref_id: INF.9.A10.1 - description: Bietet das verwendete IT-System eine Diebstahlsicherung, SOLLTE - sie benutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 - ref_id: INF.9.A10.2 - description: "Die Diebstahlsicherungen SOLLTEN stets dort eingesetzt werden,\ - \ wo ein erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ - \ sehr hoch ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 - ref_id: INF.9.A10.3 - description: "Dabei SOLLTEN die Mitarbeitenden immer beachten, dass der Schutz\ - \ der auf den IT-Systemen gespeicherten Informationen meist einen h\xF6heren\ - \ Wert besitzt als die Wiederanschaffungskosten des IT-Systems betragen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 - ref_id: INF.9.A10.4 - description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahlsicherungen\ - \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A11 - name: Verbot der Nutzung unsicherer Umgebungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.1 - description: "Es SOLLTEN Kriterien f\xFCr die Arbeitsumgebung festgelegt werden,\ - \ die mindestens erf\xFCllt sein m\xFCssen, damit Informationen mit erh\xF6\ - htem Schutzbedarf mobil bearbeitet werden d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.2 - description: 'Die Kriterien SOLLTEN mindestens folgende Themenbereiche abdecken:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.3 - description: "\u2022 Einsicht und Zugriff durch Dritte," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.4 - description: "\u2022 geschlossene und, falls n\xF6tig, abschlie\xDFbare oder\ - \ bewachte R\xE4ume," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.5 - description: "\u2022 gesicherte Kommunikationsm\xF6glichkeiten sowie" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 - ref_id: INF.9.A11.6 - description: "\u2022 eine ausreichende Stromversorgung." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 - ref_id: INF.9.A12 - name: Nutzung eines Bildschirmschutzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12 - ref_id: INF.9.A12.1 - description: "Wenn IT-Systeme an mobilen Arbeitspl\xE4tzen genutzt werden, SOLLTEN\ - \ die Mitarbeitenden einen Sichtschutz f\xFCr die Bildschirme der IT-Systeme\ - \ verwenden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.10 - name: "Besprechungs-, Veranstaltungs- und Schulungsr\xE4ume" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A1 - name: "Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ - umen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 - ref_id: INF.10.A1.1 - description: "In den R\xE4umen vorhandene Ger\xE4tschaften M\xDCSSEN angemessen\ - \ gegen Diebstahl gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 - ref_id: INF.10.A1.2 - description: "Zudem MUSS festgelegt werden, wer die in den R\xE4umen dauerhaft\ - \ vorhandenen IT- und sonstigen Systeme administriert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 - ref_id: INF.10.A1.3 - description: "Es MUSS auch festgelegt werden, ob und unter welchen Bedingungen\ - \ von externen Personen mitgebrachte IT-Systeme verwenden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 - ref_id: INF.10.A1.4 - description: "Weiterhin MUSS festgelegt werden, ob und auf welche Netzzug\xE4\ - nge und TK-Schnittstellen externen Personen zugreifen d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A3 - name: "Geschlossene Fenster und T\xFCren" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 - ref_id: INF.10.A3.1 - description: "Die Fenster und T\xFCren der Besprechungs-, Veranstaltungs- und\ - \ Schulungsr\xE4ume M\xDCSSEN beim Verlassen verschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 - ref_id: INF.10.A3.2 - description: "Bei R\xE4umlichkeiten, in denen sich IT-Systeme oder sch\xFCtzenswerte\ - \ Informationen befinden, M\xDCSSEN die T\xFCren beim Verlassen abgeschlossen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 - ref_id: INF.10.A3.3 - description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die\ - \ Fenster und T\xFCren nach Verlassen der R\xE4ume verschlossen wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 - ref_id: INF.10.A3.4 - description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ - ren tats\xE4chlich geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A4 - name: "Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4umen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 - ref_id: INF.10.A4.1 - description: "Bei der Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ - umen SOLLTE besonders die Lage der R\xE4ume ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 - ref_id: INF.10.A4.2 - description: "Insbesondere R\xE4umlichkeiten, die oft zusammen mit oder ausschlie\xDF\ - lich von externen Personen genutzt werden, SOLLTEN NICHT in Geb\xE4udeteilen\ - \ liegen, in deren N\xE4he regelm\xE4\xDFig vertrauliche Informationen besprochen\ - \ und bearbeitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 - ref_id: INF.10.A4.3 - description: "Es SOLLTE f\xFCr jeden Raum festgelegt werden, wie vertraulich\ - \ die Informationen sein d\xFCrfen, die dort besprochen oder verarbeitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A5 - name: Fliegende Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 - ref_id: INF.10.A5.1 - description: "Die Stromanschl\xFCsse SOLLTEN sich dort befinden, wo Beamer,\ - \ Laptops oder andere elektronische Ger\xE4te aufgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 - ref_id: INF.10.A5.2 - description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ - \ abgedeckt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A6 - name: "Einrichtung sicherer Netzzug\xE4nge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.1 - description: "Es SOLLTE sichergestellt werden, dass mitgebrachte IT-Systeme\ - \ nicht \xFCber das Datennetz mit internen IT-Systemen der Institution verbunden\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.2 - description: "Auf das LAN der Institution SOLLTEN ausschlie\xDFlich daf\xFC\ - r vorgesehene IT-Systeme zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.3 - description: "Ein Datennetz f\xFCr externe Personen SOLLTE vom LAN der Institution\ - \ getrennt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.4 - description: "Netzzug\xE4nge SOLLTEN so eingerichtet sein, dass verhindert wird,\ - \ dass Dritte den internen Datenaustausch mitlesen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.5 - description: "Netzanschl\xFCsse in Besprechungs-, Veranstaltungs- oder Schulungsr\xE4\ - umen SOLLTEN abgesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.6 - description: "Es SOLLTE verhindert werden, dass IT-Systeme in Besprechungs-,\ - \ Veranstaltungs- und Schulungsr\xE4umen gleichzeitig eine Verbindung zum\ - \ Intranet und zum Internet aufbauen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 - ref_id: INF.10.A6.7 - description: "Au\xDFerdem SOLLTE die Stromversorgung aus einer Unterverteilung\ - \ heraus getrennt von anderen R\xE4umen aufgebaut werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A7 - name: "Sichere Konfiguration von Schulungs- und Pr\xE4sentationsrechnern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 - ref_id: INF.10.A7.1 - description: "Dedizierte Schulungs- und Pr\xE4sentationsrechner SOLLTEN mit\ - \ einer Minimalkonfiguration versehen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 - ref_id: INF.10.A7.2 - description: "Es SOLLTE festgelegt sein, welche Anwendungen auf Schulungs- und\ - \ Pr\xE4sentationsrechnern in der jeweiligen Veranstaltung genutzt werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 - ref_id: INF.10.A7.3 - description: "Die Schulungs- und Pr\xE4sentationsrechner SOLLTEN nur an ein\ - \ separates, vom LAN der Institution getrenntes Datennetz angeschlossen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A8 - name: "Erstellung eines Nutzungsnachweises f\xFCr R\xE4ume" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 - ref_id: INF.10.A8.1 - description: "Je nach Nutzungsart der Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ - ume SOLLTE ersichtlich sein, wer die R\xE4ume zu welchem Zeitpunkt genutzt\ - \ hat." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 - ref_id: INF.10.A8.2 - description: "F\xFCr R\xE4umlichkeiten, in denen Schulungen an IT-Systemen oder\ - \ besonders vertrauliche Besprechungen durchgef\xFChrt werden, SOLLTEN ebenfalls\ - \ Nutzungsnachweise erbracht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 - ref_id: INF.10.A8.3 - description: "Es SOLLTE \xFCberlegt werden, f\xFCr R\xE4umlichkeiten, die f\xFC\ - r jeden Mitarbeitenden zug\xE4nglich sind, ebenfalls entsprechende Nutzungsnachweise\ - \ einzuf\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 - ref_id: INF.10.A9 - name: "Zur\xFCcksetzen von Schulungs- und Pr\xE4sentationsrechnern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 - ref_id: INF.10.A9.1 - description: "Es SOLLTE ein Verfahren festgelegt werden, um Schulungs- und Pr\xE4\ - sentationsrechner nach der Nutzung auf einen vorher definierten Zustand zur\xFC\ - ckzusetzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 - ref_id: INF.10.A9.2 - description: "Durch von Benutzenden durchgef\xFChrte \xC4nderungen SOLLTEN dabei\ - \ vollst\xE4ndig entfernt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.11 - name: Allgemeines Fahrzeug - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A1 - name: Planung und Beschaffung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.1 - description: Bevor Fahrzeuge beschafft werden, MUSS der Einsatzzweck geplant - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.2 - description: "Die funktionalen Anforderungen an die Fahrzeuge und insbesondere\ - \ die Anforderungen an die Informationssicherheit, sowie den Datenschutz der\ - \ verbauten IT-Komponenten M\xDCSSEN erhoben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.3 - description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.4 - description: "\u2022 Einsatzszenarien der Fahrzeuge," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.5 - description: "\u2022 n\xE4here Einsatzumgebung der Fahrzeuge sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.6 - description: "\u2022 der gesamte Lebenszyklus der Fahrzeuge." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.7 - description: "Die Fahrzeuge M\xDCSSEN au\xDFerdem \xFCber angemessene Schlie\xDF\ - systeme verf\xFCgen, sofern die Fahrzeuge nicht durchgehend durch andere Ma\xDF\ - nahmen oder Regelungen gesichert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 - ref_id: INF.11.A1.8 - description: "W\xE4hrend der Planung SOLLTE ber\xFCcksichtigt werden, dass viele\ - \ Fahrzeuge Daten an die fahrzeugherstellenden Unternehmen und weitere Dritte\ - \ \xFCbermitteln k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A2 - name: Wartung, Inspektion und Updates - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.1 - description: "Die Fahrzeuge und die dazugeh\xF6renden IT-Komponenten M\xDCSSEN\ - \ nach den Vorgaben des herstellenden Unternehmens gewartet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.2 - description: "Hierbei MUSS beachtet werden, dass die Intervalle der herk\xF6\ - mmlichen Wartung und von Updates der integrierten IT-Komponenten voneinander\ - \ abweichen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.3 - description: Es MUSS klar geregelt werden, wer in welcher Umgebung die Updates - installieren darf. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.4 - description: "Auch \u201EOver-the-Air\u201C (OTA) Updates M\xDCSSEN geregelt\ - \ eingespielt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.5 - description: "Wartungs- und Reparaturarbeiten M\xDCSSEN von befugtem und qualifiziertem\ - \ Personal in einer sicheren Umgebung durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.6 - description: "Dabei SOLLTE schon vor der Wartung gekl\xE4rt werden, wie mit\ - \ Fremdfirmen umgegangen wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.7 - description: "Werden Fahrzeuge in fremden Institutionen gewartet, SOLLTE gepr\xFC\ - ft werden, ob alle nicht ben\xF6tigten, zum Fahrzeug dazugeh\xF6rigen portablen\ - \ IT-Systeme entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.8 - description: "Werden die Fahrzeuge wieder in den Einsatzbetrieb integriert,\ - \ MUSS mittels Checkliste gepr\xFCft werden, ob alle Beanstandungen und M\xE4\ - ngel auch behoben wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 - ref_id: INF.11.A2.9 - description: "Es MUSS auch gepr\xFCft werden, ob die vorhandenen IT-Komponenten\ - \ einsatzf\xE4hig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A3 - name: "Regelungen f\xFCr die Fahrzeugbenutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.1 - description: "F\xFCr alle T\xE4tigkeiten, die sich auf die Sicherheit der in\ - \ den Fahrzeugen verarbeiteten Informationen auswirken k\xF6nnen, MUSS vorher\ - \ geregelt werden, ob sie in den Fahrzeugen durchgef\xFChrt werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.2 - description: "Hierbei MUSS klar geregelt werden, welche Informationen dabei\ - \ transportiert und bearbeitet werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.3 - description: "Erg\xE4nzend MUSS festgelegt werden, welche Schutzvorkehrungen\ - \ dabei zu treffen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.4 - description: "Dies MUSS f\xFCr jede Art von Information gelten, auch f\xFCr\ - \ Gespr\xE4che in den Fahrzeugen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.5 - description: "Es MUSS gekl\xE4rt werden, unter welchen Rahmenbedingungen Mitarbeitende\ - \ auf welche Art von Informationen ihrer Institution zugreifen d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.6 - description: "Au\xDFerdem MUSS geregelt werden, in welchem Umfang Infotainmentsysteme,\ - \ Anwendungen und sonstige Services der Fahrzeuge genutzt werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.7 - description: Des Weiteren MUSS festgelegt werden, wie Schnittstellen abzusichern - sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 - ref_id: INF.11.A3.8 - description: "In bestehende Gesch\xE4fts- bzw. Dienstanweisungen MUSS beschrieben\ - \ werden, wie mitgef\xFChrte IT in den Fahrzeugen verwendet und aufbewahrt\ - \ werden darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A4 - name: Erstellung einer Sicherheitsrichtlinie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 - ref_id: INF.11.A4.1 - description: "Alle relevanten Sicherheitsanforderungen f\xFCr die IT innerhalb\ - \ der Fahrzeuge SOLLTEN in einer f\xFCr Mitarbeitende verpflichtenden Sicherheitsrichtlinie\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 - ref_id: INF.11.A4.2 - description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ - \ bekannt sein und die Grundlage f\xFCr ihren Umgang mit Fahrzeugen darstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 - ref_id: INF.11.A4.3 - description: "In der Richtlinie SOLLTEN die Zust\xE4ndigkeiten f\xFCr einzelne\ - \ Aufgaben klar geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 - ref_id: INF.11.A4.4 - description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft und anlassbezogen aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A5 - name: Erstellung einer Inventarliste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.1 - description: "F\xFCr jedes Fahrzeug SOLLTE eine Inventarliste \xFCber" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.2 - description: "\u2022 die im Fahrzeug fest verbauten oder zugeh\xF6rigen IT-Komponenten\ - \ (z. B. Handfunkger\xE4te bei Einsatzfahrzeugen)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.3 - description: "\u2022 die Fachverfahren, die auf den integrierten IT-Komponenten\ - \ ausgef\xFChrt werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.4 - description: "\u2022 Handlungsanweisungen und Betriebsdokumentationen sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.5 - description: "\u2022 die mit dem Infotainmentsystem gekoppelten Mobilger\xE4\ - te gef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.6 - description: "Die Inventarliste SOLLTE regelm\xE4\xDFig und anlassbezogen aktualisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.7 - description: "Dabei SOLLTE \xFCberpr\xFCft werden, ob noch alle inventarisierten\ - \ zum Fahrzeug geh\xF6renden IT-Komponenten vorhanden sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 - ref_id: INF.11.A5.8 - description: "Zus\xE4tzlich SOLLTE anhand der Inventarliste \xFCberpr\xFCft\ - \ werden, ob keine mobilen Endger\xE4te unerlaubt mit dem Infotainmentsystem\ - \ gekoppelt worden sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A6 - name: Festlegung von Handlungsanweisungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.1 - description: "F\xFCr alle wesentlichen Situationen, die die Informationssicherheit\ - \ von Fahrzeugen betreffen, SOLLTEN Handlungsanweisungen in Form von Checklisten\ - \ vorliegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.2 - description: "Die Handlungsanweisungen SOLLTEN dabei in die Sicherheitsrichtlinie\ - \ integriert werden und in geeigneter Form als Checklisten verf\xFCgbar sein,\ - \ w\xE4hrend das Fahrzeug benutzt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.3 - description: "Hierbei SOLLTE auch der Fall ber\xFCcksichtigt werden, dass das\ - \ Fahrzeug selbst gestohlen wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.4 - description: 'Die Handlungsanweisungen SOLLTEN insbesondere nachfolgende Szenarien - behandeln:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.5 - description: "\u2022 Ausfall von IT-Komponenten der Fahrzeuge," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.6 - description: "\u2022 Notfallsituationen wie Unf\xE4lle," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.7 - description: "\u2022 unerlaubtes Betreten der Fahrzeuge sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.8 - description: "\u2022 Diebstahl der Fahrzeuge oder darin abgelegter Gegenst\xE4\ - nde mit Relevanz f\xFCr die Informationssicherheit." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.9 - description: "Die Zust\xE4ndigkeiten f\xFCr die einzelnen Aufgaben SOLLTEN in\ - \ der Checkliste dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.10 - description: Die Anweisungen SOLLTEN von den Fahrzeugbenutzenden in den entsprechenden - Situationen angewendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 - ref_id: INF.11.A6.11 - description: Anhand der Checkliste SOLLTE dokumentiert werden, wie sie in diesen - Situationen vorgegangen sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A7 - name: "Sachgerechter Umgang mit Fahrzeugen und sch\xFCtzenswerten Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.1 - description: "Die Institution SOLLTE die Handlungsanweisungen zur Fahrzeugbenutzung\ - \ um Aspekte erg\xE4nzen, wann, wie und wo Fahrzeuge sachgerecht abgestellt\ - \ bzw. angedockt werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.2 - description: "Hierbei SOLLTE prim\xE4r die Frage beantwortet werden, welche\ - \ Umgebungen die Fahrzeuge angemessenen vor unerlaubten Zutritt oder Sachbesch\xE4\ - digung sch\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.3 - description: "Des Weiteren SOLLTE hierbei ber\xFCcksichtigt werden, welche Informationen\ - \ und IT-Systeme in den Fahrzeugen aufbewahrt werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.4 - description: "Ausreichende Ma\xDFnahmen zum Zutrittsschutz SOLLTEN ergriffen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.5 - description: Die Ladung der Fahrzeuge SOLLTE sicher verstaut werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.6 - description: "Es SOLLTE sichergestellt werden, dass sch\xFCtzenswerte Informationen\ - \ nicht von au\xDFerhalb der Fahrzeuge von Unbefugten eingesehen, mitgeh\xF6\ - rt oder entwendet werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.7 - description: Die Mitarbeitenden SOLLTEN mit der grundlegenden Funktionsweise - der Fahrzeuge und den betreffenden IT-Komponenten vertraut gemacht werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 - ref_id: INF.11.A7.8 - description: "Die Mitarbeitenden SOLLTEN auch \xFCber die bestehenden Sicherheitsrisiken\ - \ informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A8 - name: "Schutz vor witterungsbedingten Einfl\xFCssen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 - ref_id: INF.11.A8.1 - description: "Fahrzeuge und die darin verbauten IT-Komponenten SOLLTEN vor witterungsbedingten\ - \ Einfl\xFCssen ausreichend gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 - ref_id: INF.11.A8.2 - description: "Je nach Fahrzeugart, Einsatzort und Einsatzumgebung SOLLTEN zus\xE4\ - tzliche Schutzma\xDFnahmen ergriffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 - ref_id: INF.11.A8.3 - description: "F\xFCr kurzfristig auftretende extreme Wettererscheinungen SOLLTEN\ - \ entsprechende Schutzma\xDFnahmen getroffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 - ref_id: INF.11.A8.4 - description: "Diese Schutzma\xDFnahmen SOLLTEN in den Handlungsanweisungen zur\ - \ Fahrzeugbenutzung in Form von Checklisten dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A9 - name: Sicherstellung der Versorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 - ref_id: INF.11.A9.1 - description: "Bevor Fahrzeuge eingesetzt werden, SOLLTE geplant werden, wie\ - \ diese mit Betriebsstoffen w\xE4hrend des Einsatzes versorgt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 - ref_id: INF.11.A9.2 - description: "Die Fahrzeuge SOLLTEN dabei w\xE4hrend des Einsatzes immer ausreichend\ - \ mit Betriebsstoffen versorgt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A10 - name: Aussonderung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 - ref_id: INF.11.A10.1 - description: "Werden Fahrzeuge ausgesondert, SOLLTEN keine sch\xFCtzenswerten\ - \ Informationen in den Fahrzeugen verbleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 - ref_id: INF.11.A10.2 - description: "Bevor Fahrzeuge endg\xFCltig ausgesondert werden, SOLLTE anhand\ - \ der Inventarliste gepr\xFCft werden, ob keine inventarisierten Gegenst\xE4\ - nde und dar\xFCber hinaus relevanten Gegenst\xE4nde zur\xFCckgelassen worden\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A11 - name: "Ersatzvorkehrungen bei Ausf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 - ref_id: INF.11.A11.1 - description: "F\xFCr den Fall, dass Fahrzeuge oder Fahrzeugf\xFChrende ausfallen,\ - \ SOLLTEN innerhalb der Institution vorbereitende Ma\xDFnahmen getroffen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 - ref_id: INF.11.A11.2 - description: "Abh\xE4ngig von der Bedeutung der Fahrzeuge SOLLTEN Ersatzfahrzeuge\ - \ bereitstehen oder alternativ ein Rahmenvertrag mit einer geeigneten Fremdinstitution\ - \ geschlossen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 - ref_id: INF.11.A11.3 - description: "Zus\xE4tzlich dazu SOLLTEN Ersatzfahrzeugf\xFChrende verf\xFC\ - gbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A12 - name: Diebstahlsicherung bzw. Bewachung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 - ref_id: INF.11.A12.1 - description: Eine Alarmanlage SOLLTE vorhanden sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 - ref_id: INF.11.A12.2 - description: "Bei Bodenfahrzeugen SOLLTE dar\xFCber hinaus eine Wegfahrsperre\ - \ vorhanden sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 - ref_id: INF.11.A12.3 - description: Wird das Fahrzeug verlassen, SOLLTEN die Alarmanlage und Wegfahrsperre - aktiviert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 - ref_id: INF.11.A12.4 - description: Alternativ SOLLTEN die Fahrzeuge bewacht werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A13 - name: "Sch\xE4digende Fremdeinwirkung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13 - ref_id: INF.11.A13.1 - description: "Je nach Art der Fahrzeuge SOLLTEN geeignete Ma\xDFnahmen ergriffen\ - \ werden, um die Fahrzeuge vor potentieller Fremdeinwirkung in der geplanten\ - \ Einsatzumgebung zu sch\xFCtzen, wie z. B. st\xF6renden Funkstrahlen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A14 - name: Schutz sensibler Informationen vor unbefugtem Zugriff und Kenntnisnahme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 - ref_id: INF.11.A14.1 - description: "Fahrzeuge und die dazugeh\xF6rigen IT-Komponenten SOLLTEN so abgesichert\ - \ werden, dass sensible Informationen durch Unbefugte nicht ausgelesen bzw.\ - \ manipuliert oder gel\xF6scht werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 - ref_id: INF.11.A14.2 - description: "Hierbei SOLLTEN die vorhandenen Schutzvorkehrungen der herstellenden\ - \ Unternehmen \xFCberpr\xFCft und bei Bedarf angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A15 - name: Physische Absicherung der Schnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15 - ref_id: INF.11.A15.1 - description: "Alle physischen internen und externen Schnittstellen der Fahrzeuge\ - \ SOLLTEN physisch gegen unbefugte Benutzung und \xE4u\xDFere Einfl\xFCsse\ - \ abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A16 - name: "Brandl\xF6schanlage" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 - ref_id: INF.11.A16.1 - description: "Die Fahrzeuge SOLLTEN \xFCber eine Brandl\xF6schanlage verf\xFC\ - gen, die einen Brand von au\xDFen und innen l\xF6schen kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 - ref_id: INF.11.A16.2 - description: "Alternativ SOLLTEN geeignete Mittel zur Brandbek\xE4mpfung mitgef\xFC\ - hrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 - ref_id: INF.11.A17 - name: "Netztrennung des In-Vehicle-Network mit einem Sonderfahrzeugnetz \xFC\ - ber Gateways" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - ref_id: INF.11.A17.1 - description: Generell SOLLTE die Institution sicherstellen, dass keine Informationen - unerlaubt und undefiniert zwischen - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - ref_id: INF.11.A17.2 - description: "\u2022 dem In-Vehicle-Network (IVN), das wiederum an die Netze\ - \ der fahrzeugherstellenden Unternehmen angebunden ist und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - ref_id: INF.11.A17.3 - description: "\u2022 den einsatzspezifischen IT-Komponenten ausgetauscht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - ref_id: INF.11.A17.4 - description: Hierzu SOLLTEN Gateways mit standardisierten Protokollen (z. B. - nach Standard CiA 447) eingesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 - ref_id: INF.11.A17.5 - description: Die Gateways SOLLTEN dabei vom fahrzeugherstellenden Unternehmen - freigegeben sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.12 - name: Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A1 - name: Auswahl geeigneter Kabeltypen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.1 - description: "Bei der Auswahl von Kabeltypen MUSS gepr\xFCft werden, welche\ - \ \xFCbertragungstechnischen Eigenschaften notwendig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.2 - description: "Die einschl\xE4gigen Normen und Vorschriften M\xDCSSEN beachtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.3 - description: "Auch die Umgebungsbedingungen im Betrieb und bei der Verlegung\ - \ M\xDCSSEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.4 - description: "Hinsichtlich der Umgebungsbedingungen M\xDCSSEN die folgenden\ - \ Faktoren beachtet werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.5 - description: "\u2022 Temperaturen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.6 - description: "\u2022 Kabelwege," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.7 - description: "\u2022 Zugkr\xE4fte bei der Verlegung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.8 - description: "\u2022 die Art der Verlegung sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 - ref_id: INF.12.A1.9 - description: "\u2022 die Entfernung zwischen den Endpunkten und m\xF6glichen\ - \ St\xF6rquellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A2 - name: "Planung der Kabelf\xFChrung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - ref_id: INF.12.A2.1 - description: "Kabel, Kabelwege und Kabeltrassen M\xDCSSEN aus funktionaler und\ - \ aus physikalischer Sicht ausreichend dimensioniert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - ref_id: INF.12.A2.2 - description: "Dabei M\xDCSSEN k\xFCnftige Notwendigkeiten eingerechnet werden,\ - \ z. B. gen\xFCgend Platz f\xFCr m\xF6gliche technische Erweiterungen in Kabelkan\xE4\ - len und -trassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - ref_id: INF.12.A2.3 - description: "Bei der gemeinsamen F\xFChrung von IT- und Stromverkabelung in\ - \ einer Trasse MUSS das \xDCbersprechen zwischen den einzelnen Kabeln verhindert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - ref_id: INF.12.A2.4 - description: "Es MUSS darauf geachtet werden, dass die IT-Verkabelung und die\ - \ elektrotechnische Verkabelung mit dem normgerechten Trennungsabstand gef\xFC\ - hrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 - ref_id: INF.12.A2.5 - description: "Erkennbare Gefahrenquellen M\xDCSSEN umgangen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A3 - name: Fachgerechte Installation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.1 - description: "Die Installationsarbeiten der Verkabelung M\xDCSSEN fachkundig\ - \ und sorgf\xE4ltig erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.2 - description: "Bei der Installation M\xDCSSEN alle relevanten Normen beachtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.3 - description: "Die fachgerechte Ausf\xFChrung der Verkabelung MUSS durch eine\ - \ fachkundige Person in allen Phasen \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.4 - description: "Bei Anlieferung des Materials MUSS gepr\xFCft werden, ob die richtigen\ - \ Kabel und Anschlusskomponenten geliefert wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.5 - description: "Es MUSS darauf geachtet werden, dass die Montage keine Besch\xE4\ - digungen verursacht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 - ref_id: INF.12.A3.6 - description: "Au\xDFerdem M\xDCSSEN die Kabelwege so gew\xE4hlt werden, dass\ - \ eine Besch\xE4digung der verlegten Kabel durch die normale Nutzung des Geb\xE4\ - udes ausgeschlossen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A4 - name: EMV-taugliche Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 - ref_id: INF.12.A4.1 - description: "Die Stromversorgung MUSS EMV (Elektromagnetische Vertr\xE4glichkeit)\ - \ -tauglich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 - ref_id: INF.12.A4.2 - description: "Daf\xFCr MUSS das Stromverteilnetz als TN-S-System aufgebaut sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 - ref_id: INF.12.A4.3 - description: "Bei Aufbau und Betrieb des Stromverteilnetzes M\xDCSSEN die in\ - \ den entsprechenden Normen empfohlenen Trennungsabst\xE4nde soweit wie m\xF6\ - glich eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 - ref_id: INF.12.A4.4 - description: "Vorkehrungen gegen Einstrahlungen von au\xDFen, Abstrahlung durch\ - \ die Stromleitung sowie zur Erkennung von Ausgleichsstr\xF6men M\xDCSSEN\ - \ getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A5 - name: "Anforderungsanalyse f\xFCr die Verkabelung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 - ref_id: INF.12.A5.1 - description: "Grunds\xE4tzlich SOLLTEN die Anforderungen analysiert werden,\ - \ die Einfluss auf eine zukunftssichere, bedarfsgerechte und wirtschaftliche\ - \ Ausf\xFChrung der Verkabelung haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 - ref_id: INF.12.A5.2 - description: "In dieser Anforderungsanalyse SOLLTE zun\xE4chst abgesch\xE4tzt\ - \ werden, wie die kurzfristige Nutzung der Verkabelung innerhalb der Institution\ - \ aussieht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 - ref_id: INF.12.A5.3 - description: "Darauf aufbauend SOLLTE die l\xE4ngerfristige Entwicklung der\ - \ Nutzung abgesch\xE4tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 - ref_id: INF.12.A5.4 - description: "Dar\xFCber hinaus M\xDCSSEN die Schutzziele der Verf\xFCgbarkeit,\ - \ Integrit\xE4t und Vertraulichkeit bei der Anforderungsanalyse f\xFCr die\ - \ Verkabelung mit betrachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A6 - name: Abnahme der Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.1 - description: "F\xFCr die Verkabelung SOLLTE es einen Abnahmeprozess geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.2 - description: "Verkabelungen SOLLTEN immer dann abgenommen werden, wenn alle\ - \ (gegebenenfalls im Rahmen eines Meilensteins) durchzuf\xFChrenden Aufgaben\ - \ abgeschlossen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.3 - description: "Die Ausf\xFChrenden SOLLTE hierf\xFCr die Aufgaben als abgeschlossen\ - \ und zur Abnahme bereit gemeldet haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.4 - description: "Au\xDFerdem SOLLTEN sich bei den Kontrollen durch die auftraggebende\ - \ Institution keine inakzeptablen M\xE4ngel gezeigt haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.5 - description: "Der Abnahmetermin SOLLTE so gew\xE4hlt werden, dass die Kontrollen\ - \ zur Abnahme in ausreichender Zeit vorbereitet werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.6 - description: "Die auftragnehmende Institution MUSS sp\xE4testens zum Abnahmetermin\ - \ schriftlich belegen, dass s\xE4mtliche Normen und Vorschriften eingehalten\ - \ wurden, die f\xFCr das Gewerk gelten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.7 - description: "Bei der Abnahme MUSS der tats\xE4chliche Umfang der Leistungen\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.8 - description: "F\xFCr das Abnahmeprotokoll SOLLTE eine Checkliste vorbereitet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.9 - description: Das Abnahmeprotokoll MUSS von den Teilnehmenden und Verantwortlichen - rechtsverbindlich unterzeichnet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 - ref_id: INF.12.A6.10 - description: Das Protokoll MUSS Bestandteil der internen Dokumentation der Verkabelung - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A7 - name: "\xDCberspannungsschutz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 - ref_id: INF.12.A7.1 - description: "Jedes elektrisch leitende Netz SOLLTE gegen \xDCberspannungen\ - \ gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 - ref_id: INF.12.A7.2 - description: "Hierf\xFCr MUSS ein entsprechendes \xDCberspannungsschutzkonzept\ - \ erstellt werden, das den g\xFCltigen Normen entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 - ref_id: INF.12.A7.3 - description: "Netzersatzanlagen (NEA) und unterbrechungsfreie Stromversorgungen\ - \ (USV) M\xDCSSEN in das \xDCberspannungsschutzkonzept aufgenommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A8 - name: "Entfernen und Deaktivieren nicht mehr ben\xF6tigter Kabel" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.1 - description: "Wenn Kabel nicht mehr ben\xF6tigt werden, SOLLTEN sie fachgerecht\ - \ und vollst\xE4ndig entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.2 - description: "Nachdem Kabel entfernt wurden, M\xDCSSEN die Brandschottungen\ - \ fachgerecht verschlossen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.3 - description: "Kabel, die aktuell nicht mehr ben\xF6tigt werden, aber mit der\ - \ vorhandenen Technik sinnvoll als Reserve an Ort und Stelle verbleiben k\xF6\ - nnen, SOLLTEN in einem betriebsf\xE4higen Zustand erhalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.4 - description: "Solche Kabel M\xDCSSEN mindestens an den Endpunkten entsprechend\ - \ gekennzeichnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.5 - description: "Grunds\xE4tzlich SOLLTE eine \xDCbersicht \xFCber nicht mehr ben\xF6\ - tigte Kabel aufgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 - ref_id: INF.12.A8.6 - description: Aus der Dokumentation SOLLTE hervorgehen, welche Kabel entfernt - oder deaktiviert wurden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A9 - name: Brandschutz in Trassen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 - ref_id: INF.12.A9.1 - description: Trassen SOLLTEN ausreichend dimensioniert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 - ref_id: INF.12.A9.2 - description: "Trassen SOLLTEN \xFCber eine ausreichende Be- und Entl\xFCftung\ - \ verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A10 - name: Dokumentation und Kennzeichnung der Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.1 - description: "Eine Institution SOLLTE sicherstellen, dass sie f\xFCr ihre Verkabelung\ - \ sowohl \xFCber eine interne als auch eine externe Dokumentation verf\xFC\ - gt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.2 - description: Die interne Dokumentation MUSS alle Aufzeichnungen zur Installation - und zum Betrieb der Verkabelung enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.3 - description: "Die interne Dokumentation SOLLTE so umfangreich angefertigt und\ - \ gepflegt werden, dass der Betrieb und dessen Weiterentwicklung bestm\xF6\ - glich unterst\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.4 - description: "Die externe Dokumentation (Beschriftung von Anschl\xFCssen zur\ - \ Unterst\xFCtzung des Betriebs) der Verkabelung SOLLTE m\xF6glichst neutral\ - \ gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.5 - description: "Jede Ver\xE4nderung im Netz SOLLTE dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.6 - description: Eine Interims- oder Arbeitsversion der Dokumentation SOLLTE unmittelbar, - d. h. am Tag selbst angepasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.7 - description: "Die Stamm-Dokumentation MUSS sp\xE4testens 4 Wochen nach Abschluss\ - \ der jeweiligen Arbeiten aktualisiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.8 - description: "Es SOLLTE gepr\xFCft werden, ob ein Dokumentenmanagement f\xFC\ - r die Dokumentation eingesetzt werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.9 - description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und\ - \ aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 - ref_id: INF.12.A10.10 - description: "S\xE4mtliche technischen Einrichtungen, die im Rahmen der Verkabelung\ - \ dokumentiert sind, M\xDCSSEN hinsichtlich der Dokumentationstreue sp\xE4\ - testens nach 4 Jahren gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A11 - name: Neutrale Dokumentation in den Verteilern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.1 - description: In jedem Verteiler SOLLTE es eine Dokumentation geben, die den - derzeitigen Stand von Rangierungen und Leitungsbelegungen wiedergibt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.2 - description: "Die Dokumentation im Verteiler MUSS ein sicheres Schalten erm\xF6\ - glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.3 - description: "Die Dokumentation im Verteiler SOLLTE m\xF6glichst neutral gehalten\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.4 - description: "In der Dokumentation im Verteiler SOLLTEN nur bestehende und genutzte\ - \ Verbindungen sowie auflaufende Reservekabel aufgef\xFChrt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.5 - description: "Falls m\xF6glich, SOLLTEN keine Hinweise auf die Art gegeben werden,\ - \ wie Kabel genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.6 - description: "Es SOLLTEN nur solche Hinweise gegeben werden, die ausdr\xFCcklich\ - \ vorgeschrieben sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 - ref_id: INF.12.A11.7 - description: "Alle weitergehenden Informationen SOLLTEN in einer Revisionsdokumentation\ - \ aufgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A12 - name: Kontrolle elektrotechnischer Anlagen und bestehender Verbindungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - ref_id: INF.12.A12.1 - description: "Alle elektrischen Anlagen und Betriebsmittel SOLLTEN gem\xE4\xDF\ - \ DGUV Vorschrift 3, entsprechend den in \xA7 5 Pr\xFCfung genannten Durchf\xFC\ - hrungsanweisungen, regelm\xE4\xDFig gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - ref_id: INF.12.A12.2 - description: "Alle Unregelm\xE4\xDFigkeiten, die festgestellt werden, M\xDC\ - SSEN unverz\xFCglich dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - ref_id: INF.12.A12.3 - description: "Festgestellte Unregelm\xE4\xDFigkeiten M\xDCSSEN unverz\xFCglich\ - \ den zust\xE4ndigen Organisationseinheiten gemeldet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - ref_id: INF.12.A12.4 - description: "Die zust\xE4ndigen Organisationseinheiten M\xDCSSEN die festgestellten\ - \ Unregelm\xE4\xDFigkeiten so zeitnah beheben, dass eine Gef\xE4hrdung von\ - \ Personen ausgeschlossen werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 - ref_id: INF.12.A12.5 - description: "Die Verf\xFCgbarkeit der elektrischen Anlagen und Betriebsmittel\ - \ MUSS hierbei im erforderlichen Ma\xDF sichergestellt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A13 - name: "Vermeidung elektrischer Z\xFCndquellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 - ref_id: INF.12.A13.1 - description: "Die Nutzung privater Elektroger\xE4te innerhalb einer Institution\ - \ SOLLTE klar geregelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 - ref_id: INF.12.A13.2 - description: "Alle Elektroger\xE4te M\xDCSSEN durch eine Elektrofachkraft gepr\xFC\ - ft und f\xFCr sicher befunden werden, bevor sie eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 - ref_id: INF.12.A13.3 - description: "Die Verwendung von Steckdosenleisten SOLLTE soweit wie m\xF6glich\ - \ vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 - ref_id: INF.12.A13.4 - description: "Fehlende Steckdosen SOLLTEN durch eine Elektrofachkraft fachgerecht\ - \ nachger\xFCstet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A14 - name: A-B-Versorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 - ref_id: INF.12.A14.1 - description: "Es SOLLTE gepr\xFCft werden, ob anstelle einer einz\xFCgigen Stromversorgung\ - \ eine zweiz\xFCgige sogenannte A-B-Versorgung geschaffen werden soll, die\ - \ wichtige IT-Komponenten und andere Verbraucher versorgt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 - ref_id: INF.12.A14.2 - description: "Dabei SOLLTE die Funktionsf\xE4higkeit der Stromversorgung permanent\ - \ durch geeignete technische Einrichtungen \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A15 - name: Materielle Sicherung der Verkabelung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 - ref_id: INF.12.A15.1 - description: "F\xFCr alle R\xE4ume eines Geb\xE4udes, insbesondere in R\xE4\ - umen mit Publikumsverkehr sowie in un\xFCbersichtlichen Bereichen SOLLTE \xFC\ - berlegt werden, Kabel und Verteiler gegen unbefugte Zugriffe zu sichern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 - ref_id: INF.12.A15.2 - description: "In jedem Fall SOLLTEN die Zahl und der Umfang derjenigen Stellen\ - \ m\xF6glichst gering gehalten werden, an denen Einrichtungen der Energieversorgung\ - \ und Zugangspunkte des Datennetzes f\xFCr Unbefugte zug\xE4nglich sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A16 - name: Nutzung von Schranksystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 - ref_id: INF.12.A16.1 - description: "Elektrotechnische Anschl\xFCsse und -verteiler SOLLTEN in Schranksystemen\ - \ aufgestellt oder in diese eingebaut werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 - ref_id: INF.12.A16.2 - description: "Bei der Dimensionierung der Schranksysteme SOLLTE das erwartete\ - \ Wachstum f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 - ref_id: INF.12.A17 - name: "Redundanzen f\xFCr die IT-Verkabelung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - ref_id: INF.12.A17.1 - description: "Es SOLLTE gepr\xFCft werden, ob eine redundante prim\xE4re IT-Verkabelung\ - \ geschaffen werden soll, die \xFCber unabh\xE4ngige Trassen gef\xFChrt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - ref_id: INF.12.A17.2 - description: "Ebenso SOLLTE gepr\xFCft werden, ob die Anschl\xFCsse an IT- oder\ - \ TK-Provider redundant ausgelegt werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - ref_id: INF.12.A17.3 - description: "Bei hohen oder sehr hohen Verf\xFCgbarkeitsanforderungen SOLLTE\ - \ \xFCberlegt werden, in den relevanten Geb\xE4uden die Sekund\xE4r- und Terti\xE4\ - rverkabelung redundant auszulegen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - ref_id: INF.12.A17.4 - description: "Dabei SOLLTEN redundant ausgelegte Teile der Sekund\xE4rverkabelung\ - \ in unterschiedlichen Brandabschnitten gef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 - ref_id: INF.12.A17.5 - description: "Wird eine redundante Verkabelung verwendet, SOLLTE deren Funktionsf\xE4\ - higkeit regelm\xE4\xDFig gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.13 - name: "Technisches Geb\xE4udemanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A1 - name: "Beurteilung des Ist-Zustands bei der \xDCbernahme bestehender Geb\xE4\ - ude" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1 - ref_id: INF.13.A1.1 - description: "Bei der \xDCbernahme von bestehenden Geb\xE4uden M\xDCSSEN die\ - \ im Geb\xE4ude installierten TGA-Anlagen, die Bausubstanz und Einrichtungen\ - \ sowie vorhandene Dokumentation erfasst und hinsichtlich ihres Zustands (Alter,\ - \ Supportstatus, Zukunftsf\xE4higkeit, Vollst\xE4ndigkeit der Dokumentation\ - \ etc.) beurteilt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A2 - name: "Regelung und Dokumentation von Verantwortlichkeiten und Zust\xE4ndigkeiten\ - \ im Geb\xE4ude" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.1 - description: "Da es in einem Geb\xE4ude meist unterschiedliche Verantwortlichkeiten\ - \ und Zust\xE4ndigkeiten f\xFCr verschiedene Bereiche gibt, M\xDCSSEN die\ - \ entsprechenden Rechte, Pflichten, Aufgaben, Kompetenzen und zugeh\xF6rigen\ - \ Prozesse geregelt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.2 - description: "Hierbei M\xDCSSEN auch die organisatorischen Strukturen im Geb\xE4\ - ude ber\xFCcksichtigt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.3 - description: "Insbesondere M\xDCSSEN alle Nachfrage- und betreibenden Organisationen\ - \ erfasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.4 - description: "Wird das TGM durch eine externe Organisation betrieben, M\xDC\ - SSEN die zugeh\xF6rigen Rechte, Pflichten, Aufgaben und Kompetenzen gem\xE4\ - \xDF Baustein OPS.2.3 Nutzung von Outsourcing vertraglich festgehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.5 - description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege inklusive\ - \ Eskalation zwischen allen Beteiligten festgelegt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.6 - description: Auch die Koordination verschiedener betreibender Organisationen - MUSS geregelt und dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.7 - description: Der Zugriff auf die Dokumentation MUSS geregelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 - ref_id: INF.13.A2.8 - description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ - \ MUSS immer aktuell und verf\xFCgbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A3 - name: "Dokumentation von Geb\xE4udeeinrichtungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 - ref_id: INF.13.A3.1 - description: "Alle Geb\xE4udeeinrichtungen der TGA inklusive GA M\xDCSSEN dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 - ref_id: INF.13.A3.2 - description: "Hierbei MUSS s\xE4mtliche, auch schon vorhandene, Dokumentation\ - \ zusammengef\xFChrt, aus dem Blickwinkel des TGM organisiert und um TGM-spezifische\ - \ Angaben erg\xE4nzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 - ref_id: INF.13.A3.3 - description: Der Zugriff auf die Dokumentation MUSS geregelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 - ref_id: INF.13.A3.4 - description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ - \ MUSS immer aktuell und verf\xFCgbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A4 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - ref_id: INF.13.A4.1 - description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ - \ SOLLTE eine \xFCbergeordnete Sicherheitsrichtlinie f\xFCr TGM erstellt sowie\ - \ nachvollziehbar umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - ref_id: INF.13.A4.2 - description: "Aus dieser \xFCbergeordneten Sicherheitsrichtlinie SOLLTEN spezifische\ - \ Sicherheitsrichtlinien f\xFCr die verschiedenen Themenbereiche des TGM abgeleitet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - ref_id: INF.13.A4.3 - description: "In der Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN nachvollziehbar\ - \ Anforderungen und Vorgaben beschrieben werden, wie das TGM umgesetzt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - ref_id: INF.13.A4.4 - description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig und zus\xE4\ - tzlich bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem\ - \ aktuellen Stand der Technik zu entsprechen und auch neueste Erkenntnisse\ - \ abdecken zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 - ref_id: INF.13.A4.5 - description: "Sie SOLLTE allen im Bereich TGM zust\xE4ndigen Mitarbeitenden\ - \ bekannt und grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A5 - name: Planung des TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.1 - description: "Das TGM, die zugrundeliegende Infrastruktur und die zugeh\xF6\ - rigen Prozesse SOLLTEN geeignet geplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.2 - description: Die Planung SOLLTE dabei mindestens eine detaillierte Anforderungsanalyse, - eine ausreichende Grobkonzeptionierung und eine Fein- und Umsetzungsplanung - umfassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.3 - description: Im Rahmen der Anforderungsanalyse SOLLTEN Anforderungen an TGM-Infrastruktur - und TGM-Prozesse spezifiziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.4 - description: "Dabei SOLLTEN alle wesentlichen Elemente f\xFCr das TGM ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.5 - description: "Auch SOLLTE die Sicherheitsrichtlinie f\xFCr das TGM beachtet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.6 - description: Steht die Nachfrageorganisation zum Zeitpunkt der Planung noch - nicht fest, SOLLTEN im Rahmen einer universellen Planung zumindest grundlegende - Anforderungen erfasst werden, die dem Stand der Technik entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.7 - description: "F\xFCr die Anforderungsspezifikation SOLLTEN auch die Schnittstellen\ - \ der zu verwaltenden Systeme dokumentiert werden, z. B. um die Kompatibilit\xE4\ - t von TGM-L\xF6sung und zu verwaltenden Systemen zu gew\xE4hrleisten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.8 - description: "Au\xDFerdem SOLLTEN vor der Beauftragung von Dienstleistenden\ - \ oder vor der Anschaffung von Hard- oder Software der durch das TGM zu verwaltenden\ - \ Systeme die Anforderungen des TGM in einem Lastenheft des TGM spezifiziert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.9 - description: "In diesem Lastenheft SOLLTE auch die Durchf\xFChrung von Tests\ - \ ber\xFCcksichtigt werden (siehe auch INF.13.A22 Durchf\xFChrung von Systemtests\ - \ im TGM)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.10 - description: "Wenn im TGM Funktionen der K\xFCnstlichen Intelligenz (KI) eingesetzt\ - \ werden, SOLLTE bei dem zust\xE4ndigen herstellenden Unternehmen angefragt\ - \ werden, ob und wie die Informationssicherheit hier angemessen ber\xFCcksichtigt\ - \ wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.11 - description: "Die Grobkonzeptionierung SOLLTE gem\xE4\xDF INF.13.A6 Erstellung\ - \ eines TGM-Konzepts erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 - ref_id: INF.13.A5.12 - description: "In der Fein- und Umsetzungsplanung f\xFCr das TGM SOLLTEN alle\ - \ in der Sicherheitsrichtlinie und im TGM-Konzept adressierten Punkte ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A6 - name: Erstellung eines TGM-Konzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.1 - description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das TGM SOLLTE\ - \ ein TGM-Konzept erstellt und gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.2 - description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ - cksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.3 - description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das TGM" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.4 - description: "\u2022 Absicherung des Zugangs und der Kommunikation" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.5 - description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ - \ von TGM-Komponenten zu Netzsegmenten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.6 - description: "\u2022 Umfang des Monitorings und der Alarmierung" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.7 - description: "\u2022 Protokollierung von Ereignissen und administrativen Zugriffen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.8 - description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.9 - description: "\u2022 ben\xF6tigte Prozesse f\xFCr das TGM" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.10 - description: "\u2022 Bereitstellung von TGM-Informationen f\xFCr andere Betriebsbereiche" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.11 - description: "\u2022 Einbindung des TGM in die Notfallplanung Das TGM-Konzept\ - \ SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf gepr\xFCft und gegebenenfalls\ - \ aktualisiert werden, um dem aktuellen Stand der Technik zu entsprechen und\ - \ auch neue Erkenntnisse abdecken zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.12 - description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig ein Soll-Ist-Vergleich zwischen\ - \ den Vorgaben des Konzepts und dem aktuellen Zustand durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.13 - description: "Dabei SOLLTE insbesondere gepr\xFCft werden, ob die Systeme gem\xE4\ - \xDF den Vorgaben konfiguriert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.14 - description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 - ref_id: INF.13.A6.15 - description: Abweichungen SOLLTEN behoben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A7 - name: Erstellung eines Funkfrequenzkatasters - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - ref_id: INF.13.A7.1 - description: "Um Funkfrequenzen weitestgehend st\xF6rungsfrei nutzen zu k\xF6\ - nnen, SOLLTE ein Funkfrequenzkataster erstellt werden, dass die Systeme und\ - \ Nutzenden des Frequenzspektrums an den Standorten der Institution listet." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - ref_id: INF.13.A7.2 - description: "Dabei SOLLTE bei einer potentiellen Nutzung von Frequenzen durch\ - \ unterschiedliche Systeme und Nutzende festgelegt werden, wer auf welchen\ - \ Frequenzen der Prim\xE4rnutzende ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - ref_id: INF.13.A7.3 - description: Dabei SOLLTE auch eine Abstimmung zwischen IT und TGM erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - ref_id: INF.13.A7.4 - description: "Wird in den Geb\xE4uden OT eingesetzt, SOLLTE auch hier eine Abstimmung\ - \ erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 - ref_id: INF.13.A7.5 - description: "Das Funkfrequenzkataster SOLLTE regelm\xE4\xDFig und zus\xE4tzlich\ - \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A8 - name: "Erstellung und Pflege eines Inventars f\xFCr das TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 - ref_id: INF.13.A8.1 - description: "F\xFCr die Dokumentation von Systemen, die durch das TGM verwaltet\ - \ werden, SOLLTE ein Inventar erstellt und gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 - ref_id: INF.13.A8.2 - description: "Das Inventar SOLLTE vollst\xE4ndig und aktuell gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 - ref_id: INF.13.A8.3 - description: "Aus dem Inventar SOLLTEN f\xFCr alle Systeme Verantwortlichkeiten\ - \ und Zust\xE4ndigkeiten ersichtlich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 - ref_id: INF.13.A8.4 - description: Auch die Elemente der TGM-Infrastruktur selbst SOLLTEN dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A9 - name: Regelung des Einsatzes von Computer-Aided Facility Management - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 - ref_id: INF.13.A9.1 - description: Wird ein Computer-Aided Facility Management-System (CAFM-System) - eingesetzt, SOLLTE dieser Einsatz umfassend geplant und konzeptioniert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 - ref_id: INF.13.A9.2 - description: "Werden im CAFM Prozesse abgebildet und unterst\xFCtzt, SOLLTEN\ - \ entsprechende Rollen und Berechtigungen definiert werden, insbesondere wenn\ - \ externe Dienstleistende an den Prozessen beteiligt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A10 - name: Regelung des Einsatzes von Building Information Modeling - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 - ref_id: INF.13.A10.1 - description: "Soweit m\xF6glich SOLLTE Building Information Modeling (BIM) zur\ - \ digitalen Modellierung aller relevanten Geb\xE4udedaten eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 - ref_id: INF.13.A10.2 - description: Bei der Verwendung von BIM SOLLTE der BIM-Projektabwicklungsplan - spezifiziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 - ref_id: INF.13.A10.3 - description: Weiterhin SOLLTE die BIM-Architektur umfassend geplant und konzeptioniert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 - ref_id: INF.13.A10.4 - description: "Auch f\xFCr die BIM-Werkzeuge SOLLTE die Informationssicherheit\ - \ angemessen gew\xE4hrleistet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A11 - name: "Angemessene H\xE4rtung von Systemen im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - ref_id: INF.13.A11.1 - description: "Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben\ - \ werden, SOLLTEN angemessen geh\xE4rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - ref_id: INF.13.A11.2 - description: "Die H\xE4rtungsma\xDFnahmen SOLLTEN dokumentiert, regelm\xE4\xDF\ - ig und zus\xE4tzlich bei Bedarf \xFCberpr\xFCft und, falls erforderlich, angepasst\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - ref_id: INF.13.A11.3 - description: "F\xFCr alle Systeme des TGM sowie die Systeme, die durch das TGM\ - \ betrieben werden, SOLLTE bei der Beschaffung sichergestellt werden, dass\ - \ diese angemessen geh\xE4rtet werden k\xF6nnen und insbesondere sicherheitsrelevante\ - \ Updates f\xFCr die geplante Nutzungsdauer bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - ref_id: INF.13.A11.4 - description: "Systeme, f\xFCr die keine sicherheitsrelevanten Updates verf\xFC\ - gbar sind, SOLLTEN nach Bekanntwerden von Schwachstellen nicht mehr genutzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 - ref_id: INF.13.A11.5 - description: "Wenn dies nicht m\xF6glich ist, SOLLTEN die betroffenen Systeme\ - \ mit den Mitteln der Netzsegmentierung separiert und die Kommunikation kontrolliert\ - \ und reglementiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A12 - name: Sichere Konfiguration der TGM-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.1 - description: Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben - werden, SOLLTEN sicher konfiguriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.2 - description: Die Konfiguration SOLLTE mindestens vor Inbetriebnahme eines Systems - getestet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.3 - description: "Konfigurations\xE4nderungen w\xE4hrend des Produktivbetriebs SOLLTEN\ - \ vor Aktivierung auf einer Testinstanz getestet oder nur im Vier-Augen-Prinzip\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.4 - description: "Die Konfiguration von Systemen SOLLTE gesichert werden, um ein\ - \ schnelles Wiedereinspielen einer fehlerfreien Version zu erm\xF6glichen\ - \ (Rollback)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.5 - description: "Rollback-Tests SOLLTEN auf einem Testsystem eingerichtet oder\ - \ w\xE4hrend Wartungsfenstern durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.6 - description: Die Konfigurationen SOLLTEN zentral gespeichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.7 - description: "F\xFCr gleichartige Systeme, inklusive der Ger\xE4te der Automations-\ - \ und Feldebene (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe),\ - \ SOLLTE eine automatisierte Verteilung von Software-Updates und Konfigurationen\ - \ eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.8 - description: "Konfigurations\xE4nderungen SOLLTEN allen Beteiligten an Betriebs-\ - \ und Serviceprozessen (Entst\xF6rung, Rufbereitschaft, Wartungen etc.) bekannt\ - \ gemacht werden, insbesondere" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.9 - description: "\u2022 \xC4nderungen der Zugangsmechanismen oder der Passw\xF6\ - rter sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.10 - description: "\u2022 \xC4nderungen an Kommunikations- und Steuerparametern f\xFC\ - r die eingebundenen Systeme." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.11 - description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall beispielsweise\ - \ eine Wartungstechnikerin oder ein Wartungstechniker das System bedienen\ - \ bzw. parametrieren kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.12 - description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ - \ gepr\xFCft werden, ob die Systeme gem\xE4\xDF den Vorgaben konfiguriert\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.13 - description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 - ref_id: INF.13.A12.14 - description: Abweichungen von den Vorgaben SOLLTEN behoben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A13 - name: "Sichere Anbindung von eingeschr\xE4nkt vertrauensw\xFCrdigen Systemen\ - \ im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 - ref_id: INF.13.A13.1 - description: "Eingeschr\xE4nkt vertrauensw\xFCrdige Systeme, die aus wichtigen\ - \ betrieblichen Gr\xFCnden im TGM eingebunden werden m\xFCssen, SOLLTEN \xFC\ - ber ein System angebunden werden, das die Kommunikation mit Hilfe von Firewall-Funktionen\ - \ kontrolliert und reglementiert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 - ref_id: INF.13.A13.2 - description: Dieses System SOLLTE in der Verantwortlichkeit des TGM liegen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A14 - name: "Ber\xFCcksichtigung spezieller Rollen und Berechtigungen im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 - ref_id: INF.13.A14.1 - description: "Im Rollen- und Berechtigungskonzept hinsichtlich des TGM SOLLTEN\ - \ sowohl Nachfrage- als auch betreibende Organisationen der TGM-Systeme und\ - \ der TGA-Systeme ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 - ref_id: INF.13.A14.2 - description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ - \ das TGM institutions\xFCbergreifend bereitgestellt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A15 - name: Schutz vor Schadsoftware im TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 - ref_id: INF.13.A15.1 - description: "K\xF6nnen auf einem System keine Virenschutzprogramme gem\xE4\xDF\ - \ Baustein OPS.1.1.4 Schutz vor Schadprogrammen ausgef\xFChrt werden, beispielsweise\ - \ aufgrund von knappen Ressourcen oder aufgrund von Echtzeitanforderungen,\ - \ SOLLTEN geeignete alternative Schutzverfahren eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 - ref_id: INF.13.A15.2 - description: "Jedes externe System und jeder externe Datentr\xE4ger SOLLTE vor\ - \ der Verbindung mit einem TGM-System und vor der Daten\xFCbertragung auf\ - \ Schadsoftware gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A16 - name: "Prozess f\xFCr \xC4nderungen im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - ref_id: INF.13.A16.1 - description: "\xC4nderungen SOLLTEN immer angek\xFCndigt und mit allen beteiligten\ - \ Gewerken (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe), Nachfrage-\ - \ und betreibenden Organisationen abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - ref_id: INF.13.A16.2 - description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Fall getroffen werden,\ - \ dass ein R\xFCckbau von \xC4nderungen mit fehlerhaftem Ergebnis nicht oder\ - \ nur mit hohem Aufwand m\xF6glich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - ref_id: INF.13.A16.3 - description: "Daher sollten im \xC4nderungsmanagement vor Ausf\xFChrung der\ - \ \xC4nderung Tests durchgef\xFChrt werden, die auch die F\xE4higkeit des\ - \ R\xFCckbaus beinhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - ref_id: INF.13.A16.4 - description: "F\xFCr die verschiedenen Typen von \xC4nderungen SOLLTE die jeweilige\ - \ Testtiefe festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 - ref_id: INF.13.A16.5 - description: "Bei der Einf\xFChrung neuer Systeme und bei gro\xDFen \xC4nderungen\ - \ an bestehenden Systemen SOLLTE eine entsprechend hohe Testtiefe vorgesehen\ - \ werden (siehe INF.13.A22 Durchf\xFChrung von Systemtests im TGM)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A17 - name: Regelung von Wartungs- und Reparaturarbeiten im TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.1 - description: "Geb\xE4udeeinrichtungen SOLLTEN regelm\xE4\xDFig gewartet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.2 - description: "Hierf\xFCr SOLLTE ein Wartungsplan erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.3 - description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- - und Reparaturarbeiten zu beachten sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.4 - description: "Dabei SOLLTEN auch die Abh\xE4ngigkeiten der verschiedenen Gewerke\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.5 - description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wer f\xFCr die Wartung\ - \ oder Reparatur von Einrichtungen zust\xE4ndig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.6 - description: "Durchgef\xFChrte Wartungsarbeiten SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.7 - description: "Es SOLLTE zu jedem Zeitpunkt gew\xE4hrleistet werden, dass Wartungs-\ - \ und Reparaturarbeiten, die durch Dritte ausgef\xFChrt werden, kontrolliert,\ - \ ausschlie\xDFlich abgestimmt durchgef\xFChrt und abgenommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 - ref_id: INF.13.A17.8 - description: "Hierf\xFCr SOLLTEN interne Mitarbeitende der Haustechnik bestimmt\ - \ werden, die solche Wartungs- und Reparaturarbeiten autorisieren, beobachten,\ - \ gegebenenfalls unterst\xFCtzen und abnehmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A18 - name: Proaktive Instandhaltung im TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 - ref_id: INF.13.A18.1 - description: "F\xFCr Systeme, die durch das TGM verwaltet werden, SOLLTE eine\ - \ angemessene proaktive Instandhaltung durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 - ref_id: INF.13.A18.2 - description: "Hierf\xFCr SOLLTEN die regelm\xE4\xDFigen Wartungsintervalle je\ - \ System festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 - ref_id: INF.13.A18.3 - description: "Zus\xE4tzlich SOLLTE je System abgewogen werden, ob erg\xE4nzend\ - \ zur regelm\xE4\xDFigen Instandhaltung eine vorausschauende Instandhaltung\ - \ (engl. Predictive Maintenance) genutzt werden kann und in welchem Umfang\ - \ hierdurch die regelm\xE4\xDFigen Wartungsintervalle verl\xE4ngert werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A19 - name: "Konzeptionierung und Durchf\xFChrung des Monitorings im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.1 - description: "Es SOLLTE ein Konzept f\xFCr das Monitoring im TGM erstellt und\ - \ umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.2 - description: "Darin SOLLTE spezifiziert werden, wie die durch das TGM zu verwaltenden\ - \ Systeme in ein m\xF6glichst einheitliches Monitoring eingebunden werden\ - \ k\xF6nnen und welche Werte \xFCberwacht werden sollten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.3 - description: "Hierf\xFCr SOLLTEN schon bei der Anforderungsanalyse erforderliche\ - \ Schnittstellen f\xFCr das Monitoring wichtiger Zust\xE4nde von Systemen\ - \ spezifiziert werden, die durch das TGM verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.4 - description: "Au\xDFerdem SOLLTEN auch die f\xFCr das TGM genutzten Systeme\ - \ in das Monitoring eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.5 - description: "Das Konzept SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ - \ gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen Stand\ - \ der Technik zu entsprechen und auch neueste Erkenntnisse abdecken zu k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 - ref_id: INF.13.A19.6 - description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ - \ Kommunikationswege \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A20 - name: Regelung des Ereignismanagements im TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 - ref_id: INF.13.A20.1 - description: Im TGM auftretende Ereignisse SOLLTEN hinsichtlich ihrer Bedeutung - und ihres Einflusses kategorisiert, gefiltert und klassifiziert werden (englisch - Event Management). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 - ref_id: INF.13.A20.2 - description: "F\xFCr die Ereignisse SOLLTEN Schwellwerte definiert werden, die\ - \ eine automatisierte Einstufung von Ereignissen erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 - ref_id: INF.13.A20.3 - description: "Je nach Klassifizierung der Ereignisse SOLLTEN entsprechende Ma\xDF\ - nahmen f\xFCr Monitoring, Alarmierung und Meldewege (Eskalation) sowie Ma\xDF\ - nahmen zur Protokollierung bestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A21 - name: Protokollierung im TGM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.1 - description: Ereignisse, die im Ereignismanagement entsprechend klassifiziert - wurden, SOLLTEN protokolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.2 - description: "Au\xDFerdem SOLLTEN f\xFCr die Systeme sicherheitsrelevante Ereignisse\ - \ protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.3 - description: Alle Konfigurationszugriffe sowie alle manuellen und automatisierten - Steuerungszugriffe SOLLTEN protokolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.4 - description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine vollumf\xE4ngliche Protokollierung\ - \ inklusive Metadaten und Inhalt der \xC4nderungen erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.5 - description: "Die Protokollierung SOLLTE auf einer zentralen Protokollierungsinstanz\ - \ zusammengef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.6 - description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ - \ \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 - ref_id: INF.13.A21.7 - description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A22 - name: "Durchf\xFChrung von Systemtests im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.1 - description: "Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ - \ SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4nderungen hinsichtlich\ - \ ihrer funktionalen und nicht-funktionalen Anforderungen getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.2 - description: "Dabei SOLLTE auch das Soll- und Ist-Verhalten von Funktionen und\ - \ Einstellungen gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.3 - description: "Bei den nicht-funktionalen Anforderungen SOLLTEN auch Anforderungen\ - \ der Informationssicherheit getestet sowie zus\xE4tzlich bei Bedarf auch\ - \ Lasttests durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.4 - description: "F\xFCr die Tests SOLLTE eine Testspezifikation erstellt werden,\ - \ die eine Beschreibung der Testumgebung, der Testtiefe und der Testf\xE4\ - lle inklusive der Kriterien f\xFCr eine erfolgreiche Testdurchf\xFChrung enth\xE4\ - lt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.5 - description: "Die Testdurchf\xFChrung SOLLTE in einem Testbericht dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 - ref_id: INF.13.A22.6 - description: "Testspezifikationen SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ - \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen\ - \ Stand der Technik zu entsprechen und auch neueste Erkenntnisse abdecken\ - \ zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A23 - name: Integration des TGM in das Schwachstellenmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.1 - description: "Systeme des TGM und die durch das TGM verwalteten Systeme SOLLTEN\ - \ fortlaufend hinsichtlich m\xF6glicher Schwachstellen \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.2 - description: "Hierf\xFCr SOLLTEN regelm\xE4\xDFig Informationen \xFCber bekanntgewordene\ - \ Schwachstellen eingeholt und entsprechend ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.3 - description: "Hierbei SOLLTE auch die Konfiguration der Systeme dahingehend\ - \ \xFCberpr\xFCft werden, ob sie bekannt gewordene Schwachstellen beg\xFC\ - nstigt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.4 - description: "Weiterhin SOLLTE entschieden werden, f\xFCr welche Systeme regelm\xE4\ - \xDFig oder zumindest bei Inbetriebnahme und bei gro\xDFen System\xE4nderungen\ - \ Schwachstellen-Scans durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.5 - description: "F\xFCr Schwachstellen-Scans SOLLTE die Scan-Tiefe festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.6 - description: "Au\xDFerdem SOLLTE festgelegt werden, ob ein passiver oder ein\ - \ aktiver Scan durchgef\xFChrt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.7 - description: In Produktivumgebungen SOLLTEN passive Scans bevorzugt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 - ref_id: INF.13.A23.8 - description: "Aktive Scans SOLLTEN in Produktivumgebungen nur durchgef\xFChrt\ - \ werden, wenn sie notwendig sind und Personal hinzugezogen wird, das durch\ - \ den Scan bedingte, eventuell auftretende Fehler oder Ausf\xE4lle beheben\ - \ kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A24 - name: "Sicherstellung der Kontrolle \xFCber die Prozesse bei Cloud-Nutzung f\xFC\ - r das TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 - ref_id: INF.13.A24.1 - description: "Werden im TGM Cloud-basierte Dienste genutzt, SOLLTE die Kontrolle\ - \ \xFCber alle TGM-Prozesse im TGM verbleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 - ref_id: INF.13.A24.2 - description: Dies SOLLTE bei Nutzung eines Cloud-Dienstes vertraglich mit dem - anbietenden Unternehmen festgelegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A25 - name: "Aufbau einer Testumgebung f\xFCr das TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 - ref_id: INF.13.A25.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr Systeme des TGM und\ - \ f\xFCr Systeme, die durch das TGM verwaltet werden, eine Testumgebung eingerichtet\ - \ werden, damit Hard- und Software vor der Inbetriebnahme und bei \xC4nderungen\ - \ getestet und Fehler im produktiven Betrieb reduziert werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 - ref_id: INF.13.A25.2 - description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Umgang mit Systemen\ - \ spezifiziert werden, f\xFCr die keine Testumgebung aufgebaut werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A26 - name: Absicherung von BIM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 - ref_id: INF.13.A26.1 - description: "Werden in BIM auch sicherheitskritische Informationen erfasst,\ - \ SOLLTEN sowohl auf Ebene der BIM-Architektur als auch f\xFCr Implementierung\ - \ und Betrieb der BIM-L\xF6sung entsprechende Sicherheits- und H\xE4rtungsma\xDF\ - nahmen vorgesehen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 - ref_id: INF.13.A26.2 - description: "Die Absicherung SOLLTE ein versch\xE4rftes Rollen- und Berechtigungskonzept\ - \ sowie weitergehende Schutzma\xDFnahmen wie Verschl\xFCsselung, Segmentierung\ - \ und h\xF6herwertige Authentisierungsmechanismen, insbesondere eine 2-Faktor-Authentisierung,\ - \ beinhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A27 - name: "Einrichtung einer Private Cloud f\xFCr das TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 - ref_id: INF.13.A27.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTEN Cloud-Dienste zum TGM in\ - \ einer Private Cloud On-Premises oder einer Private Cloud bei einem vertrauensw\xFC\ - rdigen Anbietenden positioniert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 - ref_id: INF.13.A27.2 - description: Der Einsatz einer Public Cloud SOLLTE vermieden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A28 - name: "Sichere Nutzung von K\xFCnstlicher Intelligenz im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 - ref_id: INF.13.A28.1 - description: "Werden bei erh\xF6htem Schutzbedarf im TGM Funktionen der K\xFC\ - nstlichen Intelligenz (KI) genutzt, SOLLTE nur eine KI genutzt werden, die\ - \ nachweislich sicher ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 - ref_id: INF.13.A28.2 - description: "Mindestens SOLLTE darauf geachtet werden, dass keine Daten in\ - \ Netze geleitet werden, die nicht zur eigenen Institution geh\xF6ren oder\ - \ nicht vertrauensw\xFCrdig sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 - ref_id: INF.13.A28.3 - description: "F\xFCr Cloud-basierte KI-Dienste SOLLTEN \xFCber die Anforderungen\ - \ des Bausteins OPS.2.2 Cloud-Nutzung hinaus auch die Kriterien des AI Cloud\ - \ Service Compliance Criteria Catalogue (AIC4) des BSI ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A29 - name: Integration des TGM in ein SIEM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29 - ref_id: INF.13.A29.1 - description: "Wird ein System f\xFCr das Security Information and Event Management\ - \ (SIEM) genutzt, SOLLTEN die Systeme des TGM und soweit m\xF6glich auch die\ - \ durch das TGM verwalteten Systeme entsprechend eingebunden werden, um system-\ - \ und anwendungs\xFCbergreifende sicherheitsrelevante Vorf\xE4lle erkennen\ - \ und analysieren zu k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 - ref_id: INF.13.A30 - name: "Durchf\xFChrung von Penetrationstests im TGM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 - ref_id: INF.13.A30.1 - description: "Um Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ - \ entsprechend abzusichern, SOLLTEN bedarfsorientiert Penetrationstests durchgef\xFC\ - hrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 - ref_id: INF.13.A30.2 - description: "Mindestens SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4\ - nderungen in einer Testumgebung Penetrationstests durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 - ref_id: INF.13.A30.3 - description: Werden im TGM Funktionen der KI genutzt, SOLLTEN diese in die Penetrationstests - einbezogen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf - ref_id: INF.14 - name: "Geb\xE4udeautomation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A1 - name: "Planung der Geb\xE4udeautomation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.1 - description: "F\xFCr die von der Geb\xE4udeautomation (GA) gesteuerten Gewerke\ - \ MUSS festgelegt werden, wie die GA sicher gestaltet werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.2 - description: "Die GA MUSS bereits bei der Planung von Neubau, Umbau, Erweiterung\ - \ und Sanierung eines Geb\xE4udes ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.3 - description: "Daher MUSS die GA in den Planungs- und Bauprozessen, auch in Verbindung\ - \ mit Building Information Modeling (BIM), f\xFCr alle GA-relevanten Komponenten\ - \ und TGA-Anlagen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.4 - description: "Im Rahmen der GA-Planung M\xDCSSEN die einzurichtenden GA-Systeme\ - \ spezifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.5 - description: "Es MUSS festgelegt werden, in welchem Umfang TGA-Anlagen \xFC\ - ber das GA-System automatisiert gesteuert werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.6 - description: "Die GA SOLLTE so geplant werden, dass zur Kopplung und Integration\ - \ der TGA-Anlagen m\xF6glichst wenig unterschiedliche GA-Systeme sowie Kommunikationsprotokolle\ - \ und -schnittstellen genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.7 - description: Es SOLLTEN sichere und standardisierte Protokolle und Schnittstellen - eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.8 - description: "F\xFCr eine Entscheidung hinsichtlich der notwendigen Systeme,\ - \ Protokolle und Schnittstellen SOLLTE die erwartete Funktionalit\xE4t gegen\xFC\ - ber einem gegebenenfalls erh\xF6hten Aufwand f\xFCr Betriebs- und Informationssicherheit\ - \ abgewogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.9 - description: "Die Planung SOLLTE dokumentiert, regelm\xE4\xDFig und zus\xE4\ - tzlich bei Bedarf aktualisiert und dem Stand der Technik angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 - ref_id: INF.14.A1.10 - description: "Dar\xFCber hinaus SOLLTE die Planung regelm\xE4\xDFig und zus\xE4\ - tzlich bei Bedarf mit der aktuellen Konfiguration verglichen werden (Soll-Ist-Vergleich)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A2 - name: "Festlegung eines Inbetriebnahme- und Schnittstellenmanagements f\xFC\ - r die GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.1 - description: "Aufgrund der Vielzahl von TGA-Anlagen und Komponenten in Geb\xE4\ - uden, die in GA-Systemen angebunden werden, MUSS der Ablauf zur Inbetriebnahme\ - \ der involvierten TGA-Anlagen und GA-relevanten Komponenten aufeinander abgestimmt\ - \ und \xFCbergreifend festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.2 - description: "Dieser Ablauf MUSS koordiniert umgesetzt werden, um ein voll funktionsf\xE4\ - higes Geb\xE4ude zu gew\xE4hrleisten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.3 - description: "Ebenso M\xDCSSEN klare Schnittstellen zwischen den betreibenden\ - \ Organisationen der GA und der GA-relevanten Komponenten sowie den betreibenden\ - \ Organisationen der TGA-Anlagen definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.4 - description: "Inbetriebnahme- und Schnittstellenmanagement M\xDCSSEN dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.5 - description: "Sowohl regelm\xE4\xDFig als auch zus\xE4tzlich bei Bedarf M\xDC\ - SSEN die Festlegungen gepr\xFCft und gegebenenfalls nachjustiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 - ref_id: INF.14.A2.6 - description: "Insbesondere bei \xC4nderungen innerhalb der GA-Systeme M\xDC\ - SSEN die Festlegungen angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A3 - name: Sichere Anbindung von TGA-Anlagen und GA-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.1 - description: "F\xFCr alle TGA-Anlagen, GA-Systeme und GA-relevanten Komponenten\ - \ MUSS festgelegt werden, ob durch andere TGA-Anlagen, GA-Systeme oder GA-relevante\ - \ Komponenten Aktionen ausgel\xF6st werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.2 - description: "Falls eine solche Integration zul\xE4ssig ist, SOLLTE reglementiert\ - \ werden, welche automatisierten Aktionen durch welche Informationen eines\ - \ GA-Systems ausgel\xF6st werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.3 - description: Falls eine TGA-Anlage nicht in ein GA-System integriert werden - kann oder darf, diese jedoch an ein GA-System gekoppelt werden soll, MUSS - festgelegt werden, welche Informationen der TGA-Anlage an das GA-System gemeldet - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.4 - description: "Sowohl die Integration von TGA-Anlagen in ein GA-System als auch\ - \ die r\xFCckwirkungsfreie Kopplung von TGA-Anlagen an GA-Systeme M\xDCSSEN\ - \ angemessen abgesichert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.5 - description: Ebenfalls MUSS die Anbindung von GA-Systemen untereinander angemessen - abgesichert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.6 - description: "Hierzu M\xDCSSEN insbesondere die Ablauf- und Funktionsketten\ - \ innerhalb eines GA-Systems bzw. zwischen GA-Systemen angemessen geplant\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.7 - description: "Hierbei M\xDCSSEN alle \xDCberg\xE4nge zwischen Gewerken und Techniken\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.8 - description: "Diese Ablauf- und Funktionsketten M\xDCSSEN umfassend getestet\ - \ und bei Fehlverhalten nachjustiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.9 - description: "Die Festlegungen M\xDCSSEN vollumf\xE4nglich dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.10 - description: "Sowohl regelm\xE4\xDFig als auch erg\xE4nzend bei Bedarf SOLLTE\ - \ gepr\xFCft werden, ob die Dokumentation noch aktuell ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 - ref_id: INF.14.A3.11 - description: "Bei Abweichungen MUSS die Ursache f\xFCr die Abweichungen eruiert\ - \ und behoben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A4 - name: "Ber\xFCcksichtigung von Gefahrenmeldeanlagen in der GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - ref_id: INF.14.A4.1 - description: "Gefahrenmeldeanlagen inklusive Sicherheitsanlagen M\xDCSSEN r\xFC\ - ckwirkungsfrei an GA-Systeme gekoppelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - ref_id: INF.14.A4.2 - description: "Sie D\xDCRFEN NICHT in ein GA-System integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - ref_id: INF.14.A4.3 - description: "F\xFCr die netztechnische Anbindung M\xDCSSEN physisch getrennte\ - \ Netzkomponenten und physisch getrennte Segmente genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - ref_id: INF.14.A4.4 - description: "Werden Funknetze zur Kopplung genutzt, M\xDCSSEN solche TGA-Anlagen\ - \ als Prim\xE4rnutzende f\xFCr die verwendeten Frequenzbereiche festgelegt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 - ref_id: INF.14.A4.5 - description: "F\xFCr die Kommunikation \xFCber Funknetze SOLLTEN zertifizierte\ - \ Mechanismen genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A5 - name: Dokumentation der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.1 - description: "F\xFCr die GA MUSS die Vielzahl unterschiedlicher Komponenten\ - \ und Zug\xE4nge dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.2 - description: "Die Dokumentation MUSS regelm\xE4\xDFig und bei \xC4nderungen\ - \ innerhalb der GA gepr\xFCft und angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.3 - description: "Insbesondere M\xDCSSEN auch alle deaktivierten physischen Kommunikationsschnittstellen,\ - \ Protokolle und Zug\xE4nge bzw. Zugriffsm\xF6glichkeiten zur GA dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.4 - description: "Dar\xFCber hinaus M\xDCSSEN alle Wechselwirkungen und Abh\xE4\ - ngigkeiten von GA-relevanten Komponenten sowie von TGA-Anlagen, die in GA-Systeme\ - \ integriert oder mit GA-Systemen gekoppelt sind, dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.5 - description: "Die verf\xFCgbaren und genutzten Sicherheitseigenschaften der\ - \ verwendeten Protokolle SOLLTEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 - ref_id: INF.14.A5.6 - description: "Die Dokumentation SOLLTE f\xFCr alle GA-Systeme \xFCbergreifend\ - \ hinsichtlich Inhalten und deren Datenstrukturen abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A6 - name: Separierung von Netzen der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 - ref_id: INF.14.A6.1 - description: "GA-Netze M\xDCSSEN von B\xFCro-Netzen und sonstigen Netzen der\ - \ Institution mindestens logisch getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 - ref_id: INF.14.A6.2 - description: Jegliche Kommunikation zwischen GA-Systemen und sonstigen IT-Systemen - MUSS kontrolliert und reglementiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 - ref_id: INF.14.A6.3 - description: "Hierf\xFCr M\xDCSSEN an allen \xDCberg\xE4ngen einer solchen Segmentierung\ - \ entsprechende Komponenten mit Sicherheitsfunktionen, mindestens mit Firewall-Funktion,\ - \ vorgesehen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 - ref_id: INF.14.A6.4 - description: "Wird die GA f\xFCr einen Geb\xE4udekomplex oder eine Liegenschaft\ - \ zentral eingerichtet, so MUSS die geb\xE4ude\xFCbergreifende GA-Kommunikation\ - \ \xFCber LAN-, WLAN-, WAN-, Funknetz- oder Internet-Verbindungen auch auf\ - \ Ebene des Netzes separiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A7 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr die GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 - ref_id: INF.14.A7.1 - description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ - \ und der \xFCbergreifenden Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN die\ - \ Sicherheitsanforderungen an die GA, d. h. f\xFCr alle GA-Systeme, in einer\ - \ GA-Sicherheitsrichtlinie konkretisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 - ref_id: INF.14.A7.2 - description: "Diese Richtlinie SOLLTE allen Personen, die an Planung, Beschaffung,\ - \ Implementierung und Betrieb der GA-Systeme beteiligt sind, bekannt und Grundlage\ - \ f\xFCr deren Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 - ref_id: INF.14.A7.3 - description: "Die Inhalte und die Umsetzung der geforderten Richtlinieninhalte\ - \ SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft, gegebenenfalls angepasst und die\ - \ Ergebnisse der Pr\xFCfung nachvollziehbar dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 - ref_id: INF.14.A7.4 - description: "In der Sicherheitsrichtlinie SOLLTEN auch die Vorgaben an Entwicklung\ - \ und Test f\xFCr den Einsatz von GA-Systemen spezifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A8 - name: "Anforderungsspezifikation f\xFCr GA-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - ref_id: INF.14.A8.1 - description: "Ausgehend von der GA-Sicherheitsrichtlinie SOLLTE f\xFCr die GA\ - \ eine \xFCbergreifende und f\xFCr jedes GA-System eine eigene Anforderungsspezifikation\ - \ erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - ref_id: INF.14.A8.2 - description: "Aus den Anforderungen SOLLTEN sich alle wesentlichen Elemente\ - \ f\xFCr Architektur und Design des jeweiligen GA-Systems und der Kopplung\ - \ von GA-Systemen ableiten lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - ref_id: INF.14.A8.3 - description: "Die Anforderungsspezifikation SOLLTE dokumentiert sowie regelm\xE4\ - \xDFig und zus\xE4tzlich bei Bedarf dem Stand der Technik angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - ref_id: INF.14.A8.4 - description: "Dar\xFCber hinaus SOLLTE regelm\xE4\xDFig die Umsetzung der Anforderungen\ - \ gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 - ref_id: INF.14.A8.5 - description: "Es SOLLTEN in der GA ausschlie\xDFlich Komponenten eingesetzt\ - \ werden, die eine Authentisierung mindestens \xFCber einen \xE4nderbaren\ - \ Anmeldenamen und ein \xE4nderbares Passwort bereitstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A9 - name: Entwicklung eines GA-Konzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.1 - description: "Ausgehend von der GA-Sicherheitsrichtlinie und den Anforderungsspezifikationen\ - \ SOLLTE f\xFCr die GA ein \xFCbergreifendes GA-Konzept entwickelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.2 - description: "Hieraus abgeleitet SOLLTEN f\xFCr alle GA-Systeme detaillierte\ - \ Konzepte entwickelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.3 - description: "In den Konzepten SOLLTEN mindestens folgende Punkte angemessen\ - \ ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.4 - description: "\u2022 alle in das jeweilige GA-System integrierten TGA-Anlagen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.5 - description: "\u2022 alle mit dem jeweiligen GA-System gekoppelten TGA-Anlagen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.6 - description: "\u2022 alle GA-relevanten Komponenten mit den jeweiligen Kommunikationsverbindungen\ - \ Die Konzepte SOLLTEN alle technischen und organisatorischen Vorgaben beschreiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 - ref_id: INF.14.A9.7 - description: "Die erstellten Konzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ - \ gegebenenfalls aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A10 - name: "Bildung von unabh\xE4ngigen GA-Bereichen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 - ref_id: INF.14.A10.1 - description: "In der GA SOLLTEN GA-Bereiche derart geplant und umgesetzt werden,\ - \ dass Abh\xE4ngigkeiten zwischen den GA-Bereichen minimiert werden und GA-Bereiche\ - \ unabh\xE4ngig gesteuert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 - ref_id: INF.14.A10.2 - description: "Eine St\xF6rung in einem GA-Bereich SOLLTE keine oder nur geringe\ - \ Auswirkungen auf andere GA-Bereiche haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 - ref_id: INF.14.A10.3 - description: "Insbesondere SOLLTEN die Geb\xE4ude innerhalb eines Geb\xE4udekomplexes\ - \ oder einer Liegenschaft separat steuerbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 - ref_id: INF.14.A10.4 - description: Die eingerichteten GA-Bereiche SOLLTEN auch im GA-Managementsystem - entsprechend sichtbar sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A11 - name: "Absicherung von frei zug\xE4nglichen Ports und Zug\xE4ngen der GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.1 - description: "Der Anschluss von Komponenten, speziell von unautorisierten, unbekannten\ - \ Komponenten und Fremdger\xE4ten, SOLLTE insbesondere an frei zug\xE4nglichen\ - \ Ethernet-Ports, USB-Ports und anderen Schnittstellen der GA kontrolliert\ - \ und eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.2 - description: Der Anschluss einer unautorisierten oder unbekannten Komponente - SOLLTE in die Ereignisprotokollierung aufgenommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.3 - description: Eine direkte IP-basierte Kommunikation von solchen Komponenten - mit Systemen der GA SOLLTE unterbunden werden (siehe INF.14.A13 Netzsegementierung - in der GA). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.4 - description: "F\xFCr frei zug\xE4ngliche LAN- oder WLAN-Zug\xE4nge SOLLTE eine\ - \ Netzzugangskontrolle gem\xE4\xDF IEEE 802.1X oder vergleichbare Sicherheitsmechanismen\ - \ eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.5 - description: Hiermit SOLLTEN unzureichend authentisierte und autorisierte Komponenten - in getrennten Netzsegmenten positioniert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 - ref_id: INF.14.A11.6 - description: "Frei zug\xE4ngliche Schnittstellen f\xFCr tempor\xE4re Wartungszwecke,\ - \ wie beispielsweise USB-Ports an GA-Komponenten, SOLLTEN nur bei Bedarf aktiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A12 - name: "Nutzung sicherer \xDCbertragungsprotokolle f\xFCr die GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 - ref_id: INF.14.A12.1 - description: "F\xFCr Konfiguration, Wartung und Steuerung von GA-relevanten\ - \ Komponenten, die auf Ethernet und IP basieren, SOLLTEN sichere Protokolle\ - \ eingesetzt werden, falls nicht \xFCber vertrauensw\xFCrdige Netzsegmente\ - \ kommuniziert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 - ref_id: INF.14.A12.2 - description: "Au\xDFerhalb vertrauensw\xFCrdiger Netzsegmente SOLLTE die Kommunikation\ - \ \xFCber Ethernet und IP zwischen GA-Systemen verschl\xFCsselt erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 - ref_id: INF.14.A12.3 - description: "Die Verschl\xFCsselung SOLLTE mit den jeweils aktuellen Verschl\xFC\ - sselungsmechanismen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A13 - name: Netzsegmentierung in der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 - ref_id: INF.14.A13.1 - description: Innerhalb des GA-Netzes SOLLTE eine Netzsegmentierung umgesetzt - werden, die bedarfsgerecht einzelne GA-Systeme, einzelne TGA-Anlagen oder - einzelne Gruppen von TGA-Anlagen innerhalb eines GA-Systems voneinander trennt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 - ref_id: INF.14.A13.2 - description: "F\xFCr die \xDCberg\xE4nge zwischen den Segmenten SOLLTEN entsprechende\ - \ Regeln definiert und zur Umsetzung Komponenten mit Sicherheitsfunktionen,\ - \ mindestens zustandsbehaftete Paketfilter, genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A14 - name: Nutzung eines GA-geeigneten Zugriffsschutzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.1 - description: "F\xFCr die GA SOLLTE ein Identit\xE4ts- und Berechtigungsmanagement\ - \ gem\xE4\xDF Baustein ORP.4 Identit\xE4ts und Berechtigungsmanagement genutzt\ - \ werden, das die Anforderungen der GA angemessen umsetzt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.2 - description: "Hierf\xFCr SOLLTE bedarfsabh\xE4ngig eine GA-eigene Authentisierungsl\xF6\ - sung oder eine geeignete Replikation einer zentralen Authentisierungsl\xF6\ - sung der Institution realisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.3 - description: "In die Authentisierungsl\xF6sung SOLLTEN soweit m\xF6glich alle\ - \ GA-relevanten Komponenten eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.4 - description: "Betreibende der GA-Systeme, Betreibende der TGA-Anlagen und auch\ - \ Nachfrageorganisationen SOLLTEN im Rollen- und Berechtigungskonzept hinsichtlich\ - \ der GA angemessen ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.5 - description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant und abgestimmt\ - \ werden, wenn die GA institutions\xFCbergreifend bereitgestellt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.6 - description: "Alle GA-relevanten Komponenten, inklusive der Komponenten der\ - \ Feldebene und Bedienelemente, SOLLTEN geeignete Funktionen zur Absicherung\ - \ von Zugriffen umsetzen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 - ref_id: INF.14.A14.7 - description: "Komponenten, die keinen Zugriffsschutz bieten oder f\xFCr die\ - \ vom herstellenden Unternehmen vorgegebenen Zugangsparameter nicht \xE4nderbar\ - \ sind, SOLLTEN NICHT genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A15 - name: Absicherung von GA-spezifischen Netzen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 - ref_id: INF.14.A15.1 - description: "Sind in GA-spezifischen Netzen wie z. B. BACnet Sicherheitsmechanismen\ - \ der Kommunikation verf\xFCgbar, SOLLTEN diese genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 - ref_id: INF.14.A15.2 - description: "Mindestens SOLLTEN Mechanismen zur Authentisierung und Verschl\xFC\ - sselung genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 - ref_id: INF.14.A15.3 - description: "F\xFCr GA-spezifische Netze, die keine angemessenen Sicherheitsmechanismen\ - \ realisieren k\xF6nnen, SOLLTE erwogen werden, diese auf ein GA-spezifisches\ - \ Netz mit angemessenen Sicherheitsmechanismen umzustellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 - ref_id: INF.14.A15.4 - description: "Grunds\xE4tzlich SOLLTE die Kommunikation mit GA-spezifischen\ - \ Netzen durch Koppelelemente mit Sicherheitsfunktionen kontrolliert und gegebenenfalls\ - \ reglementiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A16 - name: Absicherung von drahtloser Kommunikation in GA-Netzen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 - ref_id: INF.14.A16.1 - description: In GA-Netzen, die auf einer drahtlosen Kommunikation wie z. B. - EnOcean basieren, SOLLTEN die Sicherheitsmechanismen der jeweiligen Funktechnik - zur Absicherung der Kommunikation genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 - ref_id: INF.14.A16.2 - description: "Insbesondere SOLLTEN eine angemessene Authentisierung und eine\ - \ Verschl\xFCsselung auf der Luftschnittstelle umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 - ref_id: INF.14.A16.3 - description: "Ist dies f\xFCr die entsprechenden Endger\xE4te nicht m\xF6glich,\ - \ SOLLTE f\xFCr diese Endger\xE4te die Kommunikation am \xDCbergang in kabelgebundene\ - \ Netze kontrolliert werden, z. B. durch eine Komponente mit Firewall-Funktion." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 - ref_id: INF.14.A16.4 - description: "Dar\xFCber hinaus SOLLTEN m\xF6gliche St\xF6rungen f\xFCr die\ - \ Ausbreitung der Funkwellen, beispielsweise durch Abschattungen, bei der\ - \ Planung der GA-Netze ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A17 - name: Absicherung von Mobilfunkkommunikation in GA-Netzen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.1 - description: "Wird im Rahmen der GA Mobilfunk eingesetzt, SOLLTEN f\xFCr solche\ - \ GA-Netze die Sicherheitsmechanismen der jeweiligen Mobilfunknetze genutzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.2 - description: "Werden \xF6ffentliche Mobilfunknetze wie 5G oder Sigfox in der\ - \ GA verwendet, SOLLTE eine unkontrollierte direkte IP-basierte Kommunikation\ - \ mit GA-relevanten Komponenten unterbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.3 - description: "GA-Komponenten SOLLTEN nur dann mit einem dedizierten Anschluss\ - \ an ein \xF6ffentliches Mobilfunknetz ausgestattet werden, falls dieser f\xFC\ - r deren Betrieb essenziell ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.4 - description: "Hierf\xFCr SOLLTE gepr\xFCft und festgelegt werden, f\xFCr welche\ - \ GA-Komponenten ein Anschluss an \xF6ffentliche Mobilfunknetze notwendig\ - \ ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.5 - description: "Sofern im \xF6ffentlichen Mobilfunknetz keine Trennung der GA-Netze\ - \ m\xF6glich ist, wie z. B. bei 5G mit Slicing, SOLLTE im Kommunikationspfad\ - \ eine Entkopplung der IP-Kommunikation durch ein Application Layer Gateway\ - \ (ALG) stattfinden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.6 - description: "Falls Mobilfunktechniken in der GA als Bestandteil der \xF6ffentlichen\ - \ Mobilfunkinfrastruktur eines Mobilfunkunternehmens eingesetzt werden, SOLLTEN\ - \ mit den Mitteln der entsprechenden Mobilfunktechnik ein oder mehrere virtuelle\ - \ Mobilfunknetze realisiert werden, die ausschlie\xDFlich der GA zur Verf\xFC\ - gung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.7 - description: "Falls in der GA mit Hilfe von Mobilfunktechniken wie LTE und 5G\ - \ autarke private Mobilfunknetze lokal auf dem Campus eingerichtet werden,\ - \ SOLLTE der \xDCbergang zwischen diesen Mobilfunknetzen und den sonstigen\ - \ Netzen durch ein Koppelelement mit Firewall-Funktion abgesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 - ref_id: INF.14.A17.8 - description: "Auch f\xFCr private Mobilfunknetze SOLLTE eine Segmentierung in\ - \ mehrere virtuelle Mobilfunknetze umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A18 - name: Sichere Anbindung von GA-externen Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 - ref_id: INF.14.A18.1 - description: "Die Kommunikation von GA-Systemen mit GA-externen Systemen SOLLTE\ - \ ausschlie\xDFlich \xFCber definierte Schnittstellen und mit definierten\ - \ IT-Systemen m\xF6glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 - ref_id: INF.14.A18.2 - description: "Die Kommunikation SOLLTE authentisiert und verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 - ref_id: INF.14.A18.3 - description: "Die m\xF6glichen Schnittstellen zu GA-externen Systemen SOLLTEN\ - \ auf das notwendige Ma\xDF beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A19 - name: "Nutzung dedizierter Adressbereiche f\xFCr GA-Netze" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 - ref_id: INF.14.A19.1 - description: "F\xFCr die GA SOLLTEN dedizierte Adressbereiche genutzt werden,\ - \ die sich insbesondere von den Adressbereichen der B\xFCro-IT und der OT\ - \ unterscheiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 - ref_id: INF.14.A19.2 - description: "F\xFCr diese Adressbereiche SOLLTE festgelegt werden, aus welchen\ - \ Bereichen statische Adressen vergeben werden und welche GA-relevanten Komponenten\ - \ statische Adressen erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 - ref_id: INF.14.A19.3 - description: "Falls an die GA angebundene Netzbereiche wie TGA-Anlagen identische\ - \ Adressbereiche nutzen (Replizieren von Anlagenkonfigurationen), M\xDCSSEN\ - \ diese in getrennten Segmenten positioniert werden, um Adresskonflikte zu\ - \ unterbinden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 - ref_id: INF.14.A19.4 - description: "In diesem Fall MUSS die segment\xFCbergreifende Kommunikation\ - \ durch entsprechende Mechanismen abgesichert werden, beispielsweise durch\ - \ den Einsatz eines ALG oder von Network Address Translation (NAT)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A20 - name: Vermeidung von Broadcast-Kommunikation in GA-Netzen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 - ref_id: INF.14.A20.1 - description: "In GA-Netzen SOLLTE die Broadcast-Last auf OSI Layer 2 oder OSI\ - \ Layer 3 f\xFCr unbeteiligte Systeme und Komponenten minimiert werden, um\ - \ eine \xDCberlastung zu vermeiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 - ref_id: INF.14.A20.2 - description: "Hierzu SOLLTE die Kommunikation auf gruppenspezifische Multicasts\ - \ umgestellt oder in der Planung der Segmentierung entsprechend ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A21 - name: "Anzeigen der G\xFCltigkeit von Informationen in GA-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 - ref_id: INF.14.A21.1 - description: "Ein GA-System SOLLTE visualisieren, ob die angezeigten Informationen\ - \ bez\xFCglich Zeit, Ort, Wert, Zustand oder Ereignis auf planm\xE4\xDFig\ - \ erhaltenen Informationen basieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 - ref_id: INF.14.A21.2 - description: "Informationen, die simulierte oder \u201Eeingefrorene\u201C Werte\ - \ anzeigen, SOLLTEN abh\xE4ngig vom Schutzbedarf der TGA-Anlagen erkennbar\ - \ sein oder einen Alarm ausl\xF6sen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A22 - name: Sicherstellung von autark funktionierenden GA-Systemen und TGA-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 - ref_id: INF.14.A22.1 - description: "Innerhalb eines GA-Systems SOLLTE sichergestellt werden, dass\ - \ TGA-Anlagen gem\xE4\xDF ihrem Schutzbedarf auch unabh\xE4ngig von der Anbindung\ - \ an das GA-System autark funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 - ref_id: INF.14.A22.2 - description: "Insbesondere SOLLTEN GA-Systeme so konfiguriert werden, dass keine\ - \ betriebsverhindernden Abh\xE4ngigkeiten zum TGM, zu anderen GA-Systemen\ - \ oder TGA-Anlagen bestehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 - ref_id: INF.14.A22.3 - description: "Eine TGA-Anlage SOLLTE auch bei Ausfall der Verbindung zur GA\ - \ f\xFCr einen bestimmten Zeitraum gem\xE4\xDF dem jeweiligen Schutzbedarf\ - \ betriebsf\xE4hig bleiben und ihre Funktion wahrnehmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A23 - name: "Einsatz von physisch robusten Komponenten f\xFCr die GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 - ref_id: INF.14.A23.1 - description: "Abh\xE4ngig von den Einsatzbedingungen der Komponenten in der\ - \ GA SOLLTEN entsprechend physisch robuste Komponenten eingesetzt werden,\ - \ die besonders auch f\xFCr harsche Umgebungsbedingungen vorgesehen bzw. ausgewiesen\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 - ref_id: INF.14.A23.2 - description: "Sind angemessen robuste Komponenten nicht verf\xFCgbar, SOLLTEN\ - \ entsprechende Kompensationsma\xDFnahmen ergriffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A24 - name: "Zeitsynchronisation f\xFCr die GA" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 - ref_id: INF.14.A24.1 - description: "Alle in einem GA-System angebundenen Komponenten und TGA-Anlagen\ - \ SOLLTEN eine synchrone Uhrzeit nutzen, um ein automatisiertes Messen, Steuern\ - \ und Regeln zu gew\xE4hrleisten (siehe auch Baustein OPS.1.2.6 NTP-Zeitsynchronisation)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 - ref_id: INF.14.A24.2 - description: Auch GA-Systeme, die miteinander verbunden sind, SOLLTEN eine synchrone - Uhrzeit nutzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 - ref_id: INF.14.A24.3 - description: "Erstreckt sich die GA \xFCber Geb\xE4udekomplexe oder Liegenschaften,\ - \ SOLLTE die Zeitsynchronisation f\xFCr alle Geb\xE4ude gew\xE4hrleistet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 - ref_id: INF.14.A24.4 - description: "Falls innerhalb eines GA-Systems eine Kommunikation mit Echtzeit-Anforderungen\ - \ erforderlich ist, SOLLTE f\xFCr die Zeitsynchronisation PTP oder ein vergleichbarer\ - \ Mechanismus anstelle von NTP genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A25 - name: Dediziertes Monitoring in der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.1 - description: "F\xFCr alle Komponenten, die f\xFCr die GA betriebsrelevant sind,\ - \ SOLLTE ein geeignetes Monitoringkonzept erstellt und umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.2 - description: "Hierbei SOLLTEN die Verf\xFCgbarkeit sowie bedeutsame Parameter\ - \ der GA-relevanten Komponenten laufend \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.3 - description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ - \ SOLLTEN automatisch an die betreibende Organisation gemeldet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.4 - description: "Es SOLLTEN durch die GA mindestens Alarme ausgel\xF6st werden,\ - \ wenn TGA-Anlagen ausfallen oder wichtige Funktionen zum automatisierten\ - \ Steuern und Regeln nicht verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.5 - description: "Zudem SOLLTE festgelegt werden, f\xFCr welche besonders sicherheitsrelevanten\ - \ Ereignisse und f\xFCr welche weiteren Ereignisse automatische Alarmmeldungen\ - \ generiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 - ref_id: INF.14.A25.6 - description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ - \ Kommunikationswege \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A26 - name: Protokollierung in der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 - ref_id: INF.14.A26.1 - description: "Erg\xE4nzend zum Baustein OPS.1.1.5 Protokollierung SOLLTEN Status\xE4\ - nderungen an GA-relevanten Komponenten und sicherheitsrelevante Ereignisse\ - \ protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 - ref_id: INF.14.A26.2 - description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ - \ auf TGA-Anlagen und gegebenenfalls GA-relevante Komponenten sowie alle manuellen\ - \ und automatisierten \xC4nderungen der Zust\xE4nde von diesen protokolliert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 - ref_id: INF.14.A26.3 - description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten auf\ - \ einer zentralen Protokollierungsinstanz zusammengef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 - ref_id: INF.14.A26.4 - description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ - \ \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A27 - name: "Ber\xFCcksichtigung von Wechselwirkungen zwischen Komponenten der GA\ - \ in der Notfallplanung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.1 - description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ - \ analysiert werden, wie sich die GA und die abgeleiteten Planungen und Konzepte\ - \ auf die Notfallplanung auswirken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.2 - description: "Insbesondere SOLLTE festgelegt werden, wie bei einem Ausfall von\ - \ TGA-Anlagen oder GA-relevanten Komponenten durch technischen Defekt oder\ - \ Angriff die Wechselwirkungen auf andere TGA-Anlagen, GA-relevante Systeme\ - \ und TGM minimiert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.3 - description: "Im Rahmen der Notfallplanung SOLLTE auch festgelegt werden, welches\ - \ Wartungspersonal f\xFCr die betroffenen TGA-Anlagen und GA-relevanten Systeme\ - \ zust\xE4ndig ist und \xFCber welche Meldewege dieses erreicht werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.4 - description: "Au\xDFerdem SOLLTE festgelegt werden, welche Berechtigungen das\ - \ Wartungspersonal zur Behebung von Notf\xE4llen hat." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.5 - description: Es SOLLTE in der Notfallplanung auch spezifiziert werden, wie bei - Ausfall der GA-Systeme ein gegebenenfalls erforderlicher Notbetrieb von TGA-Anlagen - sichergestellt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 - ref_id: INF.14.A27.6 - description: "Dabei SOLLTE f\xFCr alle TGA-Anlagen und GA-Systeme inklusive\ - \ aller GA-relevanten Komponenten eine Wiederanlaufreihenfolge festgelegt\ - \ und in den entsprechenden Wiederanlaufpl\xE4nen dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A28 - name: Physische Trennung der GA - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 - ref_id: INF.14.A28.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTEN GA-Netze als physisch getrennte\ - \ Zonen gem\xE4\xDF Baustein NET.1.1 Netzarchitektur und -design realisiert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 - ref_id: INF.14.A28.2 - description: "Abh\xE4ngig vom Schutzbedarf SOLLTE f\xFCr die Anbindung beispielsweise\ - \ an externe Clouds ein dedizierter, restriktiv reglementierter Internet-Zugang\ - \ bereitgestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 - ref_id: INF.14.A28.3 - description: "Ebenfalls SOLLTEN, abh\xE4ngig vom Schutzbedarf der GA-Systeme,\ - \ Anbindungen an nicht vertrauensw\xFCrdige Netze, gegebenenfalls auch Anbindungen\ - \ an institutionseigene B\xFCro- oder OT-Netze, unterbunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A29 - name: Trennung einzelner TGA-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 - ref_id: INF.14.A29.1 - description: "Um einzelne TGA-Anlagen mit erh\xF6htem Schutzbedarf innerhalb\ - \ eines GA-Systems abzusichern, SOLLTEN solche TGA-Anlagen in separaten Netzsegmenten\ - \ positioniert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 - ref_id: INF.14.A29.2 - description: Zur Kontrolle der Kommunikation SOLLTEN Firewall-Funktionen unmittelbar - vor dem Anlagennetz positioniert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 - ref_id: INF.14.A30 - name: Bereitstellung eines GA-eigenen Zeitservers zur Zeitsynchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30 - ref_id: INF.14.A30.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr die GA oder auch f\xFC\ - r einzelne GA-Systeme ein eigener GA-Zeitserver bereitgestellt werden, der\ - \ direkt mit einer Atom- oder Funkuhr (Stratum 0) gekoppelt ist und an den\ - \ gegebenenfalls weitere nachgelagerte GA-Zeitserver angebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms - assessable: false - depth: 1 - ref_id: ISMS - name: Sicherheitsmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms - ref_id: ISMS.1 - name: Sicherheitsmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A1 - name: "\xDCbernahme der Gesamtverantwortung f\xFCr Informationssicherheit durch\ - \ die Leitung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.1 - description: "Die Institutionsleitung MUSS die Gesamtverantwortung f\xFCr Informationssicherheit\ - \ in der Institution \xFCbernehmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.2 - description: "Dies MUSS f\xFCr alle Beteiligten deutlich erkennbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.3 - description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, - steuern und kontrollieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.4 - description: Die Institutionsleitung MUSS Informationssicherheit vorleben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.5 - description: "Die Institutionsleitung MUSS die Zust\xE4ndigkeiten f\xFCr Informationssicherheit\ - \ festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.6 - description: "Die zust\xE4ndigen Mitarbeitenden M\xDCSSEN mit den erforderlichen\ - \ Kompetenzen und Ressourcen ausgestattet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.7 - description: "Die Institutionsleitung MUSS sich regelm\xE4\xDFig \xFCber den\ - \ Status der Informationssicherheit informieren lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 - ref_id: ISMS.1.A1.8 - description: "Insbesondere MUSS sich die Institutionsleitung \xFCber m\xF6gliche\ - \ Risiken und Konsequenzen aufgrund fehlender Sicherheitsma\xDFnahmen informieren\ - \ lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A2 - name: Festlegung der Sicherheitsziele und -strategie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - ref_id: ISMS.1.A2.1 - description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren - und etablieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - ref_id: ISMS.1.A2.2 - description: "Daf\xFCr MUSS die Institutionsleitung angemessene Sicherheitsziele\ - \ sowie eine Strategie f\xFCr Informationssicherheit festlegen und dokumentieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - ref_id: ISMS.1.A2.3 - description: "Es M\xDCSSEN konzeptionelle Vorgaben erarbeitet und organisatorische\ - \ Rahmenbedingungen geschaffen werden, um den ordnungsgem\xE4\xDFen und sicheren\ - \ Umgang mit Informationen innerhalb aller Gesch\xE4ftsprozesse des Unternehmens\ - \ oder Fachaufgaben der Beh\xF6rde zu erm\xF6glichen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - ref_id: ISMS.1.A2.4 - description: Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele - tragen und verantworten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 - ref_id: ISMS.1.A2.5 - description: "Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie\ - \ regelm\xE4\xDFig dahingehend \xFCberpr\xFCfen, ob sie noch aktuell und angemessen\ - \ sind und wirksam umgesetzt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A3 - name: Erstellung einer Leitlinie zur Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.1 - description: "Die Institutionsleitung MUSS eine \xFCbergeordnete Leitlinie zur\ - \ Informationssicherheit verabschieden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.2 - description: "Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele,\ - \ die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur\ - \ f\xFCr Informationssicherheit beschreiben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.3 - description: "F\xFCr die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich\ - \ festgelegt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.4 - description: "In der Leitlinie zur Informationssicherheit M\xDCSSEN die Sicherheitsziele\ - \ und der Bezug der Sicherheitsziele zu den Gesch\xE4ftszielen und Aufgaben\ - \ der Institution erl\xE4utert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.5 - description: Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit - allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 - ref_id: ISMS.1.A3.6 - description: "Die Leitlinie zur Informationssicherheit SOLLTE regelm\xE4\xDF\ - ig aktualisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A4 - name: Benennung eines oder einer Informationssicherheitsbeauftragten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - ref_id: ISMS.1.A4.1 - description: Die Institutionsleitung MUSS einen oder eine ISB benennen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - ref_id: ISMS.1.A4.2 - description: "Der oder die ISB MUSS die Informationssicherheit in der Institution\ - \ f\xF6rdern und den Sicherheitsprozess mitsteuern und koordinieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - ref_id: ISMS.1.A4.3 - description: Die Institutionsleitung MUSS den oder die ISB mit angemessenen - Ressourcen ausstatten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - ref_id: ISMS.1.A4.4 - description: "Die Institutionsleitung MUSS dem oder der ISB die M\xF6glichkeit\ - \ einr\xE4umen, bei Bedarf direkt an sie selbst zu berichten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 - ref_id: ISMS.1.A4.5 - description: "Der oder die ISB MUSS bei allen gr\xF6\xDFeren Projekten sowie\ - \ bei der Einf\xFChrung neuer Anwendungen und IT-Systeme fr\xFChzeitig beteiligt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A5 - name: Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 - ref_id: ISMS.1.A5.1 - description: Die Institutionsleitung MUSS einen externen oder eine externe ISB - bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden - besetzt werden kann. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 - ref_id: ISMS.1.A5.2 - description: Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben - des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 - ref_id: ISMS.1.A5.3 - description: Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 - ref_id: ISMS.1.A5.4 - description: "Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverh\xE4\ - ltnisses, einschlie\xDFlich der \xDCbergabe der Aufgaben an die Auftraggebenden,\ - \ gew\xE4hrleisten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A6 - name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr Informationssicherheit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.1 - description: "Eine geeignete \xFCbergreifende Organisationsstruktur f\xFCr Informationssicherheit\ - \ MUSS vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.2 - description: "Daf\xFCr M\xDCSSEN Rollen definiert sein, die konkrete Aufgaben\ - \ \xFCbernehmen, um die Sicherheitsziele zu erreichen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.3 - description: "Au\xDFerdem M\xDCSSEN qualifizierte Personen benannt werden, denen\ - \ ausreichend Ressourcen zur Verf\xFCgung stehen, um diese Rollen zu \xFC\ - bernehmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.4 - description: "Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement\ - \ M\xDCSSEN nachvollziehbar definiert und zugewiesen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.5 - description: "F\xFCr alle wichtigen Funktionen der Organisation f\xFCr Informationssicherheit\ - \ MUSS es wirksame Vertretungsregelungen geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.6 - description: "Kommunikationswege M\xDCSSEN geplant, beschrieben, eingerichtet\ - \ und bekannt gemacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.7 - description: "Es MUSS f\xFCr alle Aufgaben und Rollen festgelegt sein, wer wen\ - \ informiert und wer bei welchen Aktionen in welchem Umfang informiert werden\ - \ muss." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 - ref_id: ISMS.1.A6.8 - description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ - \ f\xFCr Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen\ - \ angepasst werden muss." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A7 - name: "Festlegung von Sicherheitsma\xDFnahmen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 - ref_id: ISMS.1.A7.1 - description: "Im Rahmen des Sicherheitsprozesses M\xDCSSEN f\xFCr die gesamte\ - \ Informationsverarbeitung ausf\xFChrliche und angemessene Sicherheitsma\xDF\ - nahmen festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 - ref_id: ISMS.1.A7.2 - description: "Alle Sicherheitsma\xDFnahmen SOLLTEN systematisch in Sicherheitskonzepten\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 - ref_id: ISMS.1.A7.3 - description: "Die Sicherheitsma\xDFnahmen SOLLTEN regelm\xE4\xDFig aktualisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A8 - name: Integration der Mitarbeitenden in den Sicherheitsprozess - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.1 - description: "Alle Mitarbeitenden M\xDCSSEN in den Sicherheitsprozess integriert\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.2 - description: "Hierf\xFCr M\xDCSSEN sie \xFCber Hintergr\xFCnde und die f\xFC\ - r sie relevanten Gef\xE4hrdungen informiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.3 - description: "Sie M\xDCSSEN Sicherheitsma\xDFnahmen kennen und umsetzen, die\ - \ ihren Arbeitsplatz betreffen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.4 - description: "Alle Mitarbeitenden M\xDCSSEN in die Lage versetzt werden, Sicherheit\ - \ aktiv mitzugestalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.5 - description: "Daher SOLLTEN die Mitarbeitenden fr\xFChzeitig beteiligt werden,\ - \ wenn Sicherheitsma\xDFnahmen zu planen oder organisatorische Regelungen\ - \ zu gestalten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.6 - description: "Bei der Einf\xFChrung von Sicherheitsrichtlinien und Sicherheitswerkzeugen\ - \ M\xDCSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 - ref_id: ISMS.1.A8.7 - description: "Die Mitarbeitenden M\xDCSSEN dar\xFCber aufgekl\xE4rt werden,\ - \ welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A9 - name: "Integration der Informationssicherheit in organisationsweite Abl\xE4\ - ufe und Prozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 - ref_id: ISMS.1.A9.1 - description: "Informationssicherheit MUSS in alle Gesch\xE4ftsprozesse sowie\ - \ Fachaufgaben integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 - ref_id: ISMS.1.A9.2 - description: "Es MUSS dabei gew\xE4hrleistet sein, dass nicht nur bei neuen\ - \ Prozessen und Projekten, sondern auch bei laufenden Aktivit\xE4ten alle\ - \ erforderlichen Sicherheitsaspekte ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 - ref_id: ISMS.1.A9.3 - description: Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten - Entscheidungen ausreichend beteiligt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 - ref_id: ISMS.1.A9.4 - description: "Informationssicherheit SOLLTE au\xDFerdem mit anderen Bereichen\ - \ in der Institution, die sich mit Sicherheit und Risikomanagement besch\xE4\ - ftigen, abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A10 - name: Erstellung eines Sicherheitskonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.1 - description: "F\xFCr den festgelegten Geltungsbereich (Informationsverbund)\ - \ SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im\ - \ Sicherheitsprozess erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.2 - description: "Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem\ - \ oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden,\ - \ um zun\xE4chst in ausgew\xE4hlten Bereichen das erforderliche Sicherheitsniveau\ - \ herzustellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.3 - description: "Im Sicherheitskonzept M\xDCSSEN aus den Sicherheitszielen der\ - \ Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete\ - \ Sicherheitsma\xDFnahmen passend zum betrachteten Informationsverbund abgeleitet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.4 - description: "Sicherheitsprozess und Sicherheitskonzept M\xDCSSEN die individuell\ - \ geltenden Vorschriften und Regelungen ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.5 - description: "Die im Sicherheitskonzept vorgesehenen Ma\xDFnahmen M\xDCSSEN\ - \ zeitnah in die Praxis umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 - ref_id: ISMS.1.A10.6 - description: Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A11 - name: Aufrechterhaltung der Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.1 - description: "Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie\ - \ zur Informationssicherheit und die Organisationsstruktur f\xFCr Informationssicherheit\ - \ SOLLTEN regelm\xE4\xDFig auf Wirksamkeit und Angemessenheit \xFCberpr\xFC\ - ft und aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.2 - description: "Dazu SOLLTEN regelm\xE4\xDFig Vollst\xE4ndigkeits- bzw. Aktualisierungspr\xFC\ - fungen des Sicherheitskonzeptes durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.3 - description: "Ebenso SOLLTEN regelm\xE4\xDFig Sicherheitsrevisionen durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.4 - description: "Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsma\xDF\ - nahmen wann und von wem zu \xFCberpr\xFCfen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.5 - description: "\xDCberpr\xFCfungen des Sicherheitsniveaus SOLLTEN regelm\xE4\xDF\ - ig (mindestens j\xE4hrlich) sowie anlassbezogen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.6 - description: "Die Pr\xFCfungen SOLLTEN von qualifizierten und unabh\xE4ngigen\ - \ Personen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.7 - description: "Die Ergebnisse der \xDCberpr\xFCfungen SOLLTEN nachvollziehbar\ - \ dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 - ref_id: ISMS.1.A11.8 - description: "Darauf aufbauend SOLLTEN M\xE4ngel beseitigt und Korrekturma\xDF\ - nahmen ergriffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A12 - name: Management-Berichte zur Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.1 - description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig \xFCber den\ - \ Stand der Informationssicherheit informieren, insbesondere \xFCber die aktuelle\ - \ Gef\xE4hrdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.2 - description: "Dazu SOLLTEN Management-Berichte geschrieben werden, welche die\ - \ wesentlichen relevanten Informationen \xFCber den Sicherheitsprozess enthalten,\ - \ insbesondere \xFCber Probleme, Erfolge und Verbesserungsm\xF6glichkeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.3 - description: "Die Management-Berichte SOLLTEN klar priorisierte Ma\xDFnahmenvorschl\xE4\ - ge enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.4 - description: "Die Ma\xDFnahmenvorschl\xE4ge SOLLTEN mit realistischen Absch\xE4\ - tzungen zum erwarteten Umsetzungsaufwand versehen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.5 - description: Die Management-Berichte SOLLTEN revisionssicher archiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.6 - description: "Die Management-Entscheidungen \xFCber erforderliche Aktionen,\ - \ den Umgang mit Restrisiken und mit Ver\xE4nderungen von sicherheitsrelevanten\ - \ Prozessen SOLLTEN dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 - ref_id: ISMS.1.A12.7 - description: Die Management-Entscheidungen SOLLTEN revisionssicher archiviert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A13 - name: Dokumentation des Sicherheitsprozesses - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.1 - description: Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.2 - description: "Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen\ - \ Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse\ - \ von Sicherheitsvorf\xE4llen SOLLTEN ausreichend dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.3 - description: "Es SOLLTE eine geregelte Vorgehensweise f\xFCr die Erstellung\ - \ und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.4 - description: "Regelungen SOLLTEN existieren, um die Aktualit\xE4t und Vertraulichkeit\ - \ der Dokumentationen zu wahren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.5 - description: "Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version\ - \ kurzfristig zug\xE4nglich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 - ref_id: ISMS.1.A13.6 - description: "Au\xDFerdem SOLLTEN alle Vorg\xE4ngerversionen zentral archiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A15 - name: "Wirtschaftlicher Einsatz von Ressourcen f\xFCr Informationssicherheit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 - ref_id: ISMS.1.A15.1 - description: "Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte ber\xFC\ - cksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 - ref_id: ISMS.1.A15.2 - description: "Werden Sicherheitsma\xDFnahmen festgelegt, SOLLTEN die daf\xFC\ - r erforderlichen Ressourcen beziffert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 - ref_id: ISMS.1.A15.3 - description: "Die f\xFCr Informationssicherheit eingeplanten Ressourcen SOLLTEN\ - \ termingerecht bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 - ref_id: ISMS.1.A15.4 - description: "Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zus\xE4tzliche\ - \ interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A16 - name: Erstellung von zielgruppengerechten Sicherheitsrichtlinien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16 - ref_id: ISMS.1.A16.1 - description: Neben den allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien - geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 - ref_id: ISMS.1.A17 - name: "Abschlie\xDFen von Versicherungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 - ref_id: ISMS.1.A17.1 - description: "Es SOLLTE gepr\xFCft werden, ob f\xFCr Restrisiken Versicherungen\ - \ abgeschlossen werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 - ref_id: ISMS.1.A17.2 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die bestehenden\ - \ Versicherungen der aktuellen Lage entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - assessable: false - depth: 1 - ref_id: NET - name: Netze und Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.1.1 - name: Netzarchitektur und -design - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A1 - name: "Sicherheitsrichtlinie f\xFCr das Netz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr das Netz erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.2 - description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ - \ werden, wie Netze sicher konzipiert und aufgebaut werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.3 - description: In der Richtlinie MUSS unter anderem festgelegt werden, - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.4 - description: "\u2022 in welchen F\xE4llen die Zonen zu segmentieren sind und\ - \ in welchen F\xE4llen Benutzendengruppen bzw. Mandanten und Mandantinnen\ - \ logisch oder sogar physisch zu trennen sind," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.5 - description: "\u2022 welche Kommunikationsbeziehungen und welche Netz- und Anwendungsprotokolle\ - \ jeweils zugelassen werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.6 - description: "\u2022 wie der Datenverkehr f\xFCr Administration und \xDCberwachung\ - \ netztechnisch zu trennen ist," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.7 - description: "\u2022 welche institutionsinterne, standort\xFCbergreifende Kommunikation\ - \ (WAN, Funknetze) erlaubt und welche Verschl\xFCsselung im WAN, LAN oder\ - \ auf Funkstrecken erforderlich ist sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.8 - description: "\u2022 welche institutions\xFCbergreifende Kommunikation zugelassen\ - \ ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.9 - description: "Die Richtlinie MUSS allen im Bereich Netzdesign zust\xE4ndigen\ - \ Mitarbeitenden bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.10 - description: "Sie MUSS zudem grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.11 - description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ - \ abgewichen, MUSS dies dokumentiert und mit dem oder der verantwortlichen\ - \ ISB abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.12 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ - \ noch korrekt umgesetzt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 - ref_id: NET.1.1.A1.13 - description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A2 - name: Dokumentation des Netzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - ref_id: NET.1.1.A2.1 - description: "Es MUSS eine vollst\xE4ndige Dokumentation des Netzes erstellt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - ref_id: NET.1.1.A2.2 - description: Sie MUSS einen Netzplan beinhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - ref_id: NET.1.1.A2.3 - description: Die Dokumentation MUSS nachhaltig gepflegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - ref_id: NET.1.1.A2.4 - description: "Die initiale Ist-Aufnahme, einschlie\xDFlich der Netzperformance,\ - \ sowie alle durchgef\xFChrten \xC4nderungen im Netz M\xDCSSEN in der Dokumentation\ - \ enthalten sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 - ref_id: NET.1.1.A2.5 - description: Die logische Struktur des Netzes MUSS dokumentiert werden, insbesondere, - wie die Subnetze zugeordnet und wie das Netz zoniert und segmentiert wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A3 - name: "Anforderungsspezifikation f\xFCr das Netz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 - ref_id: NET.1.1.A3.1 - description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netz MUSS eine\ - \ Anforderungsspezifikation erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 - ref_id: NET.1.1.A3.2 - description: Diese MUSS nachhaltig gepflegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 - ref_id: NET.1.1.A3.3 - description: "Aus den Anforderungen M\xDCSSEN sich alle wesentlichen Elemente\ - \ f\xFCr Netzarchitektur und -design ableiten lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A4 - name: Netztrennung in Zonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.1 - description: "Das Gesamtnetz MUSS mindestens in folgende drei Zonen physisch\ - \ separiert sein: internes Netz, demilitarisierte Zone (DMZ) und Au\xDFenanbindungen\ - \ (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauensw\xFC\ - rdige Netze)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.2 - description: "Die Zonen\xFCberg\xE4nge M\xDCSSEN durch eine Firewall abgesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.3 - description: "Diese Kontrolle MUSS dem Prinzip der lokalen Kommunikation folgen,\ - \ sodass von Firewalls ausschlie\xDFlich erlaubte Kommunikation weitergeleitet\ - \ wird (Allowlist)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.4 - description: "Nicht vertrauensw\xFCrdige Netze (z. B. Internet) und vertrauensw\xFC\ - rdige Netze (z. B. Intranet) M\xDCSSEN mindestens durch eine zweistufige Firewall-Struktur,\ - \ bestehend aus zustandsbehafteten Paketfiltern (Firewall), getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.5 - description: Um Internet und externe DMZ netztechnisch zu trennen, MUSS mindestens - ein zustandsbehafteter Paketfilter eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.6 - description: "In der zweistufigen Firewall-Architektur MUSS jeder ein- und ausgehende\ - \ Datenverkehr durch den \xE4u\xDFeren Paketfilter bzw. den internen Paketfilter\ - \ kontrolliert und gefiltert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 - ref_id: NET.1.1.A4.7 - description: Eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway - bzw. Sicherheits-Proxies und Paketfilter besteht, MUSS immer realisiert werden, - wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A5 - name: Client-Server-Segmentierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 - ref_id: NET.1.1.A5.1 - description: "Clients und Server M\xDCSSEN in unterschiedlichen Netzsegmenten\ - \ platziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 - ref_id: NET.1.1.A5.2 - description: Die Kommunikation zwischen diesen Netzsegmenten MUSS mindestens - durch einen zustandsbehafteten Paketfilter kontrolliert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 - ref_id: NET.1.1.A5.3 - description: "Es SOLLTE beachtet werden, dass m\xF6gliche Ausnahmen, die es\ - \ erlauben, Clients und Server in einem gemeinsamen Netzsegment zu positionieren,\ - \ in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 - ref_id: NET.1.1.A5.4 - description: "F\xFCr Gastzug\xE4nge und f\xFCr Netzbereiche, in denen keine\ - \ ausreichende interne Kontrolle \xFCber die Endger\xE4te gegeben ist, M\xDC\ - SSEN dedizierte Netzsegmente eingerichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A6 - name: "Endger\xE4te-Segmentierung im internen Netz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6 - ref_id: NET.1.1.A6.1 - description: "Es D\xDCRFEN NUR Endger\xE4te in einem Netzsegment positioniert\ - \ werden, die einem \xE4hnlichen Sicherheitsniveau entsprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A7 - name: "Absicherung von sch\xFCtzenswerten Informationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 - ref_id: NET.1.1.A7.1 - description: "Sch\xFCtzenswerte Informationen M\xDCSSEN \xFCber nach dem derzeitigen\ - \ Stand der Technik sichere Protokolle \xFCbertragen werden, falls nicht \xFC\ - ber vertrauensw\xFCrdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes)\ - \ kommuniziert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 - ref_id: NET.1.1.A7.2 - description: "K\xF6nnen solche Protokolle nicht genutzt werden, MUSS nach Stand\ - \ der Technik angemessen verschl\xFCsselt und authentisiert werden (siehe\ - \ NET.3.3 VPN)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A8 - name: Grundlegende Absicherung des Internetzugangs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 - ref_id: NET.1.1.A8.1 - description: "Der Internetverkehr MUSS \xFCber die Firewall-Struktur gef\xFC\ - hrt werden (siehe NET.1.1.A4 Netztrennung in Zonen)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 - ref_id: NET.1.1.A8.2 - description: "Die Datenfl\xFCsse M\xDCSSEN durch die Firewall-Struktur auf die\ - \ ben\xF6tigten Protokolle und Kommunikationsbeziehungen eingeschr\xE4nkt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A9 - name: "Grundlegende Absicherung der Kommunikation mit nicht vertrauensw\xFC\ - rdigen Netzen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 - ref_id: NET.1.1.A9.1 - description: "F\xFCr jedes Netz MUSS festgelegt werden, inwieweit es als vertrauensw\xFC\ - rdig einzustufen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 - ref_id: NET.1.1.A9.2 - description: "Netze, die nicht vertrauensw\xFCrdig sind, M\xDCSSEN wie das Internet\ - \ behandelt und entsprechend abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A10 - name: "DMZ-Segmentierung f\xFCr Zugriffe aus dem Internet" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 - ref_id: NET.1.1.A10.1 - description: "Die Firewall-Strukur MUSS f\xFCr alle Dienste bzw. Anwendungen,\ - \ die aus dem Internet erreichbar sind, um eine sogenannte externe DMZ erg\xE4\ - nzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 - ref_id: NET.1.1.A10.2 - description: Es SOLLTE ein Konzept zur DMZ-Segmentierung erstellt werden, das - die Sicherheitsrichtlinie und die Anforderungsspezifikation nachvollziehbar - umsetzt. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 - ref_id: NET.1.1.A10.3 - description: "Abh\xE4ngig vom Sicherheitsniveau der IT-Systeme M\xDCSSEN die\ - \ DMZ-Segmente weitergehend unterteilt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 - ref_id: NET.1.1.A10.4 - description: "Eine externe DMZ MUSS am \xE4u\xDFeren Paketfilter angeschlossen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A11 - name: Absicherung eingehender Kommunikation vom Internet in das interne Netz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.1 - description: "Ein IP-basierter Zugriff auf das interne Netz MUSS \xFCber einen\ - \ sicheren Kommunikationskanal erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.2 - description: "Der Zugriff MUSS auf vertrauensw\xFCrdige IT-Systeme und Benutzende\ - \ beschr\xE4nkt werden (siehe NET.3.3 VPN)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.3 - description: Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.4 - description: "Es SOLLTE beachtet werden, dass hinreichend geh\xE4rtete VPN-Gateways\ - \ direkt aus dem Internet erreichbar sein k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.5 - description: "Die \xFCber das VPN-Gateway authentisierten Zugriffe ins interne\ - \ Netz M\xDCSSEN mindestens die interne Firewall durchlaufen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.6 - description: "IT-Systeme D\xDCRFEN NICHT via Internet oder externer DMZ auf\ - \ das interne Netz zugreifen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 - ref_id: NET.1.1.A11.7 - description: Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung - in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A12 - name: Absicherung ausgehender interner Kommunikation zum Internet - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 - ref_id: NET.1.1.A12.1 - description: Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS - an einem Sicherheits-Proxy entkoppelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 - ref_id: NET.1.1.A12.2 - description: "Die Entkoppelung MUSS au\xDFerhalb des internen Netzes erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 - ref_id: NET.1.1.A12.3 - description: Wird eine P-A-P-Struktur eingesetzt, SOLLTE die ausgehende Kommunikation - immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A13 - name: Netzplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.1 - description: "Jede Netzimplementierung MUSS geeignet, vollst\xE4ndig und nachvollziehbar\ - \ geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.2 - description: "Dabei M\xDCSSEN die Sicherheitsrichtlinie sowie die Anforderungsspezifikation\ - \ beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.3 - description: "Dar\xFCber hinaus M\xDCSSEN in der Planung mindestens die folgenden\ - \ Punkte bedarfsgerecht ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.4 - description: "\u2022 Anbindung von Internet und, sofern vorhanden, Standortnetz\ - \ und Extranet," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.5 - description: "\u2022 Topologie des Gesamtnetzes und der Netzbereiche, d. h.\ - \ Zonen und Netzsegmente," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.6 - description: "\u2022 Dimensionierung und Redundanz der Netz- und Sicherheitskomponenten,\ - \ \xDCbertragungsstrecken und Au\xDFenanbindungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.7 - description: "\u2022 zu nutzende Protokolle und deren grunds\xE4tzliche Konfiguration\ - \ und Adressierung, insbesondere IPv4/IPv6-Subnetze von Endger\xE4tegruppen\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.8 - description: "\u2022 Administration und \xDCberwachung (siehe NET.1.2 Netzmanagement)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 - ref_id: NET.1.1.A13.9 - description: "Die Netzplanung MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A14 - name: Umsetzung der Netzplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 - ref_id: NET.1.1.A14.1 - description: Das geplante Netz MUSS fachgerecht umgesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 - ref_id: NET.1.1.A14.2 - description: "Dies MUSS w\xE4hrend der Abnahme gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A15 - name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 - ref_id: NET.1.1.A15.1 - description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob das bestehende\ - \ Netz dem Soll-Zustand entspricht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 - ref_id: NET.1.1.A15.2 - description: "Dabei MUSS mindestens gepr\xFCft werden, inwieweit es die Sicherheitsrichtlinie\ - \ und Anforderungsspezifikation erf\xFCllt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 - ref_id: NET.1.1.A15.3 - description: "Es MUSS auch gepr\xFCft werden, inwiefern die umgesetzte Netzstruktur\ - \ dem aktuellen Stand der Netzplanung entspricht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 - ref_id: NET.1.1.A15.4 - description: "Daf\xFCr M\xDCSSEN zust\xE4ndige Personen sowie Pr\xFCfkriterien\ - \ bzw. Vorgaben festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A16 - name: Spezifikation der Netzarchitektur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.1 - description: "Auf Basis der Sicherheitsrichtlinie und der Anforderungsspezifikation\ - \ SOLLTE eine Architektur f\xFCr die Zonen inklusive internem Netz, DMZ-Bereich\ - \ und Au\xDFenanbindungen entwickelt und nachhaltig gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.2 - description: 'Dabei SOLLTEN je nach spezifischer Situation der Institution alle - relevanten Architekturelemente betrachtet werden, mindestens jedoch:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.3 - description: "\u2022 Netzarchitektur des internen Netzes mit Festlegungen dazu,\ - \ wie Netzvirtualisierungstechniken, Layer-2- und Layer-3-Kommunikation sowie\ - \ Redundanzverfahren einzusetzen sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.4 - description: "\u2022 Netzarchitektur f\xFCr Au\xDFenanbindungen, inklusive Firewall-Architekturen,\ - \ sowie DMZ- und Extranet-Design und Vorgaben an die Standortkopplung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.5 - description: "\u2022 Festlegung, an welchen Stellen des Netzes welche Sicherheitskomponenten\ - \ wie Firewalls oder IDS/IPS zu platzieren sind und welche Sicherheitsfunktionen\ - \ diese realisieren m\xFCssen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.6 - description: "\u2022 Vorgaben f\xFCr die Netzanbindung der verschiedenen IT-Systeme," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.7 - description: "\u2022 Netzarchitektur in Virtualisierungs-Hosts, wobei insbesondere\ - \ Network Virtualization Overlay (NVO) und die Architektur in Vertikal integrierten\ - \ Systemen (ViS) zu ber\xFCcksichtigen sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.8 - description: "\u2022 Festlegungen der grunds\xE4tzlichen Architektur-Elemente\ - \ f\xFCr eine Private Cloud sowie Absicherung der Anbindungen zu Virtual Private\ - \ Clouds, Hybrid Clouds und Public Clouds sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 - ref_id: NET.1.1.A16.9 - description: "\u2022 Architektur zur sicheren Administration und \xDCberwachung\ - \ der IT-Infrastruktur." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A17 - name: Spezifikation des Netzdesigns - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.1 - description: "Basierend auf der Netzarchitektur SOLLTE das Netzdesign f\xFC\ - r die Zonen inklusive internem Netz, DMZ-Bereich und Au\xDFenanbindungen entwickelt\ - \ und nachhaltig gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.2 - description: "Daf\xFCr SOLLTEN die relevanten Architekturelemente detailliert\ - \ betrachtet werden, mindestens jedoch:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.3 - description: "\u2022 zul\xE4ssige Formen von Netzkomponenten inklusive virtualisierter\ - \ Netzkomponenten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.4 - description: "\u2022 Festlegungen dar\xFCber, wie WAN- und Funkverbindungen\ - \ abzusichern sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.5 - description: "\u2022 Anbindung von Endger\xE4ten an Switching-Komponenten, Verbindungen\ - \ zwischen Netzelementen sowie Verwendung von Kommunikationsprotokollen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.6 - description: "\u2022 Redundanzmechanismen f\xFCr alle Netzelemente," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.7 - description: "\u2022 Adresskonzept f\xFCr IPv4 und IPv6 sowie zugeh\xF6rige\ - \ Routing- und Switching-Konzepte," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.8 - description: "\u2022 virtualisierte Netze in Virtualisierungs-Hosts inklusive\ - \ NVO," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.9 - description: "\u2022 Aufbau, Anbindung und Absicherung von Private Clouds sowie\ - \ sichere Anbindung von Virtual Private Clouds, Hybrid Clouds und Public Clouds\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 - ref_id: NET.1.1.A17.10 - description: "\u2022 Festlegungen zum Netzdesign f\xFCr die sichere Administration\ - \ und \xDCberwachung der IT-Infrastruktur." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A18 - name: "P-A-P-Struktur f\xFCr die Internet-Anbindung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.1 - description: "Das Netz der Institution SOLLTE \xFCber eine Firewall mit P-A-P-Struktur\ - \ an das Internet angeschlossen werden (siehe NET.1.1.A4 Netztrennung in Zonen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.2 - description: Zwischen den beiden Firewall-Stufen MUSS ein proxy-basiertes Application-Layer-Gateway - (ALG) realisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.3 - description: "Das ALG MUSS \xFCber ein eigenes Transfernetz (dual-homed) sowohl\ - \ zum \xE4u\xDFeren Paketfilter als auch zum internen Paketfilter angebunden\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.4 - description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ - \ f\xFCr das ALG belegt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.5 - description: "Falls kein ALG eingesetzt wird, dann M\xDCSSEN entsprechende Sicherheits-Proxies\ - \ realisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.6 - description: "Die Sicherheits-Proxies M\xDCSSEN \xFCber ein eigenes Transfernetz\ - \ (dual-homed) angebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.7 - description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ - \ f\xFCr die Sicherheits-Proxies belegt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.8 - description: "Es MUSS gepr\xFCft werden, ob \xFCber die Sicherheits-Proxies\ - \ gegenseitige Angriffe m\xF6glich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.9 - description: Ist dies der Fall, MUSS das Transfernetz geeignet segmentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.10 - description: "Jeglicher Datenverkehr MUSS \xFCber das ALG oder entsprechende\ - \ Sicherheits-Proxies entkoppelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.11 - description: Ein Transfernetz, das beide Firewall-Stufen direkt miteinander - verbindet, DARF NICHT konfiguriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.12 - description: "Die interne Firewall MUSS zudem die Angriffsfl\xE4che des ALGs\ - \ oder der Sicherheits-Proxies gegen\xFCber Innent\xE4tern und Innent\xE4\ - terinnen oder IT-Systemen im internen Netz reduzieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 - ref_id: NET.1.1.A18.13 - description: "Authentisierte und vertrauensw\xFCrdige Netzzugriffe vom VPN-Gateway\ - \ ins interne Netz SOLLTEN NICHT das ALG oder die Sicherheits-Proxies der\ - \ P-A-P-Struktur durchlaufen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A19 - name: Separierung der Infrastrukturdienste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 - ref_id: NET.1.1.A19.1 - description: "Server, die grundlegende Dienste f\xFCr die IT-Infrastruktur bereitstellen,\ - \ SOLLTEN in einem dedizierten Netzsegment positioniert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 - ref_id: NET.1.1.A19.2 - description: Die Kommunikation mit ihnen SOLLTE durch einen zustandsbehafteten - Paketfilter (Firewall) kontrolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A20 - name: "Zuweisung dedizierter Subnetze f\xFCr IPv4/IPv6-Endger\xE4tegruppen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20 - ref_id: NET.1.1.A20.1 - description: "Unterschiedliche IPv4-/IPv6- Endger\xE4te SOLLTEN je nach verwendetem\ - \ Protokoll (IPv4-/IPv6- oder IPv4/IPv6-DualStack) dedizierten Subnetzen zugeordnet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A21 - name: Separierung des Management-Bereichs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.1 - description: "Um die Infrastruktur zu managen, SOLLTE durchg\xE4ngig ein Out-of-Band-Management\ - \ genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.2 - description: "Dabei SOLLTEN alle Endger\xE4te, die f\xFCr das Management der\ - \ IT-Infrastruktur ben\xF6tigt werden, in dedizierten Netzsegmenten positioniert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.3 - description: "Die Kommunikation mit diesen Endger\xE4ten SOLLTE durch einen\ - \ zustandsbehafteten Paketfilter kontrolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.4 - description: "Die Kommunikation von und zu diesen Management-Netzsegmenten SOLLTE\ - \ auf die notwendigen Management-Protokolle mit definierten Kommunikations-Endpunkten\ - \ beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.5 - description: Der Management-Bereich SOLLTE mindestens die folgenden Netzsegmente - umfassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.6 - description: "Diese SOLLTEN abh\xE4ngig von der Sicherheitsrichtlinie und der\ - \ Anforderungsspezifikation weiter unterteilt werden in" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.7 - description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr die Authentisierung\ - \ und Autorisierung der administrativen Kommunikation zust\xE4ndig sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.8 - description: "\u2022 Netzsegment(e) f\xFCr die Administration der IT-Systeme," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.9 - description: "\u2022 Netzsegment(e) f\xFCr die \xDCberwachung und das Monitoring," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.10 - description: "\u2022 Netzsegment(e), die die zentrale Protokollierung inklusive\ - \ Syslog-Server und SIEM-Server enthalten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.11 - description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr grundlegende\ - \ Dienste des Management-Bereichs ben\xF6tigt werden sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.12 - description: "\u2022 Netzsegment(e) f\xFCr die Management-Interfaces der zu\ - \ administrierenden IT-Systeme." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.13 - description: "Die verschiedenen Management-Interfaces der IT-Systeme M\xDCSSEN\ - \ nach ihrem Einsatzzweck und ihrer Netzplatzierung \xFCber einen zustandsbehafteten\ - \ Paketfilter getrennt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.14 - description: "Dabei SOLLTEN die IT-Systeme (Management-Interfaces) zus\xE4tzlich\ - \ bei folgender Zugeh\xF6rigkeit \xFCber dedizierte Firewalls getrennt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.15 - description: "\u2022 IT-Systeme, die aus dem Internet erreichbar sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.16 - description: "\u2022 IT-Systeme im internen Netz sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.17 - description: "\u2022 Sicherheitskomponenten, die sich zwischen den aus dem Internet\ - \ erreichbaren IT-Systemen und dem internen Netz befinden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.18 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.18 - description: Es MUSS sichergestellt werden, dass die Segmentierung nicht durch - die Management-Kommunikation unterlaufen werden kann. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.19 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 - ref_id: NET.1.1.A21.19 - description: "Eine \xDCberbr\xFCckung von Netzsegmenten MUSS ausgeschlossen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A22 - name: Spezifikation des Segmentierungskonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.1 - description: "Auf Basis der Spezifikationen von Netzarchitektur und Netzdesign\ - \ SOLLTE ein umfassendes Segmentierungskonzept f\xFCr das interne Netz erstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.2 - description: Dieses Segmentierungskonzept SOLLTE eventuell vorhandene virtualisierte - Netze in Virtualisierungs-Hosts beinhalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.3 - description: Das Segmentierunskonzept SOLLTE geplant, umgesetzt, betrieben und - nachhaltig gepflegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.4 - description: 'Das Konzept SOLLTE mindestens die folgenden Punkte umfassen, soweit - diese in der Zielumgebung vorgesehen sind:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.5 - description: "\u2022 Initial anzulegende Netzsegmente und Vorgaben dazu, wie\ - \ neue Netzsegmente zu schaffen sind und wie Endger\xE4te in den Netzsegmenten\ - \ zu positionieren sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.6 - description: "\u2022 Festlegung f\xFCr die Segmentierung von Entwicklungs- und\ - \ Testsystemen (Staging)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.7 - description: "\u2022 Netzzugangskontrolle f\xFCr Netzsegmente mit Clients," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.8 - description: "\u2022 Anbindung von Netzbereichen, die \xFCber Funktechniken\ - \ oder Standleitung an die Netzsegmente angebunden sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.9 - description: "\u2022 Anbindung der Virtualisierungs-Hosts und von virtuellen\ - \ Maschinen auf den Hosts an die Netzsegmente," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.10 - description: "\u2022 Rechenzentrumsautomatisierung sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.11 - description: "\u2022 Festlegungen dazu, wie Endger\xE4te einzubinden sind, die\ - \ mehrere Netzsegmente versorgen, z. B. Load Balancer, und Speicher- sowie\ - \ Datensicherungsl\xF6sungen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.12 - description: "Abh\xE4ngig von der Sicherheitsrichtlinie und der Anforderungsspezifikation\ - \ SOLLTE f\xFCr jedes Netzsegment konzipiert werden, wie es netztechnisch\ - \ realisiert werden soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 - ref_id: NET.1.1.A22.13 - description: "Dar\xFCber hinaus SOLLTE festgelegt werden, welche Sicherheitsfunktionen\ - \ die Koppelelemente zwischen den Netzsegmenten bereitstellen m\xFCssen (z.\ - \ B. Firewall als zustandsbehafteter Paketfilter oder IDS/IPS)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A23 - name: Trennung von Netzsegmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.1 - description: IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen - Netzsegmenten platziert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.2 - description: "Ist dies nicht m\xF6glich, SOLLTE sich der Schutzbedarf nach dem\ - \ h\xF6chsten vorkommenden Schutzbedarf im Netzsegment richten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.3 - description: "Dar\xFCber hinaus SOLLTEN die Netzsegmente abh\xE4ngig von ihrer\ - \ Gr\xF6\xDFe und den Anforderungen des Segmentierungskonzepts weiter unterteilt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.4 - description: "Es MUSS sichergestellt werden, dass keine \xDCberbr\xFCckung von\ - \ Netzsegmenten oder gar Zonen m\xF6glich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.5 - description: "Geh\xF6ren die virtuellen LANs (VLANs) an einem Switch unterschiedlichen\ - \ Institutionen an, SOLLTE die Trennung physisch erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 - ref_id: NET.1.1.A23.6 - description: "Alternativ SOLLTEN Daten verschl\xFCsselt werden, um die \xFC\ - bertragenen Informationen vor unbefugtem Zugriff zu sch\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A24 - name: Sichere logische Trennung mittels VLAN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 - ref_id: NET.1.1.A24.1 - description: Falls VLANs eingesetzt werden, dann DARF dadurch KEINE Verbindung - geschaffen werden zwischen dem internen Netz und einer Zone vor dem ALG oder - den Sicherheits-Proxies. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 - ref_id: NET.1.1.A24.2 - description: "Generell MUSS sichergestellt werden, dass VLANs nicht \xFCberwunden\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A25 - name: Fein- und Umsetzungsplanung von Netzarchitektur und -design - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25 - ref_id: NET.1.1.A25.1 - description: "Eine Fein- und Umsetzungsplanung f\xFCr die Netzarchitektur und\ - \ das Netzdesign SOLLTE durchgef\xFChrt, dokumentiert, gepr\xFCft und nachhaltig\ - \ gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A26 - name: "Spezifikation von Betriebsprozessen f\xFCr das Netz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 - ref_id: NET.1.1.A26.1 - description: Betriebsprozesse SOLLTEN bedarfsgerecht erzeugt oder angepasst - und dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 - ref_id: NET.1.1.A26.2 - description: "Dabei SOLLTE insbesondere ber\xFCcksichtigt werden, wie sich die\ - \ Zonierung sowie das Segmentierungskonzept auf den IT-Betrieb auswirken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A27 - name: Einbindung der Netzarchitektur in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27 - ref_id: NET.1.1.A27.1 - description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ - \ analysiert werden, wie sich die Netzarchitektur und die abgeleiteten Konzepte\ - \ auf die Notfallplanung auswirken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A28 - name: "Hochverf\xFCgbare Netz- und Sicherheitskomponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 - ref_id: NET.1.1.A28.1 - description: "Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten\ - \ SOLLTEN hochverf\xFCgbar ausgelegt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 - ref_id: NET.1.1.A28.2 - description: "Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern\ - \ hochverf\xFCgbar realisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A29 - name: "Hochverf\xFCgbare Realisierung von Netzanbindungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 - ref_id: NET.1.1.A29.1 - description: "Die Netzanbindungen, wie z. B. Internet-Anbindung und WAN-Verbindungen,\ - \ SOLLTEN vollst\xE4ndig redundant gestaltet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 - ref_id: NET.1.1.A29.2 - description: "Je nach Verf\xFCgbarkeitsanforderung SOLLTEN redundante Anbindungen\ - \ an Dienstleistende bedarfsabh\xE4ngig mit unterschiedlicher Technik und\ - \ Performance bedarfsgerecht umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 - ref_id: NET.1.1.A29.3 - description: "Auch SOLLTE Wegeredundanz innerhalb und au\xDFerhalb der eigenen\ - \ Zust\xE4ndigkeit bedarfsgerecht umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 - ref_id: NET.1.1.A29.4 - description: "Dabei SOLLTEN m\xF6gliche Single Points of Failures (SPoF) und\ - \ st\xF6rende Umgebungsbedingungen ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A30 - name: Schutz vor Distributed-Denial-of-Service - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 - ref_id: NET.1.1.A30.1 - description: "Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement\ - \ die verf\xFCgbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern\ - \ und -partnerinnen sowie Protokollen aufgeteilt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 - ref_id: NET.1.1.A30.2 - description: "Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu k\xF6nnen,\ - \ SOLLTEN Mitigation-Dienste \xFCber gr\xF6\xDFere Internet Service Provider\ - \ (ISPs) eingekauft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 - ref_id: NET.1.1.A30.3 - description: "Deren Nutzung SOLLTE in Vertr\xE4gen geregelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A31 - name: Physische Trennung von Netzsegmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31 - ref_id: NET.1.1.A31.1 - description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ - \ SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A32 - name: Physische Trennung von Management-Netzsegmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32 - ref_id: NET.1.1.A32.1 - description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ - \ SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A33 - name: Mikrosegmentierung des Netzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 - ref_id: NET.1.1.A33.1 - description: "Das Netz SOLLTE in kleine Netzsegmente mit sehr \xE4hnlichem Anforderungsprofil\ - \ und selbem Schutzbedarf unterteilt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 - ref_id: NET.1.1.A33.2 - description: "Insbesondere SOLLTE dies f\xFCr die DMZ-Segmente ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A34 - name: Einsatz kryptografischer Verfahren auf Netzebene - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 - ref_id: NET.1.1.A34.1 - description: Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich - mittels kryptografischer Techniken bereits auf Netzebene realisiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 - ref_id: NET.1.1.A34.2 - description: "Daf\xFCr SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 - ref_id: NET.1.1.A34.3 - description: "Wenn innerhalb von internem Netz, Extranet oder DMZ \xFCber Verbindungsstrecken\ - \ kommuniziert wird, die f\xFCr einen erh\xF6hten Schutzbedarf nicht ausreichend\ - \ sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschl\xFC\ - sselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A35 - name: Einsatz von netzbasiertem DLP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35 - ref_id: NET.1.1.A35.1 - description: Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 - ref_id: NET.1.1.A36 - name: Trennung mittels VLAN bei sehr hohem Schutzbedarf - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36 - ref_id: NET.1.1.A36.1 - description: Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.1.2 - name: Netzmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A1 - name: Planung des Netzmanagements - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.1 - description: Die Netzmanagement-Infrastruktur MUSS geeignet geplant werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.2 - description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und Anforderungsspezifikation\ - \ f\xFCr das Netzmanagement genannten Punkte ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.3 - description: "Es M\xDCSSEN mindestens folgende Themen ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.4 - description: "\u2022 zu trennende Bereiche f\xFCr das Netzmanagement," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.5 - description: "\u2022 Zugriffsm\xF6glichkeiten auf die Management-Server," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.6 - description: "\u2022 Kommunikation f\xFCr den Managementzugriff," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.7 - description: "\u2022 eingesetzte Protokolle, z. B. IPv4 und IPv6," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.8 - description: "\u2022 Anforderungen an Management-Werkzeuge," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.9 - description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ - \ weiterzuleiten," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.10 - description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ - \ zu einer zentralen Protokollierungsl\xF6sung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.11 - description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ - sungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 - ref_id: NET.1.2.A1.12 - description: "\u2022 korrespondierende Anforderungen an die einzubindenden Netzkomponenten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A2 - name: "Anforderungsspezifikation f\xFCr das Netzmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 - ref_id: NET.1.2.A2.1 - description: "Ausgehend von NET.1.2.A1 Planung des Netzmanagements M\xDCSSEN\ - \ Anforderungen an die Netzmanagement-Infrastruktur und -Prozesse spezifiziert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 - ref_id: NET.1.2.A2.2 - description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Netzmanagement\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 - ref_id: NET.1.2.A2.3 - description: "Auch SOLLTE die Richtlinie f\xFCr das Netzmanagement beachtet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A6 - name: "Regelm\xE4\xDFige Datensicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6 - ref_id: NET.1.2.A6.1 - description: "Bei der Datensicherung des Netzmanagements M\xDCSSEN mindestens\ - \ die Systemdaten f\xFCr die Einbindung der zu verwaltenden Komponenten bzw.\ - \ Objekte, Ereignismeldungen, Statistikdaten sowie vorgehaltene Daten f\xFC\ - r das Konfigurationsmanagement gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A7 - name: Grundlegende Protokollierung von Ereignissen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - ref_id: NET.1.2.A7.1 - description: "Mindestens folgende Ereignisse M\xDCSSEN protokolliert werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - ref_id: NET.1.2.A7.2 - description: "\u2022 unerlaubte Zugriffe bzw. Zugriffsversuche," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - ref_id: NET.1.2.A7.3 - description: "\u2022 Leistungs- oder Verf\xFCgbarkeitsschwankungen des Netzes," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - ref_id: NET.1.2.A7.4 - description: "\u2022 Fehler in automatischen Prozessen (z. B. bei der Konfigurationsverteilung)\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 - ref_id: NET.1.2.A7.5 - description: "\u2022 eingeschr\xE4nkte Erreichbarkeit von Netzkomponenten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A8 - name: Zeit-Synchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 - ref_id: NET.1.2.A8.1 - description: "Alle Komponenten des Netzmanagements, inklusive der eingebundenen\ - \ Netzkomponenten, M\xDCSSEN eine synchrone Uhrzeit nutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 - ref_id: NET.1.2.A8.2 - description: Die Uhrzeit SOLLTE an jedem Standort innerhalb des lokalen Netzes - mittels NTP-Service synchronisiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 - ref_id: NET.1.2.A8.3 - description: Ist ein separates Managementnetz eingerichtet, SOLLTE eine NTP-Instanz - in diesem Managementnetz positioniert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A9 - name: Absicherung der Netzmanagement-Kommunikation und des Zugriffs auf Netz-Management-Werkzeuge - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 - ref_id: NET.1.2.A9.1 - description: "Erfolgt die Netzmanagement-Kommunikation \xFCber die produktive\ - \ Infrastruktur, M\xDCSSEN daf\xFCr sichere Protokolle verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 - ref_id: NET.1.2.A9.2 - description: "Ist dies nicht m\xF6glich, MUSS ein eigens daf\xFCr vorgesehenes\ - \ Administrationsnetz (Out-of-Band-Management) verwendet werden (siehe NET.1.1\ - \ Netzarchitektur und -design)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 - ref_id: NET.1.2.A9.3 - description: "Falls von einem Netz au\xDFerhalb der Managementnetze auf Netzmanagement-Werkzeuge\ - \ zugegriffen wird, M\xDCSSEN als sicher geltende Authentisierungs- und Verschl\xFC\ - sselungsmethoden realisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A10 - name: "Beschr\xE4nkung der SNMP-Kommunikation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 - ref_id: NET.1.2.A10.1 - description: "Grunds\xE4tzlich D\xDCRFEN im Netzmanagement KEINE unsicheren\ - \ Versionen des Simple Network Management Protocol (SNMP) eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 - ref_id: NET.1.2.A10.2 - description: "Werden dennoch unsichere Protokolle verwendet und nicht \xFCber\ - \ andere sichere Netzprotokolle (z. B. VPN oder TLS) abgesichert, MUSS ein\ - \ separates Managementnetz genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 - ref_id: NET.1.2.A10.3 - description: "Grunds\xE4tzlich SOLLTE \xFCber SNMP nur mit den minimal erforderlichen\ - \ Zugriffsrechten zugegriffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 - ref_id: NET.1.2.A10.4 - description: "Die Zugangsberechtigung SOLLTE auf dedizierte Management-Server\ - \ eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A11 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Netzmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.1 - description: "F\xFCr das Netzmanagement SOLLTE eine Sicherheitsrichtlinie erstellt\ - \ und nachhaltig gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.2 - description: Die Sicherheitsrichtlinie SOLLTE allen Personen, die am Netzmanagement - beteiligt sind, bekannt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.3 - description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr ihre\ - \ Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.4 - description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ - \ werden, dass die in der Sicherheitsrichtlinie geforderten Inhalte umgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.5 - description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.6 - description: "Die Sicherheitsrichtlinie SOLLTE festlegen, welche Bereiche des\ - \ Netzmanagements \xFCber zentrale Management-Werkzeuge und -Dienste realisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.7 - description: Auch SOLLTE sie definieren, inwieweit Aufgaben im Netzmanagement - der Institution automatisiert realisiert werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.8 - description: "Dar\xFCber hinaus SOLLTEN Rahmenbedingungen und Vorgaben f\xFC\ - r die Netztrennung, die Zugriffskontrolle, die Protokollierung sowie f\xFC\ - r den Schutz der Kommunikation spezifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 - ref_id: NET.1.2.A11.9 - description: "Auch f\xFCr das eingesetzte Netzmanagement-Werkzeug und f\xFC\ - r die operativen Grundregeln des Netzmanagements SOLLTEN Rahmenbedingungen\ - \ und Vorgaben spezifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A12 - name: Ist-Aufnahme und Dokumentation des Netzmanagements - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.1 - description: Es SOLLTE eine Dokumentation erstellt werden, die beschreibt, wie - die Management-Infrastruktur des Netzes aufgebaut ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.2 - description: "Darin SOLLTEN die initiale Ist-Aufnahme sowie alle durchgef\xFC\ - hrten \xC4nderungen im Netzmanagement enthalten sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.3 - description: Insbesondere SOLLTE dokumentiert werden, welche Netzkomponenten - mit welchen Management-Werkzeugen verwaltet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.4 - description: "Au\xDFerdem SOLLTEN alle f\xFCr das Netzmanagement benutzten IT-Arbeitspl\xE4\ - tze und -Endger\xE4te sowie alle Informationsbest\xE4nde, Management-Daten\ - \ und Informationen \xFCber den Betrieb des Netzmanagements erfasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.5 - description: "Letztlich SOLLTEN s\xE4mtliche Schnittstellen zu Anwendungen und\ - \ Diensten au\xDFerhalb des Netzmanagements dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.6 - description: Der so dokumentierte Ist-Zustand der Management-Infrastruktur SOLLTE - mit der Dokumentation der Netz-Infrastruktur abgeglichen werden (siehe Baustein - NET.1.1 Netz-Architektur- und Design). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 - ref_id: NET.1.2.A12.7 - description: "Die Dokumentation SOLLTE vollst\xE4ndig und immer aktuell sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A13 - name: Erstellung eines Netzmanagement-Konzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.1 - description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ - \ SOLLTE ein Netzmanagement-Konzept erstellt und nachhaltig gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.2 - description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ - cksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.3 - description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Netzmanagement," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.4 - description: "\u2022 Absicherung des Zugangs und der Kommunikation," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.5 - description: "\u2022 Netztrennung, insbesondere Zuordnung von Netzmanagement-Komponenten\ - \ zu Zonen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.6 - description: "\u2022 Umfang des Monitorings und der Alarmierung je Netzkomponente," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.7 - description: "\u2022 Protokollierung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.8 - description: "\u2022 Automatisierung, insbesondere zentrale Verteilung von Konfigurationsdateien\ - \ auf Switches," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.9 - description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.10 - description: "\u2022 Bereitstellung von Netzmanagement-Informationen f\xFCr\ - \ andere Betriebsbereiche sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 - ref_id: NET.1.2.A13.11 - description: "\u2022 Einbindung des Netzmanagements in die Notfallplanung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A14 - name: Fein- und Umsetzungsplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 - ref_id: NET.1.2.A14.1 - description: "Es SOLLTE eine Fein- und Umsetzungsplanung f\xFCr die Netzmanagement-Infrastruktur\ - \ erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 - ref_id: NET.1.2.A14.2 - description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Netzmanagement-Konzept\ - \ adressierten Punkte ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A15 - name: "Konzept f\xFCr den sicheren Betrieb der Netzmanagement-Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 - ref_id: NET.1.2.A15.1 - description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ - \ und dem Netzmanagement-Konzept SOLLTE ein Konzept f\xFCr den sicheren Betrieb\ - \ der Netzmanagement-Infrastruktur erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 - ref_id: NET.1.2.A15.2 - description: "Darin SOLLTE der Anwendungs- und Systembetrieb f\xFCr die Netzmanagement-Werkzeuge\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 - ref_id: NET.1.2.A15.3 - description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ - \ operativer Einheiten einbinden und steuern lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A16 - name: "Einrichtung und Konfiguration von Netzmanagement-L\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 - ref_id: NET.1.2.A16.1 - description: "L\xF6sungen f\xFCr das Netzmanagement SOLLTEN anhand der Sicherheitsrichtlinie,\ - \ der spezifizierten Anforderungen (siehe NET.1.2.A2 Anforderungsspezifikation\ - \ f\xFCr das Netzmanagement) und der Fein- und Umsetzungsplanung aufgebaut,\ - \ sicher konfiguriert und in Betrieb genommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 - ref_id: NET.1.2.A16.2 - description: "Danach SOLLTEN die spezifischen Prozesse f\xFCr das Netzmanagement\ - \ eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A17 - name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Netzmanagements" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 - ref_id: NET.1.2.A17.1 - description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar gepr\xFCft werden,\ - \ inwieweit die Netzmanagement-L\xF6sung dem Sollzustand entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 - ref_id: NET.1.2.A17.2 - description: "Dabei SOLLTE gepr\xFCft werden, ob die bestehende L\xF6sung noch\ - \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 - ref_id: NET.1.2.A17.3 - description: "Auch SOLLTE gepr\xFCft werden, inwieweit die umgesetzte Management-Struktur\ - \ und die genutzten Prozesse dem aktuellen Stand entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 - ref_id: NET.1.2.A17.4 - description: Weiter SOLLTE verglichen werden, ob die Management-Infrastruktur - aktuell ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A18 - name: "Schulungen f\xFCr Management-L\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 - ref_id: NET.1.2.A18.1 - description: "F\xFCr die eingesetzten Netzmanagement-L\xF6sungen SOLLTEN Schulungs-\ - \ und Trainingsma\xDFnahmen konzipiert und durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 - ref_id: NET.1.2.A18.2 - description: "Die Ma\xDFnahmen SOLLTEN die individuellen Gegebenheiten im Configuration-,\ - \ Availability- und Capacity-Management sowie typische Situationen im Fehlermanagement\ - \ abdecken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 - ref_id: NET.1.2.A18.3 - description: "Die Schulungen und Trainings SOLLTEN regelm\xE4\xDFig wiederholt\ - \ werden, mindestens jedoch, wenn sich gr\xF6\xDFere technische oder organisatorische\ - \ \xC4nderungen innerhalb der Netzmanagement-L\xF6sung ergeben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A21 - name: Entkopplung der Netzmanagement-Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 - ref_id: NET.1.2.A21.1 - description: "Direkte Management-Zugriffe von Administrierenden von einem IT-System\ - \ au\xDFerhalb der Managementnetze auf eine Netzkomponente SOLLTEN vermieden\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 - ref_id: NET.1.2.A21.2 - description: Ist ein solcher Zugriff ohne zentrales Management-Werkzeug notwendig, - SOLLTE die Kommunikation entkoppelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 - ref_id: NET.1.2.A21.3 - description: Solche Sprungserver SOLLTEN im Management-Netz integriert und in - einem getrennten Zugangssegment positioniert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A22 - name: "Beschr\xE4nkung der Management-Funktionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22 - ref_id: NET.1.2.A22.1 - description: "Es SOLLTEN NUR die ben\xF6tigten Management-Funktionen aktiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A24 - name: "Zentrale Konfigurationsverwaltung f\xFCr Netzkomponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 - ref_id: NET.1.2.A24.1 - description: "Software bzw. Firmware und Konfigurationsdaten f\xFCr Netzkomponenten\ - \ SOLLTEN automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung\ - \ installiert und aktiviert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 - ref_id: NET.1.2.A24.2 - description: "Die daf\xFCr ben\xF6tigten Informationen SOLLTEN an zentraler\ - \ Stelle sicher verf\xFCgbar sein sowie in die Versionsverwaltung und die\ - \ Datensicherung eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 - ref_id: NET.1.2.A24.3 - description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ - \ und regelm\xE4\xDFig auditiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A25 - name: "Status\xFCberwachung der Netzkomponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 - ref_id: NET.1.2.A25.1 - description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ - \ der zentralen Netzkomponenten SOLLTEN kontinuierlich \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 - ref_id: NET.1.2.A25.2 - description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ - \ (Baselining)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A26 - name: Alarming und Logging - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.1 - description: "Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen\ - \ SOLLTEN automatisch an ein zentrales Management-System \xFCbermittelt und\ - \ dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.2 - description: "Das zust\xE4ndige Personal SOLLTE zus\xE4tzlich automatisch benachrichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.3 - description: 'Das Alarming und Logging SOLLTE mindestens folgende Punkte beinhalten:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.4 - description: "\u2022 Ausfall bzw. Nichterreichbarkeit von Netz- oder Management-Komponenten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.5 - description: "\u2022 Hardware-Fehlfunktionen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.6 - description: "\u2022 fehlerhafte Anmeldeversuche sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.7 - description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von IT-Systemen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.8 - description: "Ereignismeldungen bzw. Logging-Daten SOLLTEN einem zentralen Management-System\ - \ entweder kontinuierlich oder geb\xFCndelt \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 - ref_id: NET.1.2.A26.9 - description: "Alarmmeldungen SOLLTEN sofort wenn sie auftreten \xFCbermittelt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A27 - name: Einbindung des Netzmanagements in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 - ref_id: NET.1.2.A27.1 - description: "Die Netzmanagement-L\xF6sungen SOLLTEN in die Notfallplanung der\ - \ Institution eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 - ref_id: NET.1.2.A27.2 - description: "Dazu SOLLTEN die Netzmanagement-Werkzeuge und die Konfigurationen\ - \ der Netzkomponenten gesichert und in die Wiederanlaufpl\xE4ne integriert\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A28 - name: "Platzierung der Management-Clients f\xFCr das In-Band-Management" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 - ref_id: NET.1.2.A28.1 - description: "F\xFCr die Administration sowohl der internen als auch der externen\ - \ IT-Systeme SOLLTEN dedizierte Management-Clients eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 - ref_id: NET.1.2.A28.2 - description: "Daf\xFCr SOLLTE mindestens ein Management-Client am \xE4u\xDF\ - eren Netzbereich (f\xFCr die Administration am Internet anliegender IT-Systeme)\ - \ und ein weiterer im internen Bereich (f\xFCr die Administration interner\ - \ IT-Systeme) platziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A29 - name: Einsatz von VLANs im Management-Netz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 - ref_id: NET.1.2.A29.1 - description: "Werden Managementnetze durch VLANs getrennt, SOLLTE darauf geachtet\ - \ werden, dass der \xE4u\xDFere Paketfilter sowie die daran angeschlossenen\ - \ Ger\xE4te in einem eigenen Teilnetz stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 - ref_id: NET.1.2.A29.2 - description: Zudem SOLLTE sichergestellt werden, dass das ALG dabei nicht umgangen - wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A30 - name: "Hochverf\xFCgbare Realisierung der Management-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 - ref_id: NET.1.2.A30.1 - description: "Zentrale Management-L\xF6sungen SOLLTEN hochverf\xFCgbar betrieben\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 - ref_id: NET.1.2.A30.2 - description: Dazu SOLLTEN die Server bzw. Werkzeuge inklusive der Netzanbindungen - redundant ausgelegt sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 - ref_id: NET.1.2.A30.3 - description: "Auch die einzelnen Komponenten SOLLTEN hochverf\xFCgbar bereitgestellt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A31 - name: "Grunds\xE4tzliche Nutzung von sicheren Protokollen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 - ref_id: NET.1.2.A31.1 - description: "F\xFCr das Netzmanagement SOLLTEN ausschlie\xDFlich sichere Protokolle\ - \ benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 - ref_id: NET.1.2.A31.2 - description: Es SOLLTEN alle Sicherheitsfunktionen dieser Protokolle verwendet - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A32 - name: Physische Trennung des Managementnetzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32 - ref_id: NET.1.2.A32.1 - description: Das Managementnetz SOLLTE physisch von den produktiven Netzen getrennt - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A33 - name: Physische Trennung von Management-Segmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33 - ref_id: NET.1.2.A33.1 - description: "Es SOLLTEN physisch getrennte Zonen mindestens f\xFCr das Management\ - \ von LAN-Komponenten, Sicherheitskomponenten und Komponenten zur Au\xDFenanbindung\ - \ eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A35 - name: Festlegungen zur Beweissicherung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35 - ref_id: NET.1.2.A35.1 - description: "Die erhobenen Protokollierungsdaten SOLLTEN f\xFCr forensische\ - \ Analysen gesetzeskonform und revisionssicher archiviert werden (siehe auch\ - \ DER.2.2 Vorsorge f\xFCr die IT-Forensik)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A36 - name: "Einbindung der Protokollierung des Netzmanagements in eine SIEM-L\xF6\ - sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 - ref_id: NET.1.2.A36.1 - description: "Die Protokollierung des Netzmanagements SOLLTE in eine Security-Information-and-Event-Management\ - \ (SIEM)-L\xF6sung eingebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 - ref_id: NET.1.2.A36.2 - description: "Dazu SOLLTEN die Anforderungskataloge zur Auswahl von Netzmanagement-L\xF6\ - sungen hinsichtlich der erforderlichen Unterst\xFCtzung von Schnittstellen\ - \ und \xDCbergabeformaten angepasst werden (siehe NET.1.2.A2 Anforderungsspezifikation\ - \ f\xFCr das Netzmanagement)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A37 - name: "Standort\xFCbergreifende Zeitsynchronisation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 - ref_id: NET.1.2.A37.1 - description: "Die Zeitsynchronisation SOLLTE \xFCber alle Standorte der Institution\ - \ sichergestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 - ref_id: NET.1.2.A37.2 - description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 - ref_id: NET.1.2.A38 - name: "Festlegung von Notbetriebsformen f\xFCr die Netzmanagement-Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38 - ref_id: NET.1.2.A38.1 - description: "F\xFCr eine schnelle Wiederherstellung der Sollzust\xE4nde von\ - \ Software bzw. Firmware sowie der Konfiguration der Komponenten in der Netzmanagement-Infrastruktur\ - \ SOLLTEN hinreichend gute Ersatzl\xF6sungen festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.2.1 - name: WLAN-Betrieb - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A1 - name: "Festlegung einer Strategie f\xFCr den Einsatz von WLANs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 - ref_id: NET.2.1.A1.1 - description: "Bevor in einer Institution WLANs eingesetzt werden, MUSS festgelegt\ - \ sein, welche generelle Strategie die Institution im Hinblick auf die Kommunikation\ - \ \xFCber WLANs plant." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 - ref_id: NET.2.1.A1.2 - description: "Insbesondere MUSS gekl\xE4rt und festgelegt werden, in welchen\ - \ Organisationseinheiten, f\xFCr welche Anwendungen und zu welchem Zweck WLANs\ - \ eingesetzt und welche Informationen dar\xFCber \xFCbertragen werden d\xFC\ - rfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 - ref_id: NET.2.1.A1.3 - description: Ebenso MUSS der Abdeckungsbereich des WLAN festgelegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 - ref_id: NET.2.1.A1.4 - description: "Au\xDFerdem MUSS schon in der Planungsphase festgelegt sein, wer\ - \ f\xFCr die Administration der unterschiedlichen WLAN-Komponenten zust\xE4\ - ndig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Verantwortlichen\ - \ gibt und wann welche Informationen zwischen den Zust\xE4ndigen ausgetauscht\ - \ werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A2 - name: Auswahl eines geeigneten WLAN-Standards - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - ref_id: NET.2.1.A2.1 - description: "Im Rahmen der WLAN-Planung MUSS zuerst ermittelt werden, welche\ - \ der von der Institution betriebenen Ger\xE4te (z. B. Mikrowellenger\xE4\ - te, Bluetooth-Ger\xE4te) in das ISM-Band bei 2,4 GHz sowie in das 5 GHz-Band\ - \ abstrahlen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - ref_id: NET.2.1.A2.2 - description: "Au\xDFerdem M\xDCSSEN die vorhandenen Sicherheitsmechanismen der\ - \ einzelnen WLAN-Standards gegeneinander abgewogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - ref_id: NET.2.1.A2.3 - description: "Generell MUSS sichergestellt sein, dass nur als allgemein sicher\ - \ anerkannte Verfahren zur Authentisierung und Verschl\xFCsselung eingesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - ref_id: NET.2.1.A2.4 - description: "Die Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 - ref_id: NET.2.1.A2.5 - description: "Ger\xE4te, die von anerkannt sicheren Verfahren auf unsichere\ - \ zur\xFCckgreifen m\xFCssen, D\xDCRFEN NICHT mehr eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A3 - name: "Auswahl geeigneter Kryptoverfahren f\xFCr WLAN" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 - ref_id: NET.2.1.A3.1 - description: "Die Kommunikation \xFCber die Luftschnittstelle MUSS komplett\ - \ kryptografisch abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 - ref_id: NET.2.1.A3.2 - description: "Kryptografische Verfahren, die unsicherer als WPA2 sind, D\xDC\ - RFEN NICHT mehr eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 - ref_id: NET.2.1.A3.3 - description: "Wird WPA2 mit Pre-Shared Keys (WPA2-PSK) verwendet, dann MUSS\ - \ ein komplexer Schl\xFCssel mit einer Mindestl\xE4nge von 20 Zeichen verwendet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A4 - name: Geeignete Aufstellung von Access Points - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 - ref_id: NET.2.1.A4.1 - description: "Access Points M\xDCSSEN zugriffs- und diebstahlsicher montiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 - ref_id: NET.2.1.A4.2 - description: "Wenn sie aufgestellt werden, M\xDCSSEN die erforderlichen Bereiche\ - \ ausreichend abgedeckt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 - ref_id: NET.2.1.A4.3 - description: "Dar\xFCber hinaus MUSS darauf geachtet werden, dass sich die Funkwellen\ - \ in Bereichen, die nicht durch das WLAN versorgt werden sollen, m\xF6glichst\ - \ nicht ausbreiten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 - ref_id: NET.2.1.A4.4 - description: "Au\xDFeninstallationen M\xDCSSEN vor Witterungseinfl\xFCssen und\ - \ elektrischen Entladungen geeignet gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A5 - name: Sichere Basis-Konfiguration der Access Points - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 - ref_id: NET.2.1.A5.1 - description: "Access Points D\xDCRFEN NICHT in der Konfiguration des Auslieferungszustandes\ - \ verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 - ref_id: NET.2.1.A5.2 - description: "Voreingestellte SSIDs (Service Set Identifiers), Zugangskennw\xF6\ - rter oder kryptografische Schl\xFCssel M\xDCSSEN vor dem produktiven Einsatz\ - \ ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 - ref_id: NET.2.1.A5.3 - description: "Au\xDFerdem M\xDCSSEN unsichere Administrationszug\xE4nge abgeschaltet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 - ref_id: NET.2.1.A5.4 - description: "Access Points D\xDCRFEN NUR \xFCber eine geeignet verschl\xFC\ - sselte Verbindung administriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A6 - name: Sichere Konfiguration der WLAN-Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6 - ref_id: NET.2.1.A6.1 - description: "Es MUSS sichergestellt sein, dass mittels der WLAN-Kommunikation\ - \ keine Sicherheitszonen gekoppelt werden und hierdurch etablierte Schutzma\xDF\ - nahmen umgangen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A7 - name: Aufbau eines Distribution Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7 - ref_id: NET.2.1.A7.1 - description: Bevor ein kabelgebundenes Distribution System aufgebaut wird, MUSS - prinzipiell entschieden werden, ob physisch oder logisch durch VLANs auf den - Access Switches des kabelbasierten LANs getrennt wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A8 - name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - ref_id: NET.2.1.A8.1 - description: "Bei einem Sicherheitsvorfall MUSS der IT-Betrieb passende Gegenma\xDF\ - nahmen einleiten:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - ref_id: NET.2.1.A8.2 - description: "\u2022 Am \xDCbergabepunkt der WLAN-Kommunikation ins interne\ - \ LAN SOLLTE bei einem Angriff auf das WLAN die Kommunikation selektiv pro\ - \ SSID, Access Point oder sogar f\xFCr die komplette WLAN-Infrastruktur gesperrt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - ref_id: NET.2.1.A8.3 - description: "\u2022 Wurden Access Points gestohlen, M\xDCSSEN festgelegte Sicherheitsma\xDF\ - nahmen umgesetzt werden, damit der Access Point oder hierauf abgespeicherte\ - \ Informationen nicht missbraucht werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - ref_id: NET.2.1.A8.4 - description: "\u2022 Wurden WLAN-Clients entwendet und wird eine zertifikatsbasierte\ - \ Authentisierung verwendet, M\xDCSSEN die Client-Zertifikate gesperrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 - ref_id: NET.2.1.A8.5 - description: "Es MUSS ausgeschlossen werden, dass entwendete Ger\xE4te unberechtigt\ - \ verwendet werden, um auf das Netz der Institution zuzugreifen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A9 - name: Sichere Anbindung von WLANs an ein LAN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 - ref_id: NET.2.1.A9.1 - description: "Werden WLANs an ein LAN angebunden, SOLLTE der \xDCbergang zwischen\ - \ WLANs und LAN abgesichert werden, beispielsweise durch einen Paketfilter." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 - ref_id: NET.2.1.A9.2 - description: "Der Access Point SOLLTE unter Ber\xFCcksichtigung der Anforderung\ - \ NET.2.1.A7 Aufbau eines Distribution Systems eingebunden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A10 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Betrieb von WLANs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ SOLLTEN die wesentlichen Kernaspekte f\xFCr einen sicheren Einsatz von WLANs\ - \ konkretisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.2 - description: Die Richtlinie SOLLTE allen Verantwortlichen bekannt sein, die - an Aufbau und Betrieb von WLANs beteiligt sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.3 - description: "Sie SOLLTE zudem Grundlage f\xFCr ihre Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.4 - description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ - \ regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.5 - description: Werden die Inhalte der Richtlinie nicht umgesetzt, MUSS geeignet - reagiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 - ref_id: NET.2.1.A10.6 - description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A11 - name: Geeignete Auswahl von WLAN-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 - ref_id: NET.2.1.A11.1 - description: "Anhand der Ergebnisse der Planungsphase SOLLTE eine Anforderungsliste\ - \ erstellt werden, mithilfe derer die am Markt erh\xE4ltlichen Produkte bewertet\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 - ref_id: NET.2.1.A11.2 - description: "Werden WLAN-Komponenten beschafft, SOLLTE neben Sicherheit auch\ - \ auf Datenschutz und Kompatibilit\xE4t der WLAN-Komponenten untereinander\ - \ geachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A12 - name: "Einsatz einer geeigneten WLAN-Management-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 - ref_id: NET.2.1.A12.1 - description: "Eine zentrale Managementl\xF6sung SOLLTE eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 - ref_id: NET.2.1.A12.2 - description: "Der Leistungsumfang der eingesetzten L\xF6sung SOLLTE im Einklang\ - \ mit den Anforderungen der WLAN-Strategie sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A13 - name: "Regelm\xE4\xDFige Sicherheitschecks in WLANs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - ref_id: NET.2.1.A13.1 - description: "WLANs SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ - \ ob eventuell Sicherheitsl\xFCcken existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - ref_id: NET.2.1.A13.2 - description: "Zus\xE4tzlich SOLLTE regelm\xE4\xDFig nach unbefugt installierten\ - \ Access Points innerhalb der bereitgestellten WLANs gesucht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - ref_id: NET.2.1.A13.3 - description: Weiterhin SOLLTEN die Performance und Abdeckung gemessen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - ref_id: NET.2.1.A13.4 - description: Die Ergebnisse von Sicherheitschecks SOLLTEN nachvollziehbar dokumentiert - und mit dem Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 - ref_id: NET.2.1.A13.5 - description: Abweichungen SOLLTEN untersucht werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A14 - name: "Regelm\xE4\xDFige Audits der WLAN-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - ref_id: NET.2.1.A14.1 - description: "Bei allen Komponenten der WLAN-Infrastruktur SOLLTE regelm\xE4\ - \xDFig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen\ - \ umgesetzt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - ref_id: NET.2.1.A14.2 - description: "Au\xDFerdem SOLLTE \xFCberpr\xFCft werden ob alle Komponenten\ - \ korrekt konfiguriert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - ref_id: NET.2.1.A14.3 - description: "\xD6ffentlich aufgestellte Access Points SOLLTEN regelm\xE4\xDF\ - ig stichprobenartig daraufhin gepr\xFCft werden, ob es gewaltsame \xD6ffnungs-\ - \ oder Manipulationsversuche gab." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - ref_id: NET.2.1.A14.4 - description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit - dem Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 - ref_id: NET.2.1.A14.5 - description: Abweichungen SOLLTEN untersucht werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A15 - name: Verwendung eines VPN zur Absicherung von WLANs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15 - ref_id: NET.2.1.A15.1 - description: "Es SOLLTE ein VPN eingesetzt werden, um die Kommunikation \xFC\ - ber die WLAN-Infrastruktur zus\xE4tzlich abzusichern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A16 - name: "Zus\xE4tzliche Absicherung bei der Anbindung von WLANs an ein LAN" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16 - ref_id: NET.2.1.A16.1 - description: "Wird eine WLAN-Infrastruktur an ein LAN angebunden, SOLLTE der\ - \ \xDCbergang zwischen WLANs und LAN entsprechend des h\xF6heren Schutzbedarfs\ - \ zus\xE4tzlich abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A17 - name: Absicherung der Kommunikation zwischen Access Points - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17 - ref_id: NET.2.1.A17.1 - description: "Die Kommunikation zwischen den Access Points \xFCber die Funkschnittstelle\ - \ und das LAN SOLLTE verschl\xFCsselt erfolgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 - ref_id: NET.2.1.A18 - name: Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention - Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18 - ref_id: NET.2.1.A18.1 - description: Es SOLLTEN Wireless Intrusion Detection Systeme bzw. Wireless Intrusion - Prevention Systeme eingesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.2.2 - name: WLAN-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 - ref_id: NET.2.2.A1 - name: "Erstellung einer Nutzungsrichtlinie f\xFCr WLAN" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ M\xDCSSEN die wesentlichen Kernaspekte f\xFCr eine sichere WLAN-Nutzung\ - \ in einer WLAN-Nutzungsrichtlinie konkretisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.2 - description: "In einer solchen Nutzungsrichtlinie M\xDCSSEN die Besonderheiten\ - \ bei der WLAN-Nutzung beschrieben sein, z. B. ob, wie und mit welchen Ger\xE4\ - ten Hotspots genutzt werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.3 - description: "Die Richtlinie MUSS Angaben dazu enthalten, welche Daten im WLAN\ - \ genutzt und \xFCbertragen werden d\xFCrfen und welche nicht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.4 - description: "Es MUSS beschrieben sein, wie mit clientseitigen Sicherheitsl\xF6\ - sungen umzugehen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.5 - description: "Die Nutzungsrichtlinie MUSS ein klares Verbot enthalten, ungenehmigte\ - \ Access Points an das Netz der Institution anzuschlie\xDFen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.6 - description: "Au\xDFerdem MUSS in der Richtlinie darauf hingewiesen werden,\ - \ dass die WLAN-Schnittstelle deaktiviert werden muss, wenn sie \xFCber einen\ - \ l\xE4ngeren Zeitraum nicht genutzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.7 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die in der\ - \ Richtlinie geforderten Inhalte richtig umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.8 - description: Ist dies nicht der Fall, MUSS geeignet reagiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 - ref_id: NET.2.2.A1.9 - description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 - ref_id: NET.2.2.A2 - name: Sensibilisierung und Schulung der WLAN-Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.1 - description: "Die Benutzenden von WLAN-Komponenten, vornehmlich von WLAN-Clients,\ - \ M\xDCSSEN sensibilisiert und zu den in der Nutzungsrichtlinie aufgef\xFC\ - hrten Ma\xDFnahmen geschult werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.2 - description: "Hierf\xFCr M\xDCSSEN geeignete Schulungsinhalte identifiziert\ - \ und festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.3 - description: "Den Benutzenden MUSS genau erl\xE4utert werden, was die WLAN-spezifischen\ - \ Sicherheitseinstellungen bedeuten und warum sie wichtig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.4 - description: "Au\xDFerdem M\xDCSSEN die Benutzenden auf die Gefahren hingewiesen\ - \ werden, die drohen, wenn diese Sicherheitseinstellungen umgangen oder deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.5 - description: "Die Schulungsinhalte M\xDCSSEN immer entsprechend den jeweiligen\ - \ Einsatzszenarien angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.6 - description: "Neben der reinen Schulung zu WLAN-Sicherheitsmechanismen M\xDC\ - SSEN den Benutzenden jedoch auch die WLAN-Sicherheitsrichtlinie ihrer Institution\ - \ und die darin enthaltenen Ma\xDFnahmen vorgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 - ref_id: NET.2.2.A2.7 - description: "Ebenso M\xDCSSEN die Benutzenden f\xFCr die m\xF6glichen Gefahren\ - \ sensibilisiert werden, die von fremden WLANs ausgehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 - ref_id: NET.2.2.A3 - name: Absicherung der WLAN-Nutzung an Hotspots - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.1 - description: "D\xFCrfen Hotspots genutzt werden, MUSS Folgendes umgesetzt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.2 - description: "\u2022 Jede(r) Benutzende eines Hotspots MUSS seine oder ihre\ - \ Sicherheitsanforderungen kennen und danach entscheiden, ob und unter welchen\ - \ Bedingungen ihm oder ihr die Nutzung des Hotspots erlaubt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.3 - description: "\u2022 Werden Hotspots genutzt, dann SOLLTE sichergestellt werden,\ - \ dass die Verbindung zwischen Hotspot-Access Point und IT-Systemen der Benutzenden\ - \ nach dem Stand der Technik kryptografisch abgesichert wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.4 - description: "\u2022 WLANs, die nur sporadisch genutzt werden, SOLLTEN von den\ - \ Benutzenden aus der Historie gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.5 - description: "\u2022 Die automatische Anmeldung an WLANs SOLLTE deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.6 - description: "\u2022 Wenn m\xF6glich, SOLLTEN separate Konten mit einer sicheren\ - \ Grundkonfiguration und restriktiven Berechtigungen verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.7 - description: "\u2022 Es SOLLTE sichergestellt sein, dass sich keine Benutzenden\ - \ mit administrativen Berechtigungen von ihren Clients aus an externen WLANs\ - \ anmelden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.8 - description: "\u2022 Sensible Daten D\xDCRFEN NUR \xFCbertragen werden, wenn\ - \ allen notwendigen Sicherheitsma\xDFnahmen auf den Clients, vor allem eine\ - \ geeignete Verschl\xFCsselung, aktiviert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.9 - description: "\u2022 Wird die WLAN-Schnittstelle \xFCber einen l\xE4ngeren Zeitraum\ - \ nicht genutzt, MUSS diese deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 - ref_id: NET.2.2.A3.10 - description: "\u2022 \xDCber \xF6ffentlich zug\xE4ngliche WLANs D\xDCRFEN die\ - \ Benutzenden NUR \xFCber ein Virtual Private Network (VPN) auf interne Ressourcen\ - \ der Institution zugreifen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 - ref_id: NET.2.2.A4 - name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.1 - description: "Bei WLAN-Sicherheitsvorf\xE4llen SOLLTEN die Benutzenden Folgendes\ - \ umsetzen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.2 - description: "\u2022 Sie SOLLTEN ihre Arbeitsergebnisse sichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.3 - description: "\u2022 Sie SOLLTEN den WLAN-Zugriff beenden und die WLAN-Schnittstelle\ - \ ihres Clients deaktivieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.4 - description: "\u2022 Fehlermeldungen und Abweichungen SOLLTEN durch sie genau\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.5 - description: "Ebenso SOLLTEN sie dokumentieren, was sie gemacht haben, bevor\ - \ bzw. w\xE4hrend der Sicherheitsvorfall eingetreten ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 - ref_id: NET.2.2.A4.6 - description: "\u2022 Sie SOLLTEN \xFCber eine geeignete Eskalationsstufe (z.\ - \ B. User Help Desk) den IT-Betrieb benachrichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.3.1 - name: Router und Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A1 - name: Sichere Grundkonfiguration eines Routers oder Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.1 - description: Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.2 - description: "Alle Konfigurations\xE4nderungen SOLLTEN nachvollziehbar dokumentiert\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.3 - description: "Die Integrit\xE4t der Konfigurationsdateien MUSS in geeigneter\ - \ Weise gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.4 - description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ - \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.5 - description: "Router und Switches M\xDCSSEN so konfiguriert sein, dass nur zwingend\ - \ erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.6 - description: "Nicht ben\xF6tigte Dienste, Protokolle und funktionale Erweiterungen\ - \ M\xDCSSEN deaktiviert oder ganz deinstalliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.7 - description: "Ebenfalls M\xDCSSEN nicht benutzte Schnittstellen auf Routern\ - \ und Switches deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.8 - description: "Unbenutzte Netzports M\xDCSSEN nach M\xF6glichkeit deaktiviert\ - \ oder zumindest einem daf\xFCr eingerichteten Unassigned-VLAN zugeordnet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.9 - description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ - \ der Institution weiterhin erf\xFCllt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.10 - description: "Auch SOLLTE begr\xFCndet und dokumentiert werden, warum solche\ - \ Erweiterungen eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.11 - description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ - \ M\xDCSSEN nach au\xDFen verborgen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 - ref_id: NET.3.1.A1.12 - description: "Unn\xF6tige Auskunftsdienste M\xDCSSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A4 - name: Schutz der Administrationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.1 - description: "Alle Administrations- und Managementzug\xE4nge der Router und\ - \ Switches M\xDCSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4\ - nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.2 - description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ - \ Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.3 - description: "Um Router und Switches zu administrieren bzw. zu \xFCberwachen,\ - \ SOLLTEN geeignet verschl\xFCsselte Protokolle eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.4 - description: "Sollte dennoch auf unverschl\xFCsselte Protokolle zur\xFCckgegriffen\ - \ werden, MUSS f\xFCr die Administration ein eigenes Administrationsnetz (Out-of-Band-Management)\ - \ genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.5 - description: "Die Managementschnittstellen und die Administrationsverbindungen\ - \ M\xDCSSEN durch eine separate Firewall gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.6 - description: "F\xFCr die Schnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4nkungen\ - \ f\xFCr z. B. Timeouts vorgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.7 - description: "Alle f\xFCr das Management-Interface nicht ben\xF6tigten Dienste\ - \ M\xDCSSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 - ref_id: NET.3.1.A4.8 - description: "Verf\xFCgt eine Netzkomponente \xFCber eine dedizierte Hardwareschnittstelle,\ - \ MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A5 - name: Schutz vor Fragmentierungsangriffen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5 - ref_id: NET.3.1.A5.1 - description: "Am Router und Layer-3-Switch M\xDCSSEN Schutzmechanismen aktiviert\ - \ sein, um IPv4- sowie IPv6-Fragmentierungsangriffe abzuwehren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A6 - name: Notfallzugriff auf Router und Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6 - ref_id: NET.3.1.A6.1 - description: "Es MUSS f\xFCr die Administrierenden immer m\xF6glich sein, direkt\ - \ auf Router und Switches zuzugreifen, sodass diese weiterhin lokal administriert\ - \ werden k\xF6nnen, auch wenn das gesamte Netz ausf\xE4llt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A7 - name: Protokollierung bei Routern und Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.1 - description: 'Ein Router oder Switch MUSS so konfiguriert werden, dass er unter - anderem folgende Ereignisse protokolliert:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.2 - description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.3 - description: "\u2022 Reboot," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.4 - description: "\u2022 Systemfehler," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.5 - description: "\u2022 Status\xE4nderungen pro Interface, System und Netzsegment\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 - ref_id: NET.3.1.A7.6 - description: "\u2022 Login-Fehler" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A8 - name: "Regelm\xE4\xDFige Datensicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 - ref_id: NET.3.1.A8.1 - description: "Die Konfigurationsdateien von Routern und Switches M\xDCSSEN regelm\xE4\ - \xDFig gesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 - ref_id: NET.3.1.A8.2 - description: "Die Sicherungskopien M\xDCSSEN so abgelegt werden, dass im Notfall\ - \ darauf zugegriffen werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A9 - name: Betriebsdokumentationen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 - ref_id: NET.3.1.A9.1 - description: "Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches\ - \ M\xDCSSEN geeignet dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 - ref_id: NET.3.1.A9.2 - description: "Es SOLLTEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ - \ Aufgaben dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 - ref_id: NET.3.1.A9.3 - description: "Die Dokumentation SOLLTEN vor unbefugten Zugriffen gesch\xFCtzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A10 - name: Erstellung einer Sicherheitsrichtlinie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.1 - description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution - SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.2 - description: "In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen\ - \ und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.3 - description: "Die Richtlinie SOLLTE allen Administrierenden bekannt und grundlegend\ - \ f\xFCr ihre Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.4 - description: "Wird die Richtlinie ver\xE4ndert oder wird von den festgelegten\ - \ Anforderungen abgewichen, SOLLTE das mit dem oder der ISB abgestimmt und\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.5 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ - \ noch korrekt umgesetzt ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 - ref_id: NET.3.1.A10.6 - description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A11 - name: Beschaffung eines Routers oder Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 - ref_id: NET.3.1.A11.1 - description: "Bevor Router oder Switches beschafft werden, SOLLTE basierend\ - \ auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand\ - \ derer die am Markt erh\xE4ltlichen Produkte bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 - ref_id: NET.3.1.A11.2 - description: "Es SOLLTE darauf geachtet werden, dass das von der Institution\ - \ angestrebte Sicherheitsniveau mit den zu beschaffenden Ger\xE4ten erreicht\ - \ werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 - ref_id: NET.3.1.A11.3 - description: "Grundlage f\xFCr die Beschaffung SOLLTEN daher die Anforderungen\ - \ aus der Sicherheitsrichtlinie sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A12 - name: "Erstellung einer Konfigurations-Checkliste f\xFCr Router und Switches" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 - ref_id: NET.3.1.A12.1 - description: "Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand\ - \ derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und\ - \ Switches gepr\xFCft werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 - ref_id: NET.3.1.A12.2 - description: "Da die sichere Konfiguration stark vom Einsatzzweck abh\xE4ngt,\ - \ SOLLTEN die unterschiedlichen Anforderungen der Ger\xE4te in der Konfigurations-Checkliste\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A13 - name: "Administration \xFCber ein gesondertes Managementnetz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 - ref_id: NET.3.1.A13.1 - description: "Router und Switches SOLLTEN ausschlie\xDFlich \xFCber ein separates\ - \ Managementnetz (Out-of-Band-Management) administriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 - ref_id: NET.3.1.A13.2 - description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ - \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 - ref_id: NET.3.1.A13.3 - description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ - \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ - \ aktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 - ref_id: NET.3.1.A13.4 - description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A14 - name: Schutz vor Missbrauch von ICMP-Nachrichten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14 - ref_id: NET.3.1.A14.1 - description: Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A15 - name: Bogon- und Spoofing-Filterung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15 - ref_id: NET.3.1.A15.1 - description: "Es SOLLTE verhindert werden, dass Angreifende mithilfe gef\xE4\ - lschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router\ - \ und Switches eindringen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A16 - name: "Schutz vor \u201EIPv6 Routing Header Type-0\u201C-Angriffen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16 - ref_id: NET.3.1.A16.1 - description: Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die - Angriffe auf den Routing-Header des Type-0 erkennen und verhindern. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A17 - name: Schutz vor DoS- und DDoS-Angriffen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17 - ref_id: NET.3.1.A17.1 - description: Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe - sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A18 - name: Einrichtung von Access Control Lists - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 - ref_id: NET.3.1.A18.1 - description: Der Zugriff auf Router und Switches SOLLTE mithilfe von Access - Control Lists (ACLs) definiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 - ref_id: NET.3.1.A18.2 - description: "In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution\ - \ festgelegt werden, \xFCber welche IT-Systeme oder Netze mit welcher Methode\ - \ auf einen Router oder Switch zugegriffen werden darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 - ref_id: NET.3.1.A18.3 - description: "F\xFCr den Fall, dass keine spezifischen Regeln existieren, SOLLTE\ - \ generell der restriktivere Allowlist-Ansatz bevorzugt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A19 - name: Sicherung von Switch-Ports - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19 - ref_id: NET.3.1.A19.1 - description: "Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen\ - \ gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A20 - name: Sicherheitsaspekte von Routing-Protokollen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - ref_id: NET.3.1.A20.1 - description: "Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen\ - \ austauschen oder Updates f\xFCr Routing-Tabellen verschicken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - ref_id: NET.3.1.A20.2 - description: "Es SOLLTEN ausschlie\xDFlich Routing-Protokolle eingesetzt werden,\ - \ die dies unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - ref_id: NET.3.1.A20.3 - description: "Dynamische Routing-Protokolle SOLLTEN ausschlie\xDFlich in sicheren\ - \ Netzen verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - ref_id: NET.3.1.A20.4 - description: "Sie D\xDCRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 - ref_id: NET.3.1.A20.5 - description: In DMZs SOLLTEN stattdessen statische Routen eingetragen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A21 - name: "Identit\xE4ts- und Berechtigungsmanagement in der Netzinfrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21 - ref_id: NET.3.1.A21.1 - description: "Router und Switches SOLLTEN an ein zentrales Identit\xE4ts- und\ - \ Berechtigungsmanagement angebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A22 - name: Notfallvorsorge bei Routern und Switches - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.1 - description: "Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern\ - \ oder Switches in einem Notfall diagnostiziert werden k\xF6nnten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.2 - description: "Au\xDFerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten\ - \ Fehler behoben werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.3 - description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ - \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.4 - description: "Die Notfallplanungen f\xFCr Router und Switches SOLLTEN mit der\ - \ \xFCbergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.5 - description: Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept - orientieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.6 - description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge - und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 - ref_id: NET.3.1.A22.7 - description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ - \ regelm\xE4\xDFig geprobt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A23 - name: Revision und Penetrationstests - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - ref_id: NET.3.1.A23.1 - description: "Router und Switches SOLLTEN regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ - \ hin \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - ref_id: NET.3.1.A23.2 - description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - ref_id: NET.3.1.A23.3 - description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob der Ist-Zustand\ - \ der festgelegten sicheren Grundkonfiguration entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - ref_id: NET.3.1.A23.4 - description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem - Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 - ref_id: NET.3.1.A23.5 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A24 - name: Einsatz von Netzzugangskontrollen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 - ref_id: NET.3.1.A24.1 - description: Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis - von EAP-TLS implementiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 - ref_id: NET.3.1.A24.2 - description: Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 - und IEEE 802.1x-2004 erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A25 - name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25 - ref_id: NET.3.1.A25.1 - description: "St\xFCrzt ein Router oder Switch ab, SOLLTE sichergestellt werden,\ - \ dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften\ - \ Konfigurationen (unter anderem ACLs) benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A26 - name: "Hochverf\xFCgbarkeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 - ref_id: NET.3.1.A26.1 - description: "Die Realisierung einer Hochverf\xFCgbarkeitsl\xF6sung SOLLTE den\ - \ Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern\ - \ oder das Sicherheitsniveau senken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 - ref_id: NET.3.1.A26.2 - description: Router und Switches SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 - ref_id: NET.3.1.A26.3 - description: Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie - der Institution eingehalten wird. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A27 - name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27 - ref_id: NET.3.1.A27.1 - description: Router und Switches SOLLTEN Funktionen enthalten und einsetzen, - mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 - ref_id: NET.3.1.A28 - name: Einsatz von zertifizierten Produkten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28 - ref_id: NET.3.1.A28.1 - description: Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung - nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL4. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.3.2 - name: Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A1 - name: Erstellung einer Sicherheitsrichtlinie - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.1 - description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution - MUSS eine spezifische Sicherheitsrichtlinie erstellt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.2 - description: "In dieser M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben\ - \ beschrieben sein, wie Firewalls sicher betrieben werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.3 - description: "Die Richtlinie MUSS allen im Bereich Firewalls zust\xE4ndigen\ - \ Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.4 - description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ - \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.5 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ - \ noch korrekt umgesetzt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 - ref_id: NET.3.2.A1.6 - description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A2 - name: Festlegen der Firewall-Regeln - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.1 - description: "Die gesamte Kommunikation zwischen den beteiligten Netzen MUSS\ - \ \xFCber die Firewall geleitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.2 - description: "Es MUSS sichergestellt sein, dass von au\xDFen keine unerlaubten\ - \ Verbindungen in das gesch\xFCtzte Netz aufgebaut werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.3 - description: "Ebenso D\xDCRFEN KEINE unerlaubten Verbindungen aus dem gesch\xFC\ - tzten Netz heraus aufgebaut werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.4 - description: "F\xFCr die Firewall M\xDCSSEN eindeutige Regeln definiert werden,\ - \ die festlegen, welche Kommunikationsverbindungen und Datenstr\xF6me zugelassen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.5 - description: "Alle anderen Verbindungen M\xDCSSEN durch die Firewall unterbunden\ - \ werden (Allowlist-Ansatz)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.6 - description: "Die Kommunikationsbeziehungen mit angeschlossenen Dienst-Servern,\ - \ die \xFCber die Firewall gef\xFChrt werden, M\xDCSSEN in den Regeln ber\xFC\ - cksichtigt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.7 - description: "Es M\xDCSSEN Zust\xE4ndige benannt werden, die Filterregeln entwerfen,\ - \ umsetzen und testen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.8 - description: "Zudem MUSS gekl\xE4rt werden, wer Filterregeln ver\xE4ndern darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 - ref_id: NET.3.2.A2.9 - description: "Die getroffenen Entscheidungen sowie die relevanten Informationen\ - \ und Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A3 - name: Einrichten geeigneter Filterregeln am Paketfilter - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - ref_id: NET.3.2.A3.1 - description: "Basierend auf den Firewall-Regeln aus NET.3.2.A2 Festlegen der\ - \ Firewall-Regeln M\xDCSSEN geeignete Filterregeln f\xFCr den Paketfilter\ - \ definiert und eingerichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - ref_id: NET.3.2.A3.2 - description: "Ein Paketfilter MUSS so eingestellt sein, dass er alle ung\xFC\ - ltigen TCP-Flag-Kombinationen verwirft." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - ref_id: NET.3.2.A3.3 - description: "Grunds\xE4tzlich MUSS immer zustandsbehaftet gefiltert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - ref_id: NET.3.2.A3.4 - description: "Auch f\xFCr die verbindungslosen Protokolle UDP und ICMP M\xDC\ - SSEN zustandsbehaftete Filterregeln konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 - ref_id: NET.3.2.A3.5 - description: Die Firewall MUSS die Protokolle ICMP und ICMPv6 restriktiv filtern. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A4 - name: Sichere Konfiguration der Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.1 - description: Bevor eine Firewall eingesetzt wird, MUSS sie sicher konfiguriert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.2 - description: "Alle Konfigurations\xE4nderungen M\xDCSSEN nachvollziehbar dokumentiert\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.3 - description: "Die Integrit\xE4t der Konfigurationsdateien MUSS geeignet gesch\xFC\ - tzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.4 - description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ - \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ - \ werden (siehe CON.1 Kryptokonzept)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.5 - description: "Eine Firewall MUSS so konfiguriert sein, dass ausschlie\xDFlich\ - \ zwingend erforderliche Dienste verf\xFCgbar sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.6 - description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ - \ der Institution weiterhin erf\xFCllt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.7 - description: "Auch MUSS begr\xFCndet und dokumentiert werden, warum solche Erweiterungen\ - \ eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.8 - description: "Nicht ben\xF6tigte (Auskunfts-)Dienste sowie nicht ben\xF6tigte\ - \ funktionale Erweiterungen M\xDCSSEN deaktiviert oder ganz deinstalliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 - ref_id: NET.3.2.A4.9 - description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ - \ M\xDCSSEN nach au\xDFen bestm\xF6glich verborgen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A6 - name: Schutz der Administrationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - ref_id: NET.3.2.A6.1 - description: "Alle Administrations- und Managementzug\xE4nge der Firewall M\xDC\ - SSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4nkt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - ref_id: NET.3.2.A6.2 - description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ - \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - ref_id: NET.3.2.A6.3 - description: "Um die Firewall zu administrieren bzw. zu \xFCberwachen, D\xDC\ - RFEN NUR sichere Protokolle eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - ref_id: NET.3.2.A6.4 - description: "Alternativ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz\ - \ (Out-of-Band-Management) verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 - ref_id: NET.3.2.A6.5 - description: "F\xFCr die Bedienschnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4\ - nkungen vorgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A7 - name: Notfallzugriff auf die Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7 - ref_id: NET.3.2.A7.1 - description: "Es MUSS immer m\xF6glich sein, direkt auf die Firewall zugreifen\ - \ zu k\xF6nnen, sodass sie im Notfall auch dann lokal administriert werden\ - \ kann, wenn das gesamte Netz ausf\xE4llt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A8 - name: Unterbindung von dynamischem Routing - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8 - ref_id: NET.3.2.A8.1 - description: In den Einstellungen der Firewall MUSS das dynamische Routing deaktiviert - sein, es sei denn, der Paketfilter wird entsprechend dem Baustein NET.3.1 - Router und Switches als Perimeter-Router eingesetzt. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A9 - name: Protokollierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.1 - description: 'Die Firewall MUSS so konfiguriert werden, dass sie mindestens - folgende sicherheitsrelevante Ereignisse protokolliert:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.2 - description: "\u2022 abgewiesene Netzverbindungen (Quell- und Ziel-IP-Adressen,\ - \ Quell- und Zielport oder ICMP/ICMPv6-Typ, Datum, Uhrzeit)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.3 - description: "\u2022 fehlgeschlagene Zugriffe auf System-Ressourcen aufgrund\ - \ fehlerhafter Authentisierungen, mangelnder Berechtigung oder nicht vorhandener\ - \ Ressourcen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.4 - description: "\u2022 Fehlermeldungen der Firewall-Dienste," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.5 - description: "\u2022 allgemeine Systemfehlermeldungen und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.6 - description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.7 - description: "Werden Sicherheitsproxies eingesetzt, M\xDCSSEN Sicherheitsverletzungen\ - \ und Verst\xF6\xDFe gegen Access-Control-Listen (ACLs oder auch kurz Access-Listen)\ - \ in geeigneter Weise protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.8 - description: "Hierbei M\xDCSSEN mindestens die Art der Protokollverletzung bzw.\ - \ des ACL-Versto\xDFes, Quell- und Ziel-IP-Adresse, Quell- und Zielport, Dienst,\ - \ Datum und Zeit sowie, falls erforderlich, die Verbindungsdauer protokolliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 - ref_id: NET.3.2.A9.9 - description: "Wenn sich Benutzende am Sicherheitsproxy authentisieren, M\xDC\ - SSEN auch Authentisierungsdaten oder ausschlie\xDFlich die Information \xFC\ - ber eine fehlgeschlagene Authentisierung protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A10 - name: Abwehr von Fragmentierungsangriffen am Paketfilter - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10 - ref_id: NET.3.2.A10.1 - description: "Am Paketfilter M\xDCSSEN Schutzmechanismen aktiviert sein, um\ - \ IPv4- sowie IPv6 Fragmentierungsangriffe abzuwehren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A14 - name: Betriebsdokumentationen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 - ref_id: NET.3.2.A14.1 - description: "Die betrieblichen Aufgaben einer Firewall M\xDCSSEN nachvollziehbar\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 - ref_id: NET.3.2.A14.2 - description: "Es M\xDCSSEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ - \ Aufgaben dokumentiert werden, insbesondere \xC4nderungen an den Systemdiensten\ - \ und dem Regelwerk der Firewall." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 - ref_id: NET.3.2.A14.3 - description: "Die Dokumentation MUSS vor unbefugten Zugriffen gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A15 - name: Beschaffung einer Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - ref_id: NET.3.2.A15.1 - description: "Bevor eine Firewall beschafft wird, MUSS eine Anforderungsliste\ - \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - ref_id: NET.3.2.A15.2 - description: Es MUSS darauf geachtet werden, dass das von der Institution angestrebte - Sicherheitsniveau mit der Firewall erreichbar ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - ref_id: NET.3.2.A15.3 - description: "Grundlage f\xFCr die Beschaffung M\xDCSSEN daher die Anforderungen\ - \ aus der Sicherheitsrichtlinie sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - ref_id: NET.3.2.A15.4 - description: "Wird IPv6 eingesetzt, MUSS der Paketfilter die IPv6-Erweiterungsheader\ - \ (Extension Header) \xFCberpr\xFCfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 - ref_id: NET.3.2.A15.5 - description: "Zudem MUSS sich IPv6 ad\xE4quat zu IPv4 konfigurieren lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A16 - name: "Aufbau einer \u201EP-A-P\u201C-Struktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - ref_id: NET.3.2.A16.1 - description: "Eine \u201EPaketfilter - Application-Level-Gateway - Paketfilter\u201C\ - -(P-A-P)-Struktur SOLLTE eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - ref_id: NET.3.2.A16.2 - description: "Sie MUSS aus mehreren Komponenten mit jeweils daf\xFCr geeigneter\ - \ Hard- und Software bestehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - ref_id: NET.3.2.A16.3 - description: "F\xFCr die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies\ - \ auf Anwendungsschicht vorhanden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - ref_id: NET.3.2.A16.4 - description: "F\xFCr andere Dienste SOLLTEN zumindest generische Sicherheitsproxies\ - \ f\xFCr TCP und UDP genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 - ref_id: NET.3.2.A16.5 - description: Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten - Laufzeitumgebung des Betriebssystems ablaufen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A17 - name: Deaktivierung von IPv4 oder IPv6 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 - ref_id: NET.3.2.A17.1 - description: "Wenn das IPv4- oder IPv6-Protokoll in einem Netzsegment nicht\ - \ ben\xF6tigt wird, SOLLTE es am jeweiligen Firewall-Netzzugangspunkt (z.\ - \ B. am entsprechenden Firewall-Interface) deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 - ref_id: NET.3.2.A17.2 - description: "Falls das IPv4- oder IPv6-Protokoll nicht ben\xF6tigt bzw. eingesetzt\ - \ wird, SOLLTE es auf der Firewall komplett deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A18 - name: "Administration \xFCber ein gesondertes Managementnetz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - ref_id: NET.3.2.A18.1 - description: "Firewalls SOLLTEN ausschlie\xDFlich \xFCber ein separates Managementnetz\ - \ (Out-of-Band-Management) administriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - ref_id: NET.3.2.A18.2 - description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ - \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - ref_id: NET.3.2.A18.3 - description: "Die Kommunikation im Managementnetz SOLLTE \xFCber Management-Firewalls\ - \ (siehe NET.1.1 Netz-Architektur und -design) auf wenige Managementprotokolle\ - \ mit genau festgelegten Urspr\xFCngen und Zielen beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - ref_id: NET.3.2.A18.4 - description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ - \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ - \ aktiviert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 - ref_id: NET.3.2.A18.5 - description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden - (siehe NET.1.2 Netzmanagement). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A19 - name: Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing - am Paketfilter - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 - ref_id: NET.3.2.A19.1 - description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus nicht vertrauensw\xFC\ - rdigen Netzen erreichbar sind, SOLLTE ein geeignetes Limit f\xFCr halboffene\ - \ und offene Verbindungen gesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 - ref_id: NET.3.2.A19.2 - description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus weniger\ - \ oder nicht vertrauensw\xFCrdigen Netzen erreichbar sind, SOLLTEN die sogenannten\ - \ Rate Limits f\xFCr UDP-Datenstr\xF6me gesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 - ref_id: NET.3.2.A19.3 - description: "Am \xE4u\xDFeren Paketfilter SOLLTE bei ausgehenden Verbindungen\ - \ f\xFCr TCP eine zuf\xE4llige Generierung von Initial Sequence Numbers (ISN)\ - \ aktiviert werden, sofern dieses nicht bereits durch Sicherheitsproxies realisiert\ - \ wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A20 - name: Absicherung von grundlegenden Internetprotokollen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20 - ref_id: NET.3.2.A20.1 - description: "Die Protokolle HTTP, SMTP und DNS inklusive ihrer verschl\xFC\ - sselten Versionen SOLLTEN \xFCber protokollspezifische Sicherheitsproxies\ - \ geleitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A21 - name: "Tempor\xE4re Entschl\xFCsselung des Datenverkehrs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.1 - description: "Verschl\xFCsselte Verbindungen in nicht vertrauensw\xFCrdige Netze\ - \ SOLLTEN tempor\xE4r entschl\xFCsselt werden, um das Protokoll zu verifizieren\ - \ und die Daten auf Schadsoftware zu pr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.2 - description: Hierbei SOLLTEN die rechtlichen Rahmenbedingungen beachtet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.3 - description: "Die Komponente, die den Datenverkehr tempor\xE4r entschl\xFCsselt,\ - \ SOLLTE unterbinden, dass veraltete Verschl\xFCsselungsoptionen und kryptografische\ - \ Algorithmen benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.4 - description: "Der eingesetzte TLS-Proxy SOLLTE pr\xFCfen k\xF6nnen, ob Zertifikate\ - \ vertrauensw\xFCrdig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.5 - description: "Ist ein Zertifikat nicht vertrauensw\xFCrdig, SOLLTE es m\xF6\ - glich sein, die Verbindung abzuweisen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.6 - description: "Eigene Zertifikate SOLLTEN nachr\xFCstbar sein, um auch \u201E\ - interne\u201C Root-Zertifikate konfigurieren und pr\xFCfen zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 - ref_id: NET.3.2.A21.7 - description: "Vorkonfigurierte Zertifikate SOLLTEN \xFCberpr\xFCft und entfernt\ - \ werden, wenn sie nicht ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A22 - name: Sichere Zeitsynchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 - ref_id: NET.3.2.A22.1 - description: Die Uhrzeit der Firewall SOLLTE mit einem Network-Time-Protocol - (NTP)-Server synchronisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 - ref_id: NET.3.2.A22.2 - description: Die Firewall SOLLTE keine externe Zeitsynchronisation zulassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A23 - name: "System\xFCberwachung und -Auswertung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - ref_id: NET.3.2.A23.1 - description: "Firewalls SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ - \ Monitoringkonzept eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - ref_id: NET.3.2.A23.2 - description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob die Firewall selbst\ - \ sowie die darauf betriebenen Dienste korrekt funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - ref_id: NET.3.2.A23.3 - description: "Bei Fehlern oder wenn Grenzwerte \xFCberschritten werden, SOLLTE\ - \ das Betriebspersonal alarmiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - ref_id: NET.3.2.A23.4 - description: "Zudem SOLLTEN automatische Alarmmeldungen generiert werden, die\ - \ bei festgelegten Ereignissen ausgel\xF6st werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 - ref_id: NET.3.2.A23.5 - description: "Protokolldaten oder Statusmeldungen SOLLTEN NUR \xFCber sichere\ - \ Kommunikationswege \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A24 - name: Revision und Penetrationstests - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 - ref_id: NET.3.2.A24.1 - description: "Die Firewall-Struktur SOLLTE regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ - \ hin \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 - ref_id: NET.3.2.A24.2 - description: "Es SOLLTEN regelm\xE4\xDFige Penetrationstests und Revisionen\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A25 - name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 - ref_id: NET.3.2.A25.1 - description: "Um eine abgest\xFCrzte Firewall wiederherzustellen, SOLLTE sichergestellt\ - \ werden, dass keine alten oder fehlerhaften Konfigurationen (unter anderem\ - \ Access-Listen) benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 - ref_id: NET.3.2.A25.2 - description: Dies SOLLTE auch gelten, wenn es bei einem Angriff gelingt, die - Firewall neu zu starten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A26 - name: Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26 - ref_id: NET.3.2.A26.1 - description: Funktionale Erweiterungen der Firewall SOLLTEN auf dedizierte Hard- - und Software ausgelagert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A27 - name: Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer - mehrstufigen Firewall-Architektur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27 - ref_id: NET.3.2.A27.1 - description: "In einer mehrstufigen Firewall-Architektur SOLLTEN unterschiedliche\ - \ Betriebssysteme und -Produkte f\xFCr die \xE4u\xDFeren und inneren Firewalls\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A28 - name: Zentrale Filterung von aktiven Inhalten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 - ref_id: NET.3.2.A28.1 - description: "Aktive Inhalte SOLLTEN gem\xE4\xDF den Sicherheitszielen der Institution\ - \ zentral gefiltert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 - ref_id: NET.3.2.A28.2 - description: "Daf\xFCr SOLLTE auch der verschl\xFCsselte Datenverkehr entschl\xFC\ - sselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 - ref_id: NET.3.2.A28.3 - description: "Die erforderlichen Sicherheitsproxies SOLLTEN es unterst\xFCtzen,\ - \ aktive Inhalte zu filtern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A29 - name: "Einsatz von Hochverf\xFCgbarkeitsl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.1 - description: "Paketfilter und Application-Level-Gateway SOLLTEN hochverf\xFC\ - gbar ausgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.2 - description: "Zudem SOLLTEN zwei voneinander unabh\xE4ngige Zugangsm\xF6glichkeiten\ - \ zum externen Netz bestehen, z. B. zwei Internetzug\xE4nge von unterschiedlichen\ - \ Providern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.3 - description: "Interne und externe Router sowie alle weiteren beteiligten aktiven\ - \ Komponenten (z. B. Switches) SOLLTEN ebenfalls hochverf\xFCgbar ausgelegt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.4 - description: "Auch nach einem automatischen Failover SOLLTE die Firewall-Struktur\ - \ die Anforderungen der Sicherheitsrichtlinie erf\xFCllen (Fail safe bzw.\ - \ Fail secure)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.5 - description: "Die Funktion SOLLTE anhand von zahlreichen Parametern \xFCberwacht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.6 - description: "Die Funktions\xFCberwachung SOLLTE sich nicht auf ein einzelnes\ - \ Kriterium st\xFCtzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 - ref_id: NET.3.2.A29.7 - description: "Protokolldateien und Warnmeldungen der Hochverf\xFCgbarkeitsl\xF6\ - sung SOLLTEN regelm\xE4\xDFig kontrolliert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A30 - name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30 - ref_id: NET.3.2.A30.1 - description: "Um Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste\ - \ zu gew\xE4hrleisten, SOLLTEN Paketfilter mit entsprechender Bandbreitenmanagementfunktion\ - \ an Netz\xFCberg\xE4ngen und am \xDCbergang zwischen verschiedenen Sicherheitszonen\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A31 - name: Einsatz von zertifizierten Produkten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31 - ref_id: NET.3.2.A31.1 - description: Firewalls mit einer Sicherheitsevaluierung nach Common Criteria - SOLLTEN eingesetzt werden, mindestens mit der Stufe EAL4. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 - ref_id: NET.3.2.A32 - name: "Notfallvorsorge f\xFCr die Firewall" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.1 - description: Diagnose und Fehlerbehebungen SOLLTEN bereits im Vorfeld geplant - und vorbereitet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.2 - description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ - \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.3 - description: "Die Notfallplanungen f\xFCr die Firewall SOLLTEN mit der \xFC\ - bergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.4 - description: Sie SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren - (siehe DER.4 Notfallmanagement). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.5 - description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge - und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 - ref_id: NET.3.2.A32.6 - description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ - \ regelm\xE4\xDFig geprobt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.3.3 - name: VPN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A1 - name: Planung des VPN-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 - ref_id: NET.3.3.A1.1 - description: "Die Einf\xFChrung eines VPN MUSS sorgf\xE4ltig geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 - ref_id: NET.3.3.A1.2 - description: "Dabei M\xDCSSEN die Verantwortlichkeiten f\xFCr den VPN-Betrieb\ - \ festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 - ref_id: NET.3.3.A1.3 - description: "Es M\xDCSSEN f\xFCr das VPN zudem Benutzendengruppen und deren\ - \ Berechtigungen geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 - ref_id: NET.3.3.A1.4 - description: "Ebenso MUSS definiert werden, wie erteilte, ge\xE4nderte oder\ - \ entzogene Zugriffsberechtigungen zu dokumentieren sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A2 - name: Auswahl von VPN-Dienstleistenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 - ref_id: NET.3.3.A2.1 - description: "Falls VPN-Dienstleistende eingesetzt werden, M\xDCSSEN mit diesen\ - \ Service Level Agreements (SLAs) ausgehandelt und schriftlich dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 - ref_id: NET.3.3.A2.2 - description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die VPN-Dienstleistenden\ - \ die vereinbarten SLAs einhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A3 - name: "Sichere Installation von VPN-Endger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 - ref_id: NET.3.3.A3.1 - description: "Wird eine Appliance eingesetzt, die eine Wartung ben\xF6tigt,\ - \ MUSS es daf\xFCr einen g\xFCltigen Wartungsvertrag geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 - ref_id: NET.3.3.A3.2 - description: Es MUSS sichergestellt werden, dass nur qualifiziertes Personal - VPN-Komponenten installiert. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 - ref_id: NET.3.3.A3.3 - description: Die Installation der VPN-Komponenten sowie eventuelle Abweichungen - von den Planungsvorgaben SOLLTEN dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 - ref_id: NET.3.3.A3.4 - description: "Die Funktionalit\xE4t und die gew\xE4hlten Sicherheitsmechanismen\ - \ des VPN M\xDCSSEN vor Inbetriebnahme gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A4 - name: Sichere Konfiguration eines VPN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 - ref_id: NET.3.3.A4.1 - description: "F\xFCr alle VPN-Komponenten MUSS eine sichere Konfiguration festgelegt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 - ref_id: NET.3.3.A4.2 - description: Diese SOLLTE geeignet dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 - ref_id: NET.3.3.A4.3 - description: "Auch MUSS die f\xFCr die Administration zust\xE4ndige Person regelm\xE4\ - \xDFig kontrollieren, ob die Konfiguration noch sicher ist und sie eventuell\ - \ f\xFCr alle IT-Systeme anpassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A5 - name: "Sperrung nicht mehr ben\xF6tigter VPN-Zug\xE4nge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 - ref_id: NET.3.3.A5.1 - description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob ausschlie\xDFlich\ - \ berechtigte IT-Systeme und Benutzende auf das VPN zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 - ref_id: NET.3.3.A5.2 - description: "Nicht mehr ben\xF6tigte VPN-Zug\xE4nge M\xDCSSEN zeitnah deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 - ref_id: NET.3.3.A5.3 - description: "Der VPN-Zugriff MUSS auf die ben\xF6tigten Benutzungszeiten beschr\xE4\ - nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A6 - name: "Durchf\xFChrung einer VPN-Anforderungsanalyse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.1 - description: "Eine Anforderungsanalyse SOLLTE durchgef\xFChrt werden, um f\xFC\ - r das jeweilige VPN die Einsatzszenarien zu bestimmen und daraus Anforderungen\ - \ an die ben\xF6tigten Hard- und Software-Komponenten ableiten zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.2 - description: 'In der Anforderungsanalyse SOLLTEN folgende Punkte betrachtet - werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.3 - description: "\u2022 Gesch\xE4ftsprozesse beziehungsweise Fachaufgaben," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.4 - description: "\u2022 Zugriffswege," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.5 - description: "\u2022 Identifikations- und Authentisierungsverfahren," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.6 - description: "\u2022 Benutzende und ihre Berechtigungen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.7 - description: "\u2022 Zust\xE4ndigkeiten sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 - ref_id: NET.3.3.A6.8 - description: "\u2022 Meldewege." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A7 - name: Planung der technischen VPN-Realisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 - ref_id: NET.3.3.A7.1 - description: "Neben der allgemeinen Planung (siehe NET.3.3.A1 Planung des VPN-Einsatzes)\ - \ SOLLTEN die technischen Aspekte eines VPN sorgf\xE4ltig geplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 - ref_id: NET.3.3.A7.2 - description: "So SOLLTEN f\xFCr das VPN die Verschl\xFCsselungsverfahren, VPN-Endpunkte,\ - \ erlaubten Zugangsprotokolle, Dienste und Ressourcen festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 - ref_id: NET.3.3.A7.3 - description: "Zudem SOLLTEN die Teilnetze definiert werden, die \xFCber das\ - \ VPN erreichbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 - ref_id: NET.3.3.A7.4 - description: (siehe NET.1.1 Netzarchitektur und -design). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A8 - name: Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - ref_id: NET.3.3.A8.1 - description: Eine Sicherheitsrichtlinie zur VPN-Nutzung SOLLTE erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - ref_id: NET.3.3.A8.2 - description: Diese SOLLTE allen Mitarbeitenden bekannt gegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - ref_id: NET.3.3.A8.3 - description: "Die in der Sicherheitsrichtlinie beschriebenen Sicherheitsma\xDF\ - nahmen SOLLTEN im Rahmen von Schulungen erl\xE4utert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - ref_id: NET.3.3.A8.4 - description: "Wird f\xFCr Mitarbeitende ein VPN-Zugang eingerichtet, SOLLTE\ - \ diesen ein Merkblatt mit den wichtigsten VPN-Sicherheitsmechanismen ausgeh\xE4\ - ndigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 - ref_id: NET.3.3.A8.5 - description: Alle VPN-Benutzende SOLLTEN verpflichtet werden, die Sicherheitsrichtlinien - einzuhalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A9 - name: Geeignete Auswahl von VPN-Produkten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9 - ref_id: NET.3.3.A9.1 - description: "Bei der Auswahl von VPN-Produkten SOLLTEN die Anforderungen der\ - \ Institutionen an die Vernetzung unterschiedlicher Standorte und die Anbindung\ - \ von mobilen Mitarbeitenden oder Telearbeitspl\xE4tzen ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A10 - name: Sicherer Betrieb eines VPN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 - ref_id: NET.3.3.A10.1 - description: "F\xFCr VPNs SOLLTE ein Betriebskonzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 - ref_id: NET.3.3.A10.2 - description: "Darin SOLLTEN die Aspekte Qualit\xE4tsmanagement, \xDCberwachung,\ - \ Wartung, Schulung und Autorisierung beachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A11 - name: Sichere Anbindung eines externen Netzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 - ref_id: NET.3.3.A11.1 - description: "Es SOLLTE sichergestellt werden, dass VPN-Verbindungen NUR zwischen\ - \ den daf\xFCr vorgesehenen IT-Systemen und Diensten aufgebaut werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 - ref_id: NET.3.3.A11.2 - description: "Die dabei eingesetzten Tunnel-Protokolle SOLLTEN f\xFCr den Einsatz\ - \ geeignet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A12 - name: Konten- und Zugriffsverwaltung bei Fernzugriff-VPNs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12 - ref_id: NET.3.3.A12.1 - description: "F\xFCr Fernzugriff-VPNs SOLLTE eine zentrale und konsistente Konten-\ - \ und Zugriffsverwaltung gew\xE4hrleistet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 - ref_id: NET.3.3.A13 - name: Integration von VPN-Komponenten in eine Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 - ref_id: NET.3.3.A13.1 - description: Die VPN-Komponenten SOLLTEN in die Firewall integriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 - ref_id: NET.3.3.A13.2 - description: Dies SOLLTE dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.3.4 - name: 'Network Access Control ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A1 - name: "Begr\xFCndete Entscheidung f\xFCr den Einsatz von NAC" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.1 - description: "Die Institution MUSS grunds\xE4tzlich entscheiden, ob und in welchem\ - \ Umfang NAC eingesetzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.2 - description: "Die getroffene Entscheidung MUSS zusammen mit einer Begr\xFCndung\ - \ an geeigneter Stelle dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.3 - description: "Wird NAC eingesetzt, M\xDCSSEN folgende Punkte geeignet thematisiert\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.4 - description: "\u2022 Netzbereiche und Netzkomponenten, f\xFCr die NAC realisiert\ - \ werden soll" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.5 - description: "\u2022 Umgang mit internen Endger\xE4ten und Fremdendger\xE4ten" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 - ref_id: NET.3.4.A1.6 - description: "\u2022 Ber\xFCcksichtigung von NAC bei der Beschaffung von neuen\ - \ IT-Systemen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A2 - name: Planung des Einsatzes von NAC - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.1 - description: Der Einsatz von NAC SOLLTE umfassend und detailliert geplant werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.2 - description: 'Die Planung SOLLTE dabei mindestens folgende Aspekte beinhalten:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.3 - description: "\u2022 Erstellung von Anforderungskatalogen f\xFCr Endger\xE4\ - te, Access-Switches und RADIUS-Server" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.4 - description: "\u2022 Pr\xFCfung und gegebenenfalls Erg\xE4nzung des IT-Asset-Managements" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.5 - description: "\u2022 Erstellung eines spezifischen NAC-Konzepts" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.6 - description: "\u2022 Festlegung von Beschaffungs-, Betriebs-, und Incident-Prozessen\ - \ f\xFCr NAC-Komponenten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.7 - description: "\u2022 Migrationsplanung" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.8 - description: "\u2022 Monitoring und Logging der NAC-L\xF6sung" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.9 - description: "\u2022 Anbindung an sicherheitsrelevante Komponenten (z. B. Firewalls,\ - \ Virenschutz, Schwachstellen-Scanner, System zur zentralen Detektion und\ - \ automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen)" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 - ref_id: NET.3.4.A2.10 - description: "\u2022 Zusatzfunktionen wie Profiling, Endger\xE4tekonformit\xE4\ - tspr\xFCfung und Integrit\xE4tspr\xFCfung sowie Verschl\xFCsselung auf Layer\ - \ 2 mit MACsec" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A3 - name: "Erstellung eines Anforderungskatalogs f\xFCr NAC" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.1 - description: "Die Anforderungen an die NAC-L\xF6sung SOLLTEN in einem Anforderungskatalog\ - \ erhoben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.2 - description: "Der Anforderungskatalog SOLLTE dabei die grundlegenden funktionalen\ - \ Anforderungen umfassen und alle NAC-Komponenten (z. B. Endger\xE4te, Access-Switches\ - \ und RADIUS-Server) adressieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.3 - description: "Der Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen,\ - \ den zust\xE4ndigen Gremien und den Richtlinien der Institution abgestimmt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.4 - description: "Der Anforderungskatalog SOLLTE regelm\xE4\xDFig und bei Bedarf\ - \ aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.5 - description: "Wenn NAC-Komponenten beschafft werden, SOLLTEN zugeh\xF6rige Anforderungen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 - ref_id: NET.3.4.A3.6 - description: "Die NAC-L\xF6sung SOLLTE auf Basis des Anforderungskatalogs getestet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A4 - name: Erstellung eines NAC-Konzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.1 - description: "Ausgehend von der Entscheidung aus NET.3.4.A1 Begr\xFCndete Entscheidung\ - \ f\xFCr den Einsatz von NAC und den Anforderungen an die NAC-L\xF6sung SOLLTE\ - \ ein NAC-Konzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.2 - description: "Das NAC-Konzept SOLLTE mit dem Segmentierungskonzept gem\xE4\xDF\ - \ NET.1.1 Netzarchitektur und -design abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.3 - description: "Dar\xFCber hinaus SOLLTEN im NAC-Konzept mindestens folgende Aspekte\ - \ festgelegt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.4 - description: "\u2022 Netzbereiche, in denen NAC eingef\xFChrt wird" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.5 - description: "\u2022 Authentisierung und Autorisierung" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.6 - description: "\u2022 Nutzung von Zusatzfunktionen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.7 - description: "\u2022 Konfigurationsvorgaben f\xFCr betroffene Endger\xE4tetypen,\ - \ Access-Switches und WLAN Access Points sowie WLAN Controller" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.8 - description: "\u2022 Aufbau der RADIUS-Infrastruktur und das grundlegende Regelwerk\ - \ f\xFCr NAC" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.9 - description: "\u2022 Anbindung an externe Sicherheitskomponenten wie Firewalls\ - \ oder Virenschutz" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.10 - description: "\u2022 Anbindung an Verzeichnisdienste Das NAC-Konzept SOLLTE\ - \ alle technischen und organisatorischen Vorgaben beschreiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.11 - description: Insbesondere SOLLTEN alle relevanten Prozesse und die Migration - thematisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 - ref_id: NET.3.4.A4.12 - description: "Das NAC-Konzept SOLLTE regelm\xE4\xDFig gepr\xFCft und bei Bedarf\ - \ aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A5 - name: "Anpassung von Prozessen f\xFCr Endger\xE4te bez\xFCglich NAC" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 - ref_id: NET.3.4.A5.1 - description: "F\xFCr die Endger\xE4te, die in die NAC-L\xF6sung eingebunden\ - \ werden, SOLLTE NAC in allen relevanten Prozessen angemessen ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 - ref_id: NET.3.4.A5.2 - description: "Insbesondere SOLLTEN die Prozesse zu Inbetriebnahme, Austausch,\ - \ \xC4nderungen und St\xF6rungen angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 - ref_id: NET.3.4.A5.3 - description: "F\xFCr Supplicant-Software, Konfiguration und Identit\xE4tsmerkmale\ - \ (z. B. Zertifikate), die f\xFCr NAC auf den Endger\xE4ten erforderlich sind,\ - \ SOLLTE ein Prozess festgelegt werden, um die Endger\xE4te zentral zu verwalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A6 - name: "Festlegung von Notfallprozessen f\xFCr NAC" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.1 - description: "Wird die Wirkkette bei NAC gest\xF6rt, SOLLTE erwogen werden,\ - \ die Sicherheitsmechanismen von NAC tempor\xE4r in angemessenem Umfang zu\ - \ deaktivieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.2 - description: "Bei den Notfallma\xDFnahmen, die im Notfallprozess festgelegt\ - \ werden, SOLLTEN Produktivit\xE4t und Informationssicherheit gegeneinander\ - \ abgewogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.3 - description: "Dabei SOLLTEN die folgenden Optionen von Notfallma\xDFnahmen (RADIUS-down-Policies)\ - \ betrachtet werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.4 - description: "\u2022 Die bestehenden Verbindungen werden durch Mechanismen wie\ - \ tempor\xE4re Aussetzung der Reauthentisierung beibehalten, jedoch werden\ - \ alle neuen Anmeldeversuche abgelehnt, so dass das vorgesehene Sicherheitsniveau\ - \ erhalten bleibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.5 - description: "\u2022 Die dynamische Zuordnung wird f\xFCr neue Anmeldeversuche\ - \ ausgesetzt und stattdessen eine feste, vordefinierte Zuweisung von Netzsegmenten\ - \ durch Access-Switches vorgenommen, so dass zumindest grundlegend kommuniziert\ - \ werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.6 - description: "\u2022 NAC wird auf den Access-Switches oder auf einzelnen Ports\ - \ eines Access-Switches deaktiviert, so dass weiterhin uneingeschr\xE4nkt\ - \ kommuniziert werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 - ref_id: NET.3.4.A6.7 - description: RADIUS-down-Policies SOLLTEN mit den relevanten Sicherheitsrichtlinien - der Institution abgestimmt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A7 - name: Nutzung sicherer Authentisierungsverfahren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 - ref_id: NET.3.4.A7.1 - description: "Endger\xE4te SOLLTEN sichere Authentisierungsverfahren nach dem\ - \ Stand der Technik verwenden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 - ref_id: NET.3.4.A7.2 - description: "Endger\xE4te SOLLTEN automatisiert auf Basis von Zertifikaten\ - \ oder Zugangskonten authentisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 - ref_id: NET.3.4.A7.3 - description: "Unsichere Authentisierungsverfahren SOLLTEN nur in begr\xFCndeten\ - \ Ausnahmef\xE4llen genutzt und die Entscheidung dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A8 - name: "Festlegung der NAC-spezifischen Rollen und Berechtigungen f\xFCr den\ - \ RADIUS-Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.1 - description: "Im Rollen- und Berechtigungskonzept f\xFCr den RADIUS-Server SOLLTEN\ - \ die verschiedenen Gruppen ber\xFCcksichtigt werden, die wegen NAC auf einen\ - \ RADIUS-Server zugreifen m\xFCssen, um diesen zu administrieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.2 - description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ - \ ein zentraler RADIUS-Server f\xFCr die gesamte Institution bereitgestellt\ - \ wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.3 - description: "Mindestens SOLLTEN die folgenden Gruppen mit NAC-spezifischem\ - \ Zugriff auf den RADIUS-Server zus\xE4tzlich zum allgemeinen IT-Betrieb ber\xFC\ - cksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.4 - description: "\u2022 die jeweiligen Organisationseinheiten, die Access-Switches\ - \ (RADIUS-Clients) f\xFCr ihren Netzbereich administrieren" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.5 - description: "\u2022 die jeweiligen Zust\xE4ndigen f\xFCr Endger\xE4tegruppen,\ - \ die Identit\xE4ten (z. B. MAC-Adressen) ihrer entsprechenden Gruppen verwalten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 - ref_id: NET.3.4.A8.6 - description: "\u2022 der First-Level-Support, der fehlerhafte RADIUS-Freigaben\ - \ analysiert und gegebenenfalls die entsprechenden Freischaltungen anpasst" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A9 - name: Festlegung eines angepassten NAC-Regelwerkes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 - ref_id: NET.3.4.A9.1 - description: "F\xFCr die NAC-L\xF6sung SOLLTE ein NAC-Regelwerk definiert werden,\ - \ das das NAC-Konzept umsetzt und festlegt, wie die Endger\xE4te auf das Netz\ - \ zugreifen d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 - ref_id: NET.3.4.A9.2 - description: "Hierin SOLLTE f\xFCr jedes Endger\xE4t bzw. f\xFCr jede Endger\xE4\ - tegruppe festgelegt werden, ob uneingeschr\xE4nkt auf das Netz zugegriffen\ - \ werden darf, ob der Zugriff verweigert wird oder ob nur Segmente mit eingeschr\xE4\ - nkten Kommunikationsm\xF6glichkeiten erreichbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 - ref_id: NET.3.4.A9.3 - description: Im NAC-Regelwerk SOLLTE auch festgelegt werden, auf welcher Basis - die Zugangskontrolle erfolgt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 - ref_id: NET.3.4.A9.4 - description: "Hierf\xFCr SOLLTEN f\xFCr alle Endger\xE4te die genutzten Authentisierungsmethoden\ - \ und die Bedingungen f\xFCr eine erfolgreiche Authentisierung festgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A10 - name: "Sichere Nutzung von Identit\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 - ref_id: NET.3.4.A10.1 - description: "F\xFCr die NAC-Authentisierung SOLLTEN individuelle Identit\xE4\ - ten genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 - ref_id: NET.3.4.A10.2 - description: "Identit\xE4ten, die von mehr als einem Endger\xE4t verwendet werden,\ - \ SOLLTEN nur in begr\xFCndeten Ausnahmef\xE4llen genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 - ref_id: NET.3.4.A10.3 - description: "Alle Informationen, die f\xFCr eine erfolgreiche Authentisierung\ - \ ben\xF6tigt werden, SOLLTEN nach aktuellem Stand der Technik vor unberechtigtem\ - \ Zugriff abgesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A11 - name: "Sichere Konfiguration der NAC-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.1 - description: "Alle Komponenten der NAC-L\xF6sung SOLLTEN sicher nach dem Stand\ - \ der Technik konfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.2 - description: "Hierf\xFCr SOLLTEN entsprechende Standard-Konfigurationen und\ - \ Betriebshandb\xFCcher entwickelt und bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.3 - description: "Die vorgegebenen und umgesetzten Konfigurationen f\xFCr die Komponenten\ - \ der NAC-L\xF6sung SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und gegebenenfalls\ - \ angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.4 - description: "Auf Endger\xE4ten SOLLTEN die Berechtigungen f\xFCr die Benutzenden\ - \ derart eingeschr\xE4nkt werden, dass diese die Konfigurationsparameter f\xFC\ - r den Supplicant nicht manipulieren, den Supplicant nicht deaktivieren und\ - \ die Schl\xFCssel oder Passw\xF6rter f\xFCr NAC nicht auslesen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.5 - description: "F\xFCr Access-Switches oder f\xFCr einzelne Ports von Access-Switches\ - \ SOLLTE die NAC-Authentisierung nur in begr\xFCndeten und zuvor festgelegten\ - \ Ausnahmef\xE4llen deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 - ref_id: NET.3.4.A11.6 - description: "Hierf\xFCr SOLLTEN technische Ma\xDFnahmen genutzt werden, die\ - \ gegebenenfalls durch organisatorische Ma\xDFnahmen erg\xE4nzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A12 - name: "Monitoring der NAC-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.1 - description: "Die zentralen RADIUS-Server und alle Access-Switches mit Authenticator\ - \ sowie alle weiteren zentralen Dienste, die f\xFCr die NAC-L\xF6sung essentiell\ - \ sind, SOLLTEN in ein m\xF6glichst umfassendes und einheitliches Monitoring\ - \ eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.2 - description: "Erg\xE4nzend zum allgemeinen Monitoring gem\xE4\xDF OPS.1.1.1\ - \ Allgemeiner IT-Betrieb SOLLTEN alle NAC-spezifischen Parameter \xFCberwacht\ - \ werden, die die Funktionalit\xE4t der NAC-L\xF6sung oder der entsprechenden\ - \ Dienste sicherstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.3 - description: "Insbesondere SOLLTE die Verf\xFCgbarkeit des RADIUS-Protokolls\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.4 - description: "Hierf\xFCr SOLLTEN RADIUS-Anfragen an aktive Konten erzeugt werden,\ - \ um die gesamte NAC-Wirkkette inklusive der externen Verzeichnisdienste zu\ - \ pr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.5 - description: "F\xFCr die Access-Switches SOLLTE der Status von NAC in das Monitoring\ - \ einbezogen werden, um ein Deaktivieren von NAC zu erkennen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 - ref_id: NET.3.4.A12.6 - description: "Abweichungen von definierten Zust\xE4nden und Grenzwerten SOLLTEN\ - \ dem IT-Betrieb gemeldet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A13 - name: "Erstellung von Validierungsvorgaben f\xFCr die NAC-Konfiguration" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 - ref_id: NET.3.4.A13.1 - description: "F\xFCr die NAC-L\xF6sung SOLLTEN Validierungsvorgaben erstellt\ - \ werden, um sicherzustellen, dass die NAC-Komponenten das NAC-Konzept angemessen\ - \ umsetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 - ref_id: NET.3.4.A13.2 - description: "Die Validierungsvorgaben SOLLTEN insbesondere die unterschiedlichen\ - \ Funktionsdetails f\xFCr die verschiedenen NAC-Komponenten ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 - ref_id: NET.3.4.A13.3 - description: "Die Validierung SOLLTE als Soll-Ist-Vergleich regelm\xE4\xDFig\ - \ sowie bei Bedarf f\xFCr die zentralen NAC-Komponenten und die Access-Switches\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A14 - name: "Umsetzung weiterer Ma\xDFnahmen bei Verwendung von MAC-Adress-Authentisierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 - ref_id: NET.3.4.A14.1 - description: "Endger\xE4te, die nicht \xFCber eine sichere EAP-Methode authentisiert\ - \ werden k\xF6nnen und anhand ihrer MAC-Adresse identifiziert werden, SOLLTEN\ - \ NICHT als vertrauensw\xFCrdige Endger\xE4te eingestuft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 - ref_id: NET.3.4.A14.2 - description: "Der Netzzugang SOLLTE auf das notwendige Minimum beschr\xE4nkt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 - ref_id: NET.3.4.A14.3 - description: "Hierf\xFCr SOLLTEN weitere Ma\xDFnahmen wie Nutzung von Kommunikationsbeschr\xE4\ - nkungen oder nachgelagertes Endger\xE4te-Profiling der Endger\xE4te-Aktivit\xE4\ - ten umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A15 - name: "Anbindung Virenschutz an NAC-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 - ref_id: NET.3.4.A15.1 - description: "Jedes Endger\xE4t SOLLTE auf Schadsoftware gepr\xFCft werden,\ - \ bevor es an das Netz der Institution angebunden wird und bevor es auf IT-Systeme\ - \ der Institution zugreift." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 - ref_id: NET.3.4.A15.2 - description: "Hierf\xFCr SOLLTE f\xFCr die NAC-Endger\xE4te ein geeigneter Virenschutz\ - \ mit der NAC-Authentisierung und Autorisierung gekoppelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 - ref_id: NET.3.4.A15.3 - description: "Falls das Virenschutzprogramm Schadsoftware meldet, SOLLTE die\ - \ NAC-L\xF6sung mit geeigneten Ma\xDFnahmen reagieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A16 - name: Protokollierung der Ereignisse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - ref_id: NET.3.4.A16.1 - description: "Erg\xE4nzend zu OPS.1.1.5 Protokollierung SOLLTEN Status\xE4nderungen\ - \ an NAC-Komponenten sowie alle relevanten NAC-spezifischen, gegebenenfalls\ - \ sicherheitskritischen Ereignisse protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - ref_id: NET.3.4.A16.2 - description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ - \ auf die zentralen NAC-Komponenten protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - ref_id: NET.3.4.A16.3 - description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten mit\ - \ welchen Details erfasst und welche Daten auf einer zentralen Protokollierungsinstanz\ - \ zusammengef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - ref_id: NET.3.4.A16.4 - description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ - \ \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 - ref_id: NET.3.4.A16.5 - description: "Sicherheitskritische Ereignisse wie RADIUS-down oder eine ungew\xF6\ - hnliche Anzahl von RADIUS-Anfragen SOLLTEN zu einem automatischen Alarm f\xFC\ - hren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A17 - name: Positionierung des RADIUS-Servers im Management-Bereich - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - ref_id: NET.3.4.A17.1 - description: "Der RADIUS-Server SOLLTE in einem gesch\xFCtzten Netzsegment innerhalb\ - \ des Management-Bereichs (siehe NET.1.1 Netzarchitektur und -design) positioniert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - ref_id: NET.3.4.A17.2 - description: "Kommunikationsanfragen an den RADIUS-Server SOLLTEN nur von vertrauensw\xFC\ - rdigen Quellen zugelassen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - ref_id: NET.3.4.A17.3 - description: "Diese SOLLTEN auf ein Minimum eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - ref_id: NET.3.4.A17.4 - description: "Der RADIUS-Server SOLLTE NICHT direkt mit Endger\xE4ten kommunizieren,\ - \ sondern ausschlie\xDFlich \xFCber den Authenticator auf den Access-Switches." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 - ref_id: NET.3.4.A17.5 - description: Anfragen der Access-Switches SOLLTEN nur aus dem gemeinsamen Management-Netzsegment - akzeptiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A18 - name: "Dokumentation der NAC-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.1 - description: "Die NAC-L\xF6sung mit allen NAC-Komponenten SOLLTE geeignet dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.2 - description: "Aus der Dokumentation SOLLTE mindestens hervorgehen, auf welchen\ - \ Komponenten und Endger\xE4ten NAC mit welchen Parametern genutzt wird und\ - \ welche Abh\xE4ngigkeiten zwischen den Komponenten existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.3 - description: "Auch SOLLTE das Regelwerk f\xFCr Authentisierung und Autorisierung,\ - \ das in Software-Code vorliegt, erg\xE4nzend in vereinfachter, verst\xE4\ - ndlicher Form dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.4 - description: "Dar\xFCber hinaus SOLLTE die Konfiguration aller NAC-Komponenten,\ - \ gegebenenfalls kategorisiert, umfassend dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.5 - description: "Die Dokumentation SOLLTE bei jeder \xC4nderung fortgeschrieben\ - \ und stets aktuell gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 - ref_id: NET.3.4.A18.6 - description: "Die Aktualit\xE4t der Dokumentation SOLLTE regelm\xE4\xDFig und\ - \ bei Bedarf gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A19 - name: "Ordnungsgem\xE4\xDFe Verwaltung von Identit\xE4ten zur Authentisierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - ref_id: NET.3.4.A19.1 - description: "Alle Identit\xE4ten, die via NAC einen Zugang zum Netz der Institution\ - \ erm\xF6glichen, SOLLTEN geeignet gesch\xFCtzt und verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - ref_id: NET.3.4.A19.2 - description: 'Hierzu SOLLTEN mindestens die folgenden Punkte festgelegt werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - ref_id: NET.3.4.A19.3 - description: "\u2022 Handhabung und Schutz von Zertifikaten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - ref_id: NET.3.4.A19.4 - description: "\u2022 Pr\xFCfen, Sperren und L\xF6schen von nicht mehr genutzten\ - \ Identit\xE4ten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 - ref_id: NET.3.4.A19.5 - description: "\u2022 Prozess und Schnittstellen zur Sperrung einer Identit\xE4\ - t" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A20 - name: Einsatz von MACsec - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - ref_id: NET.3.4.A20.1 - description: "F\xFCr jedes Datenpaket SOLLTE die Datenintegrit\xE4t gew\xE4\ - hrleistet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - ref_id: NET.3.4.A20.2 - description: "Dar\xFCber hinaus SOLLTE erwogen werden, diese Daten zu verschl\xFC\ - sseln." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - ref_id: NET.3.4.A20.3 - description: "Hierf\xFCr SOLLTE MACsec gem\xE4\xDF IEEE 802.1AE genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - ref_id: NET.3.4.A20.4 - description: "Access-Switches und Endger\xE4te, die MACsec nicht unterst\xFC\ - tzen oder f\xFCr die MACsec nicht eingerichtet werden soll, SOLLTEN erfasst\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 - ref_id: NET.3.4.A20.5 - description: "F\xFCr diese SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob\ - \ die Ausschlussgr\xFCnde noch gelten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A21 - name: "Einsatz von Endger\xE4tekonformit\xE4tspr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - ref_id: NET.3.4.A21.1 - description: "Bevor ein Endger\xE4t an das Netz der Institution angebunden wird\ - \ und bevor es auf IT-Systeme der Institution zugreift, SOLLTE gepr\xFCft\ - \ werden, ob es den Konformit\xE4tsvorgaben der Institution gen\xFCgt (Compliance\ - \ Check)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - ref_id: NET.3.4.A21.2 - description: "F\xFCr jedes Endger\xE4t SOLLTE festgelegt werden, welche Vorgaben\ - \ das Endger\xE4t einzuhalten hat." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - ref_id: NET.3.4.A21.3 - description: "Endger\xE4te, die nicht den Konformit\xE4tsvorgaben der Institution\ - \ gen\xFCgen, SOLLTEN nur stark eingeschr\xE4nkt auf das Netz der Institution\ - \ zugreifen d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - ref_id: NET.3.4.A21.4 - description: "Die NAC-L\xF6sung SOLLTE mit einem Werkzeug zur Konformit\xE4\ - tspr\xFCfung verbunden werden, das eine Bewertung des Zustands der Endger\xE4\ - te vornimmt und an die NAC-L\xF6sung meldet." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 - ref_id: NET.3.4.A21.5 - description: "Auf dieser Basis SOLLTE die NAC-L\xF6sung steuern, wie die Endger\xE4\ - te auf das Netz zugreifen d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A22 - name: NAC-Autorisierung mit Mikrosegmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 - ref_id: NET.3.4.A22.1 - description: "Endger\xE4te mit \xE4hnlichem Anforderungsprofil und identischem\ - \ Schutzbedarf SOLLTEN via NAC getrennten Netzsegmenten zugewiesen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 - ref_id: NET.3.4.A22.2 - description: "Dar\xFCber hinaus SOLLTE erwogen werden, ob mit NAC eine Mikrosegmentierung\ - \ der zu autorisierenden Endger\xE4te umgesetzt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A23 - name: "Einsatz von autarken RADIUS-Servern f\xFCr unterschiedliche Netzbereiche\ - \ und Funktionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - ref_id: NET.3.4.A23.1 - description: "F\xFCr NAC SOLLTEN dedizierte und autarke RADIUS-Server eingesetzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - ref_id: NET.3.4.A23.2 - description: Weitere Funktionen wie VPN-Zugriffsregelung SOLLTEN NICHT gemeinsam - mit NAC-Funktionen auf einem gemeinsamen RADIUS-Server realisiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - ref_id: NET.3.4.A23.3 - description: "Zus\xE4tzlich SOLLTE erwogen werden, dedizierte und autarke RADIUS-Server\ - \ f\xFCr unterschiedliche Netze bereitzustellen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - ref_id: NET.3.4.A23.4 - description: "Hier SOLLTEN insbesondere getrennte RADIUS-Server erwogen werden,\ - \ um Office- und Produktions-Endger\xE4te oder LAN- und WLAN-Endger\xE4te\ - \ getrennt abzusichern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 - ref_id: NET.3.4.A23.5 - description: "Dar\xFCber hinaus SOLLTE erwogen werden, f\xFCr einzelne Netz-\ - \ oder Funktionsbereiche eigenst\xE4ndige RADIUS-Server einzurichten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A24 - name: Nutzung sicherer Protokolle zwischen NAC-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 - ref_id: NET.3.4.A24.1 - description: "F\xFCr die Kommunikation zwischen den zentralen NAC-Komponenten\ - \ SOLLTEN grunds\xE4tzlich Protokolle verwendet werden, die nach dem Stand\ - \ der Technik als sicher gelten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 - ref_id: NET.3.4.A24.2 - description: "F\xFCr die Kommunikation zwischen dem RADIUS-Server und einem\ - \ gegebenenfalls genutzten Verzeichnisdienst SOLLTEN nur sichere Protokolle\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 - ref_id: NET.3.4.A24.3 - description: "Dar\xFCber hinaus SOLLTE auch gepr\xFCft werden, ob f\xFCr die\ - \ Kommunikation zwischen dem RADIUS-Server und Access-Switches sichere Protokolle\ - \ eingesetzt werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A25 - name: "Einbindung der NAC-L\xF6sung in ein Sicherheitsmonitoring" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 - ref_id: NET.3.4.A25.1 - description: "Die NAC-L\xF6sung SOLLTE in ein Sicherheitsmonitoring eingebunden\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 - ref_id: NET.3.4.A25.2 - description: "Dies SOLLTE zumindest f\xFCr die zentralen NAC-Komponenten und\ - \ f\xFCr die weiteren zentralen Dienste, die von der NAC-L\xF6sung genutzt\ - \ werden, umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 - ref_id: NET.3.4.A25.3 - description: "NAC-spezifische Sicherheitsereignisse (z. B. h\xE4ufige Zur\xFC\ - ckweisung von Anfragen oder die Mehrfachverwendung von Identit\xE4ten) SOLLTEN\ - \ in eine Alarmierung \xFCbernommen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 - ref_id: NET.3.4.A25.4 - description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ - \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ - \ SOLLTEN die zentralen NAC-Komponenten sowie gegebenenfalls die weiteren\ - \ zentralen Dienste hierin eingebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A26 - name: "Hochverf\xFCgbarkeit der zentralen NAC-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - ref_id: NET.3.4.A26.1 - description: Die zentralen NAC-Komponenten SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - ref_id: NET.3.4.A26.2 - description: "Alle weiteren zentralen Dienste, die f\xFCr die Funktionsf\xE4\ - higkeit der NAC-L\xF6sung essentiell sind, SOLLTEN auch hochverf\xFCgbar ausgelegt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - ref_id: NET.3.4.A26.3 - description: "Die f\xFCr die Hochverf\xFCgbarkeit relevanten Parameter SOLLTEN\ - \ in Monitoring und Protokollierung integriert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - ref_id: NET.3.4.A26.4 - description: "Status\xE4nderungen und Warnmeldungen SOLLTEN regelm\xE4\xDFig\ - \ kontrolliert und gegebenenfalls in eine Alarmierung einbezogen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 - ref_id: NET.3.4.A26.5 - description: "Die RADIUS-down-Policies, mit denen eine Kommunikation auch bei\ - \ ausgefallenem RADIUS-Dienst gew\xE4hrleistet wird, SOLLTEN das Sicherheitsniveau\ - \ des Netzes NICHT senken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 - ref_id: NET.3.4.A27 - name: "Pr\xFCfung der Notwendigkeit f\xFCr MAC-Adress-Authentisierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - ref_id: NET.3.4.A27.1 - description: "Eine Authentisierung \xFCber MAC-Adressen SOLLTE nur dort genutzt\ - \ werden, wo dies technisch unumg\xE4nglich ist und die Sicherheitsrichtlinien\ - \ dies zulassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - ref_id: NET.3.4.A27.2 - description: "Es SOLLTE im Vorfeld gepr\xFCft werden, ob solche Ausnahmef\xE4\ - lle notwendig sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - ref_id: NET.3.4.A27.3 - description: "Ist dies der Fall, SOLLTEN die Ausnahmef\xE4lle auf den minimalen\ - \ Einsatzbereich eingeschr\xE4nkt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - ref_id: NET.3.4.A27.4 - description: "Die Begr\xFCndung und das Ergebnis der Pr\xFCfung SOLLTEN dokumentiert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 - ref_id: NET.3.4.A27.5 - description: "Sie SOLLTEN regelm\xE4\xDFig und bei Bedarf nochmals verifiziert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.4.1 - name: TK-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A1 - name: "Anforderungsanalyse und Planung f\xFCr TK-Anlagen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.1 - description: "Vor der Beschaffung oder Erweiterung einer TK-Anlage MUSS eine\ - \ Anforderungsanalyse durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.2 - description: Im Rahmen dieser Analyse MUSS festgelegt werden, welche Funktionen - die TK-Anlage bieten soll. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.3 - description: "Hierbei M\xDCSSEN neben der Auspr\xE4gung der TK-Anlage auch die\ - \ Anzahl der ben\xF6tigten Verbindungen und Anschl\xFCsse festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.4 - description: "Auch eine m\xF6gliche Erweiterbarkeit und grundlegenden Sicherheitsfunktionen\ - \ M\xDCSSEN bei der Planung betrachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.5 - description: "Dar\xFCber hinaus M\xDCSSEN je nach Bedarf Support- und Wartungsvertr\xE4\ - ge f\xFCr die TK-Anlage ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.6 - description: "Basierend auf den ermittelten Anforderungen MUSS anschlie\xDF\ - end der Einsatz der TK-Anlage geplant und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 - ref_id: NET.4.1.A1.7 - description: "Die zuvor ermittelten Anforderungen und die Planung M\xDCSSEN\ - \ mit den entsprechenden IT-Zust\xE4ndigen abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A2 - name: Auswahl von TK-Diensteanbietenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 - ref_id: NET.4.1.A2.1 - description: "Um mit Personen telefonieren zu k\xF6nnen, deren Telefone nicht\ - \ an die institutionseigene TK-Anlage angeschlossen sind, MUSS ein TK-Diensteanbieter\ - \ oder TK-Diensteanbieterin beauftragt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 - ref_id: NET.4.1.A2.2 - description: "Dabei M\xDCSSEN die Anforderungen an die TK-Anlage, die Sicherheitsrichtlinie\ - \ sowie vertragliche und finanzielle Aspekte ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 - ref_id: NET.4.1.A2.3 - description: "Alle vereinbarten Leistungen M\xDCSSEN eindeutig schriftlich festgehalten\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A5 - name: Protokollierung bei TK-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 - ref_id: NET.4.1.A5.1 - description: "Bei TK-Anlagen M\xDCSSEN geeignete Daten erfasst und bei Bedarf\ - \ ausgewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 - ref_id: NET.4.1.A5.2 - description: "Protokolliert werden M\xDCSSEN zus\xE4tzlich alle systemtechnischen\ - \ Eingriffe, die Programmver\xE4nderungen beinhalten, sowie Auswertungsl\xE4\ - ufe, Daten\xFCbermittlungen und Datenzugriffe." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 - ref_id: NET.4.1.A5.3 - description: "Alle Administrationsarbeiten an der TK-Anlage M\xDCSSEN ebenfalls\ - \ protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 - ref_id: NET.4.1.A5.4 - description: "Die protokollierten Informationen SOLLTEN regelm\xE4\xDFig kontrolliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A6 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TK-Anlagen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 - ref_id: NET.4.1.A6.1 - description: "Basierend auf der institutionsweiten Sicherheitsrichtlinie SOLLTE\ - \ eine eigene Sicherheitsrichtlinie f\xFCr die TK-Anlage erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 - ref_id: NET.4.1.A6.2 - description: "Diese Sicherheitsrichtlinie f\xFCr die TK-Anlage SOLLTE grundlegende\ - \ Aussagen zur Vertraulichkeit, Verf\xFCgbarkeit und Integrit\xE4t beinhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 - ref_id: NET.4.1.A6.3 - description: "Sie SOLLTE allen Personen, die an der Beschaffung, dem Aufbau,\ - \ der Umsetzung und dem Betrieb der TK-Anlage beteiligt sind, bekannt sein\ - \ und die Grundlage f\xFCr deren Arbeit darstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 - ref_id: NET.4.1.A6.4 - description: Die zentralen sicherheitstechnischen Anforderungen an die TK-Anlage - sowie das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweite - Sicherheitsrichtlinie aufgenommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A7 - name: Geeignete Aufstellung der TK-Anlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 - ref_id: NET.4.1.A7.1 - description: Die TK-Anlage SOLLTE in einem geeigneten Raum untergebracht sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 - ref_id: NET.4.1.A7.2 - description: "Die Schnittstellen an der TK-Anlage, besonders nicht genutzte\ - \ Schnittstellen, SOLLTEN geeignet gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A8 - name: "Einschr\xE4nkung und Sperrung nicht ben\xF6tigter oder sicherheitskritischer\ - \ Leistungsmerkmale" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 - ref_id: NET.4.1.A8.1 - description: "Der Umfang der verf\xFCgbaren Leistungsmerkmale SOLLTE auf das\ - \ notwendige Minimum beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 - ref_id: NET.4.1.A8.2 - description: "Nur die ben\xF6tigten Leistungsmerkmale SOLLTEN freigeschaltet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 - ref_id: NET.4.1.A8.3 - description: "Die nicht ben\xF6tigten oder wegen ihres Missbrauchspotenzials\ - \ als kritisch eingestuften Leistungsmerkmale SOLLTEN so weit wie m\xF6glich\ - \ an der zentralen Anlage abgeschaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 - ref_id: NET.4.1.A8.4 - description: "Zus\xE4tzliche Schutzma\xDFnahmen SOLLTEN f\xFCr die auf den Endger\xE4\ - ten gespeicherten und abrufbaren vertraulichen Daten ergriffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A9 - name: Schulung zur sicheren Nutzung von TK-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 - ref_id: NET.4.1.A9.1 - description: "Die Benutzenden der TK-Anlage SOLLTEN in die korrekte Verwendung\ - \ von Diensten und Ger\xE4ten eingewiesen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 - ref_id: NET.4.1.A9.2 - description: "Den Benutzenden der TK-Anlage SOLLTEN alle notwendigen Unterlagen\ - \ zur Bedienung der entsprechenden Endger\xE4te zur Verf\xFCgung gestellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 - ref_id: NET.4.1.A9.3 - description: "S\xE4mtliche Auff\xE4lligkeiten und Unregelm\xE4\xDFigkeiten der\ - \ TK-Anlage SOLLTEN den entsprechenden Verantwortlichen gemeldet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A10 - name: Dokumentation und Revision der TK-Anlagenkonfiguration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 - ref_id: NET.4.1.A10.1 - description: Die TK-Anlagenkonfiguration SOLLTE geeignet dokumentiert und fortgeschrieben - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 - ref_id: NET.4.1.A10.2 - description: "Die TK-Anlagenkonfiguration SOLLTE in regelm\xE4\xDFigen Abst\xE4\ - nden \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 - ref_id: NET.4.1.A10.3 - description: "Das Ergebnis der Pr\xFCfung SOLLTE zumindest den Informationssicherheitsbeauftragten,\ - \ den Fachverantwortlichen und anderen verantwortlichen Mitarbeitenden vorgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A11 - name: "Au\xDFerbetriebnahme von TK-Anlagen und -ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 - ref_id: NET.4.1.A11.1 - description: "Die Aussonderung von TK-Anlagen und angeschlossenen TK-Ger\xE4\ - ten SOLLTE in der Sicherheitsrichtlinie ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 - ref_id: NET.4.1.A11.2 - description: "Alle Daten, die auf TK-Anlagen oder Endger\xE4ten gespeichert\ - \ sind, SOLLTEN vor der Aussonderung sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A12 - name: Datensicherung der Konfigurationsdateien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 - ref_id: NET.4.1.A12.1 - description: "Die Konfigurations- und Anwendungsdaten der eingesetzten TK-Anlage\ - \ SOLLTEN bei der Ersteinrichtung und anschlie\xDFend regelm\xE4\xDFig gesichert\ - \ werden, insbesondere nachdem sich diese ge\xE4ndert haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 - ref_id: NET.4.1.A12.2 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft und dokumentiert werden,\ - \ ob die Sicherungen der TK-Anlagen auch tats\xE4chlich als Basis f\xFCr eine\ - \ Systemwiederherstellung genutzt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 - ref_id: NET.4.1.A12.3 - description: "Es SOLLTE ein Datensicherungskonzept f\xFCr TK-Anlagen erstellt\ - \ und mit den allgemeinen Konzepten der Datensicherung f\xFCr Server und Netzkomponenten\ - \ abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A13 - name: Beschaffung von TK-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 - ref_id: NET.4.1.A13.1 - description: Bei der Beschaffung von TK-Anlagen SOLLTEN die Ergebnisse der Anforderungsanalyse - und der Planung miteinbezogen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 - ref_id: NET.4.1.A13.2 - description: "Bei der Beschaffung einer TK-Anlage SOLLTE beachtet werden, dass\ - \ sie neben digitalen auch analoge Teilnehmeranschl\xFCsse anbieten sollte." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 - ref_id: NET.4.1.A13.3 - description: "Dar\xFCber hinaus SOLLTEN vorhandene Kommunikationssysteme und\ - \ -komponenten bei der Beschaffung ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A14 - name: "Notfallvorsorge f\xFCr TK-Anlagen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 - ref_id: NET.4.1.A14.1 - description: "Es SOLLTE ein Notfallplan f\xFCr die TK-Anlage erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 - ref_id: NET.4.1.A14.2 - description: Dieser SOLLTE in das Notfallkonzept der Institution integriert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 - ref_id: NET.4.1.A14.3 - description: "Es SOLLTEN regelm\xE4\xDFig Notfall\xFCbungen bez\xFCglich der\ - \ TK-Anlagen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A15 - name: Notrufe bei einem Ausfall der TK-Anlage - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 - ref_id: NET.4.1.A15.1 - description: "Es SOLLTE sichergestellt werden, dass auch bei einem Ausfall der\ - \ TK-Anlage Notrufe aus der Institution abgesetzt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 - ref_id: NET.4.1.A15.2 - description: "Die Notrufm\xF6glichkeiten SOLLTEN von allen R\xE4umen aus auf\ - \ ausreichend kurzen Wegen erreichbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A16 - name: "Sicherung von Endger\xE4ten in frei zug\xE4nglichen R\xE4umen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 - ref_id: NET.4.1.A16.1 - description: "Der Funktionsumfang der Endger\xE4te, die in frei zug\xE4nglichen\ - \ R\xE4umen aufgestellt werden sollen, SOLLTE eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 - ref_id: NET.4.1.A16.2 - description: "Ist dies nicht m\xF6glich, SOLLTE das Endger\xE4t in geeigneter\ - \ Weise vor unbefugtem Zugriff gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A17 - name: Wartung von TK-Anlagen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17 - ref_id: NET.4.1.A17.1 - description: "Die Ger\xE4te zur Wartung und Konfiguration der TK-Anlage SOLLTEN\ - \ mit Passw\xF6rtern bzw. PINs abgesichert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A18 - name: "Erh\xF6hter Zugangsschutz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 - ref_id: NET.4.1.A18.1 - description: Die TK-Anlage SOLLTE in einem separaten sowie geeignet gesicherten - Raum untergebracht sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 - ref_id: NET.4.1.A18.2 - description: "Der Zutritt und Zugang zur TK-Anlage SOLLTE nur einem eingeschr\xE4\ - nkten Personenkreis m\xF6glich sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 - ref_id: NET.4.1.A18.3 - description: Externe SOLLTEN NUR beaufsichtigt Zugang zur Anlage erhalten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 - ref_id: NET.4.1.A19 - name: Redundanter Anschluss - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 - ref_id: NET.4.1.A19.1 - description: Der Anschluss der TK-Anlage SOLLTE redundant ausgelegt sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 - ref_id: NET.4.1.A19.2 - description: "Bei IP-basierten TK-Anlagen SOLLTE ein zus\xE4tzlicher PSTN-Anschluss\ - \ vorhanden sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.4.2 - name: VoIP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A1 - name: Planung des VoIP-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.1 - description: "Die Bedingungen, unter denen VoIP eingesetzt werden soll, M\xDC\ - SSEN festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.2 - description: "Es MUSS unter anderem entschieden werden, ob vollst\xE4ndig oder\ - \ partiell auf VoIP umgestiegen werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.3 - description: "Besondere Anforderungen an die Verf\xFCgbarkeit von VoIP oder\ - \ an die Vertraulichkeit und Integrit\xE4t der Telefonate bzw. der Signalisierungsinformationen\ - \ SOLLTEN vorab ermittelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.4 - description: "Geeignete Signalisierungs- und Medientransportprotokolle M\xDC\ - SSEN vor dem Einsatz ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.5 - description: "Es SOLLTE entschieden werden, ob und wie die VoIP-Infrastruktur\ - \ an \xF6ffentliche (Daten-)Netze angebunden werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 - ref_id: NET.4.2.A1.6 - description: "Die Kapazit\xE4ten und das Design von vorhandenen Datennetzen\ - \ SOLLTEN bei der Planung ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A3 - name: "Sichere Administration und Konfiguration von VoIP-Endger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 - ref_id: NET.4.2.A3.1 - description: "Nicht ben\xF6tigte Funktionen der Endger\xE4te M\xDCSSEN deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 - ref_id: NET.4.2.A3.2 - description: "Die Konfigurationseinstellungen D\xDCRFEN NICHT unberechtigt ge\xE4\ - ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 - ref_id: NET.4.2.A3.3 - description: "Alle Sicherheitsfunktionen der Endger\xE4te SOLLTEN vor dem produktiven\ - \ Einsatz getestet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 - ref_id: NET.4.2.A3.4 - description: Die eingesetzten Sicherheitsmechanismen und die verwendeten Parameter - SOLLTEN dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A4 - name: "Einschr\xE4nkung der Erreichbarkeit \xFCber VoIP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 - ref_id: NET.4.2.A4.1 - description: "Es MUSS entschieden werden, wie externe Gespr\xE4chspartner und\ - \ -partnerinnen auf die VoIP-Architektur zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 - ref_id: NET.4.2.A4.2 - description: "Es MUSS verhindert werden, dass IT-Systeme aus unsicheren Netzen\ - \ direkte Datenverbindungen auf die VoIP-Komponenten der Institution aufbauen\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 - ref_id: NET.4.2.A4.3 - description: "Wenn alle ein- und ausgehenden Verbindungen \xFCber ein zentrales\ - \ IT-System abgewickelt werden sollen, SOLLTE sichergestellt werden, dass\ - \ alle Signalisierungs- und Sprachinformationen zwischen dem \xF6ffentlichen\ - \ und dem privaten Datennetz nur \xFCber dieses autorisierte IT-System ausgetauscht\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A5 - name: Sichere Konfiguration der VoIP-Middleware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 - ref_id: NET.4.2.A5.1 - description: "Die VoIP-Komponenten M\xDCSSEN so konfiguriert sein, dass sie\ - \ den Schutzbedarf angemessen erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 - ref_id: NET.4.2.A5.2 - description: "Die Default-Konfigurationen der VoIP-Middleware M\xDCSSEN vor\ - \ der produktiven Inbetriebnahme angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 - ref_id: NET.4.2.A5.3 - description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ - \ werden, dass die Installation und Konfiguration durch sachkundige Dritte\ - \ anhand der Dokumentation nachvollzogen und wiederholt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 - ref_id: NET.4.2.A5.4 - description: "Alle nicht ben\xF6tigten Dienste der VoIP-Middleware M\xDCSSEN\ - \ deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A7 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr VoIP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - ref_id: NET.4.2.A7.1 - description: Die zentralen sicherheitstechnischen Anforderungen an VoIP sowie - das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweiten Sicherheitsrichtlinie - aufgenommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - ref_id: NET.4.2.A7.2 - description: In dieser Sicherheitsrichtlinie SOLLTEN alle allgemeinen sicherheitstechnischen - Vorgaben konkretisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - ref_id: NET.4.2.A7.3 - description: "Au\xDFerdem SOLLTEN in der Richtlinie die Vorgaben f\xFCr den\ - \ Betrieb und die Nutzung der VoIP-Komponenten geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - ref_id: NET.4.2.A7.4 - description: Hierbei SOLLTEN auch die verschiedenen VoIP-Funktionen, wie zum - Beispiel Voicemails, betrachtet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 - ref_id: NET.4.2.A7.5 - description: "Die VoIP-Sicherheitsrichtlinie SOLLTE allen beteiligten Personen\ - \ und Gruppen zug\xE4nglich und bekannt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A8 - name: "Verschl\xFCsselung von VoIP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 - ref_id: NET.4.2.A8.1 - description: "Es SOLLTE entschieden werden, ob und welche Sprach- und Signalisierungsinformationen\ - \ verschl\xFCsselt werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 - ref_id: NET.4.2.A8.2 - description: "Generell SOLLTEN alle VoIP-Datenpakete, die das gesicherte LAN\ - \ verlassen, durch geeignete Sicherheitsmechanismen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 - ref_id: NET.4.2.A8.3 - description: "Die Benutzenden SOLLTEN \xFCber die Nutzung der VoIP-Verschl\xFC\ - sselung informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A9 - name: Geeignete Auswahl von VoIP-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 - ref_id: NET.4.2.A9.1 - description: Bevor VoIP-Komponenten beschafft werden, SOLLTE eine Anforderungsliste - erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 - ref_id: NET.4.2.A9.2 - description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ - \ Produkte bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 - ref_id: NET.4.2.A9.3 - description: Diese Anforderungsliste SOLLTE alle Merkmale zur Erreichung des - angestrebten Sicherheitsniveaus umfassen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 - ref_id: NET.4.2.A9.4 - description: "Es SOLLTE geregelt werden, wie die am Markt erh\xE4ltlichen Produkte\ - \ gem\xE4\xDF der Anforderungsliste bewertet werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A11 - name: "Sicherer Umgang mit VoIP-Endger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 - ref_id: NET.4.2.A11.1 - description: "Benutzende, die VoIP-Endger\xE4te einsetzen, SOLLTEN \xFCber die\ - \ grundlegenden VoIP-Gef\xE4hrdungen und Sicherheitsma\xDFnahmen informiert\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 - ref_id: NET.4.2.A11.2 - description: "Au\xDFerdem SOLLTEN sie geeignete Passw\xF6rter zur Absicherung\ - \ von Voicemails ausw\xE4hlen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A12 - name: "Sichere Au\xDFerbetriebnahme von VoIP-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - ref_id: NET.4.2.A12.1 - description: "Wenn VoIP-Komponenten au\xDFer Betrieb genommen oder ersetzt werden,\ - \ SOLLTEN alle sicherheitsrelevanten Informationen von den Ger\xE4ten gel\xF6\ - scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - ref_id: NET.4.2.A12.2 - description: "Nach dem L\xF6schvorgang SOLLTE \xFCberpr\xFCft werden, ob die\ - \ Daten auch tats\xE4chlich erfolgreich entfernt wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - ref_id: NET.4.2.A12.3 - description: "Vertrauliche Informationen SOLLTEN auch von Backup-Medien gel\xF6\ - scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - ref_id: NET.4.2.A12.4 - description: "Alle Beschriftungen, insbesondere der Endger\xE4te, SOLLTEN vor\ - \ der Entsorgung entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 - ref_id: NET.4.2.A12.5 - description: "Es SOLLTE fr\xFChzeitig mit Herstellenden, Vertreibenden beziehungsweise\ - \ Service-Unternehmen gekl\xE4rt werden, welche Ma\xDFnahmen zur L\xF6schung\ - \ sicherheitsrelevanter Informationen mit den Vertrags- und Garantiebedingungen\ - \ vereinbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A13 - name: "Anforderungen an eine Firewall f\xFCr den Einsatz von VoIP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 - ref_id: NET.4.2.A13.1 - description: "Es SOLLTE \xFCberpr\xFCft werden, ob die bestehende Firewall f\xFC\ - r den Einsatz von VoIP angepasst werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 - ref_id: NET.4.2.A13.2 - description: "Ist dies nicht der Fall, SOLLTE eine zus\xE4tzliche Firewall hierf\xFC\ - r beschafft und installiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A14 - name: "Verschl\xFCsselung der Signalisierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - ref_id: NET.4.2.A14.1 - description: "Die Integrit\xE4t und Vertraulichkeit der Signalisierungsinformationen\ - \ SOLLTE durch geeignete kryptografische Verfahren gew\xE4hrleistet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - ref_id: NET.4.2.A14.2 - description: "Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten\ - \ SOLLTEN durchg\xE4ngig verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - ref_id: NET.4.2.A14.3 - description: "Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und\ - \ H.323-Identit\xE4ten so weit wie m\xF6glich eingeschr\xE4nkt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - ref_id: NET.4.2.A14.4 - description: "Es SOLLTEN zus\xE4tzlich Ende-zu-Ende-Sicherheitsmechanismen f\xFC\ - r den Medientransport und die Signalisierung benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 - ref_id: NET.4.2.A14.5 - description: "Es SOLLTE dokumentiert werden, wie die Signalisierung gesch\xFC\ - tzt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A15 - name: Sicherer Medientransport mit SRTP - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 - ref_id: NET.4.2.A15.1 - description: "Mediendaten und Informationen zur Steuerung dieser Daten, die\ - \ \xFCber das Real-Time Transport Protocol (RTP) \xFCbertragen werden, SOLLTEN\ - \ in geeigneter Weise gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 - ref_id: NET.4.2.A15.2 - description: "Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport\ - \ Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP)\ - \ gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 - ref_id: NET.4.2.A15.3 - description: Die sicherheitsrelevanten Optionen der Implementierung des Protokolls - SOLLTEN dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 - ref_id: NET.4.2.A16 - name: Trennung des Daten- und VoIP-Netzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 - ref_id: NET.4.2.A16.1 - description: Das VoIP-Netz SOLLTE in geeigneter Weise vom Datennetz getrennt - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 - ref_id: NET.4.2.A16.2 - description: "Es SOLLTE geregelt werden, wie mit Ger\xE4ten umzugehen ist, die\ - \ auf das VoIP- und Datennetz zugreifen m\xFCssen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 - ref_id: NET.4.2.A16.3 - description: "VoIP-Endger\xE4te in einem VoIP-Netz SOLLTEN NUR die vorgesehenen\ - \ VoIP-Verbindungen zu anderen IT-Systemen aufbauen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net - ref_id: NET.4.3 - name: "Faxger\xE4te und Faxserver" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A1 - name: "Geeignete Aufstellung eines Faxger\xE4tes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 - ref_id: NET.4.3.A1.1 - description: "Faxger\xE4te M\xDCSSEN so aufgestellt werden, dass eingegangene\ - \ Faxsendungen nicht von Unberechtigten eingesehen oder entnommen werden k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 - ref_id: NET.4.3.A1.2 - description: "Der Aufstellungsort SOLLTE zudem danach ausgew\xE4hlt werden,\ - \ dass ausreichend dimensionierte Telekommunikationsleitungen bzw. -kan\xE4\ - le vorhanden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 - ref_id: NET.4.3.A1.3 - description: "Der Aufstellungsort MUSS \xFCber einen geeigneten Netzanschluss\ - \ f\xFCr das Faxger\xE4t verf\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 - ref_id: NET.4.3.A1.4 - description: "Faxger\xE4te D\xDCRFTEN NICHT an nicht daf\xFCr vorgesehene Netzanschl\xFC\ - sse angeschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A2 - name: "Informationen f\xFCr Mitarbeitende \xFCber die Faxnutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - ref_id: NET.4.3.A2.1 - description: "Alle Mitarbeitenden M\xDCSSEN auf die Besonderheiten der Informations\xFC\ - bermittlung per Fax hingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - ref_id: NET.4.3.A2.2 - description: "Sie M\xDCSSEN auch dar\xFCber informiert sein, dass die Rechtsverbindlichkeit\ - \ einer Faxsendung stark eingeschr\xE4nkt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - ref_id: NET.4.3.A2.3 - description: "Eine verst\xE4ndliche Bedienungsanleitung MUSS am Faxger\xE4t\ - \ ausliegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - ref_id: NET.4.3.A2.4 - description: Die Benutzenden SOLLTEN mindestens eine Kurzanleitung zur eingesetzten - Faxclient-Software des Faxservers erhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 - ref_id: NET.4.3.A2.5 - description: "Au\xDFerdem MUSS eine Anweisung zur korrekten Faxnutzung ausliegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A3 - name: Sicherer Betrieb eines Faxservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.1 - description: Bevor ein Faxserver in Betrieb genommen wird, SOLLTE eine Testphase - erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.2 - description: "Konfigurationsparameter sowie alle \xC4nderungen an der Konfiguration\ - \ eines Faxservers SOLLTEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.3 - description: "Die Archivierung und L\xF6schung von Faxdaten SOLLTEN geregelt\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.4 - description: "Au\xDFerdem MUSS regelm\xE4\xDFig die Verbindung vom Faxserver\ - \ zur TK-Anlage beziehungsweise zum \xF6ffentlichen Telefonnetz auf ihre Funktion\ - \ gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.5 - description: "Es MUSS au\xDFerdem sichergestellt werden, dass der Faxserver\ - \ ausschlie\xDFlich Fax-Dienste anbietet und nicht f\xFCr weitere Dienste\ - \ genutzt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 - ref_id: NET.4.3.A3.6 - description: "Alle nicht ben\xF6tigten Leistungsmerkmale und Zug\xE4nge der\ - \ eingesetzten Kommunikationsschnittstellen M\xDCSSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A4 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Faxnutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - ref_id: NET.4.3.A4.1 - description: "Vor der Freigabe eines Ger\xE4tes SOLLTE eine Sicherheitsrichtlinie\ - \ f\xFCr die Faxnutzung erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - ref_id: NET.4.3.A4.2 - description: Dort SOLLTE die Einsatzart festgelegt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - ref_id: NET.4.3.A4.3 - description: "Au\xDFerdem SOLLTE geregelt werden, wie mit Faxeing\xE4ngen und\ - \ -ausg\xE4ngen umzugehen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - ref_id: NET.4.3.A4.4 - description: Zudem SOLLTE eine Regelung zur Behandlung von nicht zustellbaren - Faxsendungen erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 - ref_id: NET.4.3.A4.5 - description: "Au\xDFerdem SOLLTE die Richtlinie Informationen und Anweisungen\ - \ zur Notfallvorsorge und Ausfallsicherheit des Faxbetriebes enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A6 - name: "Beschaffung geeigneter Faxger\xE4te und Faxserver" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.1 - description: "Bevor Faxger\xE4te oder Faxserver beschafft werden, SOLLTE eine\ - \ Anforderungsliste erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.2 - description: Anhand dieser Liste SOLLTEN die infrage kommenden Systeme oder - Komponenten bewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.3 - description: "Die Anforderungsliste f\xFCr Faxger\xE4te SOLLTE auch sicherheitsrelevante\ - \ Aspekte umfassen, wie den Austausch einer Teilnehmererkennung, die Ausgabe\ - \ von Sendeberichten sowie eine Fehlerprotokollierung und Journalf\xFChrung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.4 - description: "Zudem SOLLTEN angemessene zus\xE4tzliche Sicherheitsfunktionen\ - \ anhand des Schutzbedarfs ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.5 - description: "Bei einem Faxserver SOLLTEN alle Anforderungen an das IT-System\ - \ einschlie\xDFlich Betriebssystem, Kommunikationskomponenten und Applikationssoftware\ - \ erhoben und ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 - ref_id: NET.4.3.A6.6 - description: "Die M\xF6glichkeit, dass ein Faxserver in ein bestehendes Datennetz\ - \ und in ein Groupware-System integriert werden kann, SOLLTE bei Bedarf ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A7 - name: Geeignete Kennzeichnung ausgehender Faxsendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - ref_id: NET.4.3.A7.1 - description: Quelle und Ziel jeder Faxsendung SOLLTEN auf allen ausgehenden - Faxsendungen ersichtlich sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - ref_id: NET.4.3.A7.2 - description: "Wenn diese Informationen nicht aus dem versendeten Dokument ermittelt\ - \ werden k\xF6nnen, SOLLTE ein standardisiertes Faxdeckblatt benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - ref_id: NET.4.3.A7.3 - description: Generell SOLLTE das Faxdeckblatt mindestens den Namen der Institution - des Absendenden, den Namen des Ansprechpartners bzw. der Ansprechpartnerin, - das Datum, die Seitenanzahl sowie einen Dringlichkeitsvermerk auflisten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - ref_id: NET.4.3.A7.4 - description: "Au\xDFerdem SOLLTE es die Namen und die Institution der Empfangenden\ - \ enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 - ref_id: NET.4.3.A7.5 - description: "Wenn notwendig, SOLLTE das Faxdeckblatt f\xFCr jedes ausgehende\ - \ Fax angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A8 - name: "Geeignete Entsorgung von Fax-Verbrauchsg\xFCtern und - Ersatzteilen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 - ref_id: NET.4.3.A8.1 - description: "Alle Fax-Verbrauchsg\xFCter, aus denen Informationen \xFCber die\ - \ versendeten und empfangenen Fax-Dokumente gewonnen werden k\xF6nnen, SOLLTEN\ - \ vor der Entsorgung unkenntlich gemacht werden oder durch eine zuverl\xE4\ - ssige Fachfirma entsorgt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 - ref_id: NET.4.3.A8.2 - description: Die gleiche Vorgehensweise SOLLTE auch bei ausgetauschten informationstragenden - Ersatzteilen erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 - ref_id: NET.4.3.A8.3 - description: "Wartungsfirmen, die Faxger\xE4te \xFCberpr\xFCfen oder reparieren,\ - \ SOLLTEN zu einer entsprechenden Handhabung verpflichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 - ref_id: NET.4.3.A8.4 - description: "Es SOLLTE regelm\xE4\xDFig kontrolliert werden, ob diese Handhabung\ - \ eingehalten wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A9 - name: Nutzung von Sende- und Empfangsprotokollen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.1 - description: "Die \xDCbertragungsvorg\xE4nge ein- und ausgehender Faxsendungen\ - \ SOLLTEN protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.2 - description: "Dazu SOLLTEN die Kommunikationsjournale markt\xFCblicher Faxger\xE4\ - te genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.3 - description: "Verf\xFCgen die Faxger\xE4te \xFCber Protokollierungsfunktionen,\ - \ SOLLTEN diese aktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.4 - description: Bei einem Faxserver SOLLTE die Protokollierung ebenso aktiviert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.5 - description: Auch SOLLTE entschieden werden, welche Informationen protokolliert - werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.6 - description: "Die Kommunikationsjournale der Faxger\xE4te und die Protokollierungsdateien\ - \ SOLLTEN regelm\xE4\xDFig ausgewertet und archiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.7 - description: "Sie SOLLTEN stichprobenartig auf Unregelm\xE4\xDFigkeiten gepr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 - ref_id: NET.4.3.A9.8 - description: "Unbefugte SOLLTEN nicht auf die Kommunikationsjournale sowie die\ - \ protokollierten Informationen zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A10 - name: Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 - ref_id: NET.4.3.A10.1 - description: "Programmierbare Kurzwahltasten oder gespeicherte Zieladressen\ - \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob die gew\xFC\ - nschte Faxnummer mit der einprogrammierten Nummer \xFCbereinstimmt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 - ref_id: NET.4.3.A10.2 - description: "Nicht mehr ben\xF6tige Faxnummern SOLLTEN gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 - ref_id: NET.4.3.A10.3 - description: "Es SOLLTE in geeigneter Weise dokumentiert werden, wenn ein neuer\ - \ Eintrag aufgenommen oder eine Zielnummer ge\xE4ndert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A11 - name: "Schutz vor \xDCberlastung des Faxger\xE4tes" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - ref_id: NET.4.3.A11.1 - description: "Es SOLLTEN ausreichend Kommunikationsleitungen bzw. -kan\xE4le\ - \ verf\xFCgbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - ref_id: NET.4.3.A11.2 - description: "Bei einem Faxserver SOLLTE das voraussichtliche Faxvolumen abgesch\xE4\ - tzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - ref_id: NET.4.3.A11.3 - description: "Es SOLLTEN entsprechend leistungsf\xE4hige Komponenten ausgew\xE4\ - hlt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - ref_id: NET.4.3.A11.4 - description: "Die Protokolle von Faxservern SOLLTEN regelm\xE4\xDFig kontrolliert\ - \ werden, um Engp\xE4ssen durch \xDCberlastungen rechtzeitig entgegenzuwirken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 - ref_id: NET.4.3.A11.5 - description: "Nicht mehr ben\xF6tigte Faxdaten SOLLTEN zeitnah vom Faxserver\ - \ gel\xF6scht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A12 - name: Sperren bestimmter Quell- und Ziel-Faxnummern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 - ref_id: NET.4.3.A12.1 - description: "Unerw\xFCnschte Faxadressen, SOLLTEN blockiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 - ref_id: NET.4.3.A12.2 - description: Alternativ SOLLTEN nur bestimmte Rufnummern zugelassen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 - ref_id: NET.4.3.A12.3 - description: "Es SOLLTE gepr\xFCft werden, welcher Ansatz in welcher Situation\ - \ geeignet ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A13 - name: Festlegung berechtigter Faxbedienenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 - ref_id: NET.4.3.A13.1 - description: "Es SOLLTEN nur wenige Mitarbeitende ausgew\xE4hlt werden, die\ - \ auf das Faxger\xE4t zugreifen d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 - ref_id: NET.4.3.A13.2 - description: Diese Mitarbeitenden SOLLTEN ankommende Faxsendungen an die Empfangenden - verteilen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 - ref_id: NET.4.3.A13.3 - description: "Den Mitarbeitenden SOLLTE vermittelt werden, wie sie mit dem Ger\xE4\ - t umgehen und wie sie die erforderlichen Sicherheitsma\xDFnahmen umsetzen\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 - ref_id: NET.4.3.A13.4 - description: "Jeder berechtigte Benutzende SOLLTE dar\xFCber unterrichtet werden,\ - \ wer das Faxger\xE4t bedienen darf und wer f\xFCr das Ger\xE4t zust\xE4ndig\ - \ ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A14 - name: Fertigung von Kopien eingehender Faxsendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 - ref_id: NET.4.3.A14.1 - description: "Auf Thermopapier gedruckte Faxsendungen, die l\xE4nger ben\xF6\ - tigt werden, SOLLTEN auf Normalpapier kopiert oder eingescannt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 - ref_id: NET.4.3.A14.2 - description: "Es SOLLTE ber\xFCcksichtigt werden, dass auf Thermopapier die\ - \ Farbe schneller verblasst und somit unkenntlich wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 - ref_id: NET.4.3.A14.3 - description: Die Kopien oder eingescannten Faxsendungen SOLLTEN in geeigneter - Weise archiviert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 - ref_id: NET.4.3.A15 - name: "Ank\xFCndigung und R\xFCckversicherung im Umgang mit Faxsendungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - ref_id: NET.4.3.A15.1 - description: "Wichtige Faxsendungen SOLLTEN den Empfangenden angek\xFCndigt\ - \ werden, bevor sie versendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - ref_id: NET.4.3.A15.2 - description: Dazu SOLLTE festgelegt werden, welche Dokumente vorab angemeldet - werden sollen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - ref_id: NET.4.3.A15.3 - description: "Mitarbeitende, die vertrauliche Fax-Dokumente versenden m\xF6\ - chten, SOLLTEN angewiesen werden, sich den vollst\xE4ndigen Erhalt von den\ - \ Empfangenden best\xE4tigen zu lassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - ref_id: NET.4.3.A15.4 - description: "Bei wichtigen oder ungew\xF6hnlichen Faxsendungen SOLLTEN sich\ - \ wiederum Empfangende von den Absendenden best\xE4tigen lassen, dass das\ - \ Fax-Dokument von ihnen stammt und nicht gef\xE4lscht wurde." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 - ref_id: NET.4.3.A15.5 - description: "Es SOLLTE eine geeignete Kommunikationsform ausgew\xE4hlt werden,\ - \ mit dem die Fax-Dokumente angek\xFCndigt oder best\xE4tigt werden, beispielsweise\ - \ per Telefon." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - assessable: false - depth: 1 - ref_id: OPS - name: Betrieb - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.1 - name: 'Allgemeiner IT-Betrieb ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A1 - name: "Festlegung der Aufgaben und Zust\xE4ndigkeiten des IT-Betriebs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 - ref_id: OPS.1.1.1.A1.1 - description: "F\xFCr alle betriebenen IT-Komponenten MUSS festgelegt werden,\ - \ welche Aufgaben f\xFCr den IT-Betrieb anfallen und wer daf\xFCr zust\xE4\ - ndig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 - ref_id: OPS.1.1.1.A1.2 - description: "Hierf\xFCr M\xDCSSEN die entsprechenden Rechte, Pflichten, Aufgaben\ - \ mit den hierf\xFCr erforderlichen T\xE4tigkeiten, Befugnisse und zugeh\xF6\ - rigen Prozesse geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 - ref_id: OPS.1.1.1.A1.3 - description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege sowie das\ - \ Eskalationsmanagement zwischen verschiedenen Betriebseinheiten und gegen\xFC\ - ber anderen organisatorischen Einheiten der Institution festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A2 - name: "Festlegung von Rollen und Berechtigungen f\xFCr den IT-Betrieb" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.1 - description: "F\xFCr alle betriebenen IT-Komponenten MUSS das jeweilige Rollen-\ - \ und Berechtigungskonzept auch Rollen und zugeh\xF6rige Berechtigungen f\xFC\ - r den IT-Betrieb festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.2 - description: "F\xFCr die Betriebsmittel MUSS ebenfalls ein Rollen- und Berechtigungskonzept\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.3 - description: "Das Rollen- und Berechtigungskonzept f\xFCr den IT-Betrieb MUSS\ - \ die IT-Nutzung von IT-Betriebsaufgaben trennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.4 - description: "Administrationsaufgaben und sonstige Betriebsaufgaben M\xDCSSEN\ - \ durch unterschiedliche Rollen getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.5 - description: "Grunds\xE4tzlich SOLLTE der IT-Betrieb f\xFCr unterschiedliche\ - \ Betriebst\xE4tigkeiten unterschiedliche Rollen festlegen, die f\xFCr die\ - \ jeweiligen T\xE4tigkeiten die erforderlichen Berechtigungen besitzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.6 - description: "Sammel-Accounts D\xDCRFEN NUR in begr\xFCndeten Ausnahmef\xE4\ - llen eingerichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.7 - description: "Die Rollen und Berechtigungen M\xDCSSEN regelm\xE4\xDFig gepr\xFC\ - ft und auf die aktuellen Gegebenheiten angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.8 - description: "Insbesondere M\xDCSSEN die Berechtigungen von ausgeschiedenem\ - \ Personal auf den IT-Komponenten entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 - ref_id: OPS.1.1.1.A2.9 - description: "Ebenso M\xDCSSEN die Rollen und Berechtigungen gel\xF6scht werden,\ - \ wenn IT-Komponenten au\xDFer Betrieb genommenen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A3 - name: "Erstellen von Betriebshandb\xFCchern f\xFCr die betriebene IT" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.1 - description: "F\xFCr alle betriebenen IT-Komponenten SOLLTEN die Betriebsaufgaben\ - \ geplant und in Betriebshandb\xFCchern erfasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.2 - description: "Die Betriebshandb\xFCcher SOLLTEN stets verf\xFCgbar sein und\ - \ mindestens die folgenden Themen adressieren:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.3 - description: "\u2022 relevante System- und Kontaktinformationen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.4 - description: "\u2022 erforderliche und zul\xE4ssige Betriebsmittel" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.5 - description: "\u2022 allgemeine Konfigurationsvorgaben" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.6 - description: "\u2022 Konfigurationsvorgaben zur H\xE4rtung von Spezialsystemen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.7 - description: "\u2022 Rollen- und Berechtigungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.8 - description: "\u2022 IT-Monitoring, Protokollierung und Alarmierung" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.9 - description: "\u2022 Datensicherung und Notfallkonzepte" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.10 - description: "\u2022 IT Incident Management" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 - ref_id: OPS.1.1.1.A3.11 - description: "\u2022 Vorgaben f\xFCr alle regelm\xE4\xDFigen und au\xDFerplanm\xE4\ - \xDFigen T\xE4tigkeiten Die Betriebshandb\xFCcher SOLLTEN regelm\xE4\xDFig\ - \ und anlassbezogen gepr\xFCft und angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A4 - name: Bereitstellen ausreichender Personal- und Sachressourcen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.1 - description: "Der IT-Betrieb SOLLTE \xFCber ausreichende Personal-Ressourcen\ - \ verf\xFCgen, um einen ordnungsgem\xE4\xDFen IT-Betrieb gew\xE4hrleisten\ - \ zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.2 - description: "Hierf\xFCr SOLLTE der Aufwand f\xFCr alle T\xE4tigkeiten des IT-Betriebs\ - \ ermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.3 - description: "Die Personal-Ressourcen SOLLTEN mit angemessenen Redundanzen und\ - \ Reserven geplant werden und auch kurzfristige Personalausf\xE4lle sowie\ - \ tempor\xE4r erh\xF6hte Personalbedarfe ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.4 - description: Ebenfalls SOLLTEN geeignete Sach-Ressourcen bereitstehen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.5 - description: "Hierf\xFCr SOLLTE f\xFCr jede T\xE4tigkeit des IT-Betriebs identifiziert\ - \ werden, welche Betriebsmittel erforderlich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 - ref_id: OPS.1.1.1.A4.6 - description: "Die Ressourcenplanung SOLLTE regelm\xE4\xDFig und anlassbezogen\ - \ \xFCberpr\xFCft und an die aktuellen Erfordernisse angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A5 - name: "Festlegen von geh\xE4rteten Standardkonfigurationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.1 - description: "Der IT-Betrieb SOLLTE die betriebenen IT-Komponenten kategorisieren\ - \ und f\xFCr diese Kategorien geh\xE4rtete Standardkonfigurationen festlegen\ - \ und bereitstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.2 - description: "F\xFCr IT-Plattformen wie Virtualisierungshosts, auf denen weitere\ - \ IT-Komponenten bereitgestellt und betrieben werden, SOLLTE eine abgestimmte\ - \ H\xE4rtung entwickelt und umgesetzt werden, die alle Elemente der IT-Komponenten\ - \ ber\xFCcksichtigt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.3 - description: "Hierbei SOLLTEN verschiedene Auspr\xE4gungen der IT-Komponenten\ - \ ber\xFCcksichtigt und erlaubte Abweichungen spezifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.4 - description: "Die Konfigurationsvorgaben SOLLTEN die Sicherheitsanforderungen\ - \ der Institution umsetzen und die Empfehlungen der jeweiligen Herstellenden\ - \ ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.5 - description: "Die geh\xE4rteten Standard-Konfigurationen SOLLTEN in den jeweiligen\ - \ Betriebshandb\xFCchern dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.6 - description: Jede Standardkonfiguration SOLLTE vor Bereitstellung getestet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.7 - description: "Die geh\xE4rteten Standardkonfigurationen SOLLTEN regelm\xE4\xDF\ - ig und anlassbezogen gepr\xFCft und gem\xE4\xDF der verf\xFCgbaren Informationen\ - \ an den aktuellen Stand der Technik angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 - ref_id: OPS.1.1.1.A5.8 - description: "Der IT-Betrieb SOLLTE gew\xE4hrleisten, dass die aktuellen Konfigurationsvorgaben\ - \ stets verf\xFCgbar sind und \xFCber eine Versionierung und eine Beschreibung\ - \ identifizierbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A6 - name: "Durchf\xFChrung des IT-Asset-Managements" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 - ref_id: OPS.1.1.1.A6.1 - description: "Der IT-Betrieb SOLLTE eine \xDCbersicht aller vorhandenen IT-Assets\ - \ erstellen, regelm\xE4\xDFig pr\xFCfen und aktuell halten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 - ref_id: OPS.1.1.1.A6.2 - description: Im IT-Asset-Management (ITAM) SOLLTEN alle produktiven IT-Komponenten, - Test-Instanzen und IT-Komponenten der Reservevorhaltung erfasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 - ref_id: OPS.1.1.1.A6.3 - description: Auch vorhandene, aber nicht mehr genutzte IT-Assets SOLLTEN erfasst - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 - ref_id: OPS.1.1.1.A6.4 - description: "Es SOLLTEN ITAM-Tools eingesetzt werden, die eine zentrale Verwaltung\ - \ der IT-Assets erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A7 - name: "Sicherstellung eines ordnungsgem\xE4\xDFen IT-Betriebs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.1 - description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten Betriebskonzepte\ - \ entwickeln." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.2 - description: "Diese Betriebskonzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ - \ angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.3 - description: Die sicherheitsrelevanten Vorgaben zur Konfiguration SOLLTEN umgesetzt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.4 - description: "Daf\xFCr SOLLTEN die geh\xE4rteten Standard-Konfigurationen genutzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.5 - description: "Der IT-Betrieb SOLLTE f\xFCr alle T\xE4tigkeiten Pr\xFCfkriterien\ - \ festlegen, die in ihrer Gesamtheit als Leitfaden f\xFCr den ordnungsgem\xE4\ - \xDFen IT-Betrieb dienen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.6 - description: "Die Freigabe von installierten oder ge\xE4nderten IT-Komponenten\ - \ in den produktiven Betrieb SOLLTE \xFCber diese Pr\xFCfkriterien nachgewiesen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.7 - description: "Bei Inbetriebnahme und nach Updates oder Umstrukturierungen SOLLTEN\ - \ Systemtests f\xFCr die IT-Komponenten durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.8 - description: "Der IT-Betrieb SOLLTE festlegen, in welcher Umgebung die jeweiligen\ - \ Systemtests mit welcher Testabdeckung und Testtiefe durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.9 - description: "Der IT-Betrieb SOLLTE Vorkehrungen f\xFCr die Ersatzbeschaffung\ - \ von IT-Komponenten treffen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.10 - description: "Hierf\xFCr SOLLTEN eine Reservevorhaltung oder Liefervertr\xE4\ - ge vorgesehen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.11 - description: "Alle T\xE4tigkeiten des IT-Betriebs SOLLTEN umfassend und nachvollziehbar\ - \ erfasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.12 - description: "Hierf\xFCr SOLLTE der IT-Betrieb ein geeignetes Werkzeug wie ein\ - \ Ticketsystem nutzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.13 - description: "Der IT-Betrieb SOLLTE insbesondere die Qualit\xE4t der Betriebsprozesse,\ - \ die Einhaltung von SLAs und die Zufriedenheit der Benutzenden systematisch\ - \ erfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 - ref_id: OPS.1.1.1.A7.14 - description: "Es SOLLTEN regelm\xE4\xDFig Reports erstellt werden, die dem Nachweis\ - \ eines ordnungsgem\xE4\xDFen IT-Betriebs dienen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A8 - name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 - ref_id: OPS.1.1.1.A8.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig und anlassbezogen f\xFC\ - r alle betriebenen IT-Komponenten sowie f\xFCr die Betriebsmittel pr\xFCfen,\ - \ ob die aktuelle Konfiguration dem Sollzustand entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 - ref_id: OPS.1.1.1.A8.2 - description: "Dar\xFCber hinaus SOLLTE gepr\xFCft werden, ob die gelebten Prozesse\ - \ die festgelegten Prozesse des IT-Betriebs umsetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A9 - name: "Durchf\xFChrung von IT-Monitoring" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.1 - description: Alle IT-Komponenten SOLLTEN in ein einheitliches IT-Monitoring - eingebunden werden, das alle relevanten Parameter der IT-Komponenten beinhaltet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.2 - description: "Das IT-Monitoring SOLLTE mit dem \xFCbergeordneten Service-Management\ - \ abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.3 - description: "Der IT-Betrieb SOLLTE das IT-Monitoring entsprechend eines vorher\ - \ festgelegten Monitoring-Plans durchf\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.4 - description: "Je IT-Komponente SOLLTEN angemessene Schwellwerte ermittelt werden,\ - \ die eine Meldung oder einen Alarm ausl\xF6sen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.5 - description: "Der IT-Betrieb SOLLTE f\xFCr das IT-Monitoring spezifizieren,\ - \ welche Meldewege genutzt werden und welche Konsequenzen aus den Meldungen\ - \ oder Alarmen gezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.6 - description: "Auf Basis von Monitoring-Ergebnissen SOLLTE \xFCberpr\xFCft werden,\ - \ ob die Infrastruktur erweitert oder angepasst wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.7 - description: "\xDCber die gewonnenen Erkenntnisse SOLLTEN regelm\xE4\xDFig Reports\ - \ erstellt werden, die das aktuelle Lagebild der betriebenen IT und die zeitliche\ - \ Entwicklung sowie Trends darstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.8 - description: "Die Konzeption des IT-Monitorings SOLLTE regelm\xE4\xDFig und\ - \ anlassbezogen gepr\xFCft und aktualisiert werden, um dem aktuellen Stand\ - \ der Technik und der betriebenen Infrastruktur zu entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 - ref_id: OPS.1.1.1.A9.9 - description: "Die Monitoring-Daten SOLLTEN nur \xFCber sichere Kommunikationswege\ - \ \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A10 - name: "F\xFChren eines Schwachstelleninventars" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.1 - description: "Der IT-Betrieb SOLLTE ein Schwachstelleninventar f\xFChren, in\ - \ dem die Schwachstellen aller betriebenen IT-Komponenten und der Umgang mit\ - \ diesen zentral erfasst und gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.2 - description: Der IT-Betrieb SOLLTE die Behandlung der Schwachstellen initiieren, - nachhalten und sicherstellen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.3 - description: Es SOLLTE ein Prozess definiert werden, der den Umgang mit den - Schwachstellen festlegt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.4 - description: Mindestens SOLLTE spezifiziert werden, - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.5 - description: "\u2022 bis wann ein verf\xFCgbares Update, in dem die Schwachstelle\ - \ behoben ist, zu installieren ist," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.6 - description: "\u2022 in welchen F\xE4llen und bis wann IT-Komponenten mit Schwachstellen\ - \ au\xDFer Betrieb genommen oder ersetzt werden und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 - ref_id: OPS.1.1.1.A10.7 - description: "\u2022 ob und wie solche IT-Komponenten separiert werden, falls\ - \ weder ein Ersatz noch ein Update m\xF6glich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A11 - name: Festlegung und Einhaltung von SLAs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 - ref_id: OPS.1.1.1.A11.1 - description: "F\xFCr alle IT-Komponenten und alle T\xE4tigkeiten SOLLTE der\ - \ IT-Betrieb Service Level Agreements (SLAs) definieren und \xFCberwachen,\ - \ die dem Schutzbedarf der IT-Komponenten entsprechen und innerhalb der Institution\ - \ abgestimmt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 - ref_id: OPS.1.1.1.A11.2 - description: "Die festgelegten SLAs SOLLTEN die Rollen und Berechtigungen sowie\ - \ eventuelle Abh\xE4ngigkeiten der jeweiligen T\xE4tigkeit von anderen Organisationseinheiten\ - \ ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A12 - name: Spezifikation und Umsetzung klarer Betriebsprozesse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.1 - description: "Der IT-Betrieb SOLLTE f\xFCr alle Aufgaben Betriebsprozesse spezifizieren,\ - \ die f\xFCr die jeweilige Aufgabe alle T\xE4tigkeiten und Abh\xE4ngigkeiten\ - \ umfassen und gew\xE4hrleisten, dass die T\xE4tigkeiten des IT-Betriebs nachvollziehbar\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.2 - description: "Es SOLLTE f\xFCr jeden Prozess festgelegt werden, wer den Prozess\ - \ initiieren darf und wer diesen umsetzt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.3 - description: "F\xFCr jeden Prozess SOLLTEN die organisatorischen Schnittstellen\ - \ zu anderen Gruppen des IT-Betriebs oder anderen Organisationseinheiten spezifiziert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.4 - description: "Das Personal des IT-Betriebs SOLLTE f\xFCr die relevanten Betriebsprozesse\ - \ eingewiesen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.5 - description: Wenn Prozesse durchlaufen wurden, SOLLTE dies protokolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.6 - description: Das Ergebnis des Durchlaufs SOLLTE protokolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.7 - description: "F\xFCr jeden Prozessschritt SOLLTE festgelegt werden, ob dokumentiert\ - \ werden muss, dass er bearbeitet wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.8 - description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wann der Prozess erfolgreich\ - \ abgeschlossen ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.9 - description: "Der IT-Betrieb SOLLTE einen Prozess spezifizieren, der grunds\xE4\ - tzlich beschreibt, wie mit Situationen umzugehen ist, die nicht in den regul\xE4\ - ren Betriebsprozessen enthalten sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 - ref_id: OPS.1.1.1.A12.10 - description: Mindestens SOLLTEN Fallback-Prozesse definiert sein und beschrieben - werden, wie bei fehlerhaftem oder manipuliertem Betrieb vorzugehen ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A13 - name: Absicherung der Betriebsmittel und der Dokumentation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - ref_id: OPS.1.1.1.A13.1 - description: "Auf die Betriebsmittel, die Dokumentation und die Betriebshandb\xFC\ - cher SOLLTEN nur berechtigte Personen des IT-Betriebs zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - ref_id: OPS.1.1.1.A13.2 - description: "Der IT-Betrieb SOLLTE sicherstellen, dass die Betriebsmittel und\ - \ die Dokumentation zu jeder Zeit verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - ref_id: OPS.1.1.1.A13.3 - description: "Falls die IT-Systeme und -Anwendungen der Betriebsmittel \xFC\ - ber die produktive Infrastruktur kommunizieren, SOLLTEN sichere Protokolle\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - ref_id: OPS.1.1.1.A13.4 - description: "Vertrauliche Daten SOLLTEN ausschlie\xDFlich \xFCber sichere Protokolle\ - \ \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 - ref_id: OPS.1.1.1.A13.5 - description: Die Betriebsmittel SOLLTEN in das Schwachstellenmanagement und - das IT-Monitoring eingebunden werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A14 - name: "Ber\xFCcksichtigung der Betreibbarkeit bei Konzeption und Beschaffung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 - ref_id: OPS.1.1.1.A14.1 - description: "F\xFCr die IT-Komponenten SOLLTEN Anforderungen f\xFCr einen effizienten\ - \ und sicheren Betrieb bereits bei der Konzeption und der Beschaffung ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 - ref_id: OPS.1.1.1.A14.2 - description: "Hierf\xFCr SOLLTEN die Anforderungen des IT-Betriebs erhoben und\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 - ref_id: OPS.1.1.1.A14.3 - description: "Der IT-Betrieb SOLLTE dabei auch die Komplexit\xE4t der IT ber\xFC\ - cksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A15 - name: Planung und Einsatz von Betriebsmitteln - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - ref_id: OPS.1.1.1.A15.1 - description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten die Betriebsmittel\ - \ bedarfsgerecht planen, beschaffen und einsetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - ref_id: OPS.1.1.1.A15.2 - description: Der IT-Betrieb SOLLTE die Anforderungen an die jeweiligen Betriebsmittel - ermitteln und diese mit den anderen betroffenen Organisationseinheiten der - Institution abstimmen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - ref_id: OPS.1.1.1.A15.3 - description: Die Netze, in denen die Betriebsmittel positioniert sind, SOLLTEN - von den sonstigen Netzen der Institution mindestens logisch getrennt werden - (siehe Baustein NET.1.1 Netzarchitektur und -design). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - ref_id: OPS.1.1.1.A15.4 - description: "Das Netz f\xFCr die Betriebsmittel SOLLTE abh\xE4ngig von Sicherheitsrichtlinie\ - \ und Funktionsabh\xE4ngigkeiten weiter unterteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 - ref_id: OPS.1.1.1.A15.5 - description: "Als Basis f\xFCr die weitere Segmentierung SOLLTEN die unterschiedlichen\ - \ Betriebsgruppen und Zielsysteme verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A16 - name: Schulung des Betriebspersonals - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.1 - description: "F\xFCr den IT-Betrieb SOLLTE durch einen Schulungsplan sichergestellt\ - \ werden, dass f\xFCr alle IT-Komponenten und Betriebsmittel jeweils mehrere\ - \ Personen die erforderlichen F\xE4higkeiten und Qualifikationen besitzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.2 - description: "In den Schulungsma\xDFnahmen SOLLTEN insbesondere die folgenden\ - \ Themen adressiert werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.3 - description: "\u2022 H\xE4rtung und Standard-Konfigurationen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.4 - description: "\u2022 spezifische Sicherheitseinstellungen f\xFCr die betriebenen\ - \ IT-Komponenten und eingesetzten Betriebsmittel" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.5 - description: "\u2022 m\xF6gliche Interferenzen zwischen den genutzten Betriebsmitteln" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 - ref_id: OPS.1.1.1.A16.6 - description: "\u2022 Abh\xE4ngigkeiten und Schnittstellen der Prozesse des IT-Betriebs\ - \ Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFCr entsprechende\ - \ Schulungsma\xDFnahmen des IT-Betriebs eingeplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A17 - name: "Planung des IT-Betriebs unter besonderer Ber\xFCcksichtigung von Mangel-\ - \ und Notsituationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.1 - description: "Der IT-Betrieb SOLLTE f\xFCr die betriebenen IT-Komponenten definieren,\ - \ wann eine Mangel- oder eine Notsituation vorliegt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.2 - description: "F\xFCr diese Situationen SOLLTE nach den Vorgaben des allgemeinen\ - \ Notfallmanagements festgelegt werden, welche IT-Komponenten vorrangig betrieben\ - \ werden oder f\xFCr einen Mindestbetrieb ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.3 - description: 'Die Notfallplanung SOLLTE die folgenden Punkte beinhalten:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.4 - description: "\u2022 Disaster-Recovery-Plan" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.5 - description: "\u2022 Notfallhandbuch f\xFCr die IT-Komponenten unter Einbeziehung\ - \ der gesamten Infrastruktur" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 - ref_id: OPS.1.1.1.A17.6 - description: "\u2022 Umgang mit kritischen und l\xE4ngerfristigen betriebsbehindernden\ - \ St\xF6rungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A18 - name: Planung des Einsatzes von Dienstleistenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 - ref_id: OPS.1.1.1.A18.1 - description: "Der IT-Betrieb SOLLTE den Einsatz von Dienstleistenden koordinieren\ - \ und diese unter anderem \xFCber SLAs so steuern, dass die Dienstleistung\ - \ in ausreichendem Ma\xDFe erbracht wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 - ref_id: OPS.1.1.1.A18.2 - description: "Der Einsatz von verschiedenen Dienstleistenden SOLLTE aufeinander\ - \ abgestimmt werden, insbesondere falls diese f\xFCr den gleichen T\xE4tigkeitsbereich\ - \ vorgesehen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 - ref_id: OPS.1.1.1.A18.3 - description: "F\xFCr solche Situationen SOLLTE jeweils eine eindeutige Kommunikationsschnittstelle\ - \ festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 - ref_id: OPS.1.1.1.A18.4 - description: "Der IT-Betrieb SOLLTE die Festlegungen zum Dienstleistendenmanagement\ - \ sowie die f\xFCr die Dienstleistenden vorgesehenen T\xE4tigkeiten festhalten,\ - \ regelm\xE4\xDFig pr\xFCfen und anpassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A19 - name: "Regelungen f\xFCr Wartungs- und Reparaturarbeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.1 - description: "IT-Komponenten SOLLTEN regelm\xE4\xDFig gewartet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.2 - description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- - und Reparaturarbeiten zu beachten sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.3 - description: "Es SOLLTE festgelegt werden, wer f\xFCr die Wartung oder Reparatur\ - \ von IT-Komponenten zust\xE4ndig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.4 - description: "Durchgef\xFChrte Wartungs- und Reparaturarbeiten SOLLTEN dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.5 - description: "Es SOLLTE sichergestellt werden, dass Wartungs- und Reparaturarbeiten,\ - \ die durch Dritte ausgef\xFChrt werden, mit den Beteiligten abgestimmt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 - ref_id: OPS.1.1.1.A19.6 - description: "Es SOLLTEN interne Mitarbeitende des IT-Betriebs bestimmt werden,\ - \ die solche Arbeiten autorisieren, gegebenenfalls beobachten oder unterst\xFC\ - tzen und abnehmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A20 - name: "Pr\xFCfen auf Schwachstellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig Informationen \xFCber bekannt\ - \ gewordene Schwachstellen bez\xFCglich der IT-Plattformen, Firmware, Betriebssysteme,\ - \ eingesetzter IT-Anwendungen und Dienste einholen, diese f\xFCr die konkreten\ - \ Gegebenheiten analysieren und ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.2 - description: "Die IT-Komponenten SOLLTEN regelm\xE4\xDFig und anlassbezogen\ - \ auf Schwachstellen getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.3 - description: "F\xFCr jede IT-Komponente SOLLTEN die angemessene Test-Abdeckung,\ - \ -Tiefe und -Methode festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.4 - description: Die Tests und identifizierten Schwachstellen SOLLTEN nachvollziehbar - erfasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.5 - description: "Die Schwachstellen SOLLTEN so schnell wie m\xF6glich behoben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.6 - description: "Solange keine entsprechenden Patches zur Verf\xFCgung stehen,\ - \ M\xDCSSEN f\xFCr schwerwiegende Schwachstellen und Bedrohungen andere Ma\xDF\ - nahmen zum Schutz der IT-Komponente getroffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 - ref_id: OPS.1.1.1.A20.7 - description: "Falls dies f\xFCr eine IT-Komponente nicht m\xF6glich ist, SOLLTE\ - \ diese nicht weiter betrieben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A21 - name: Einbinden der Betriebsmittel in das Sicherheitsmonitoring - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 - ref_id: OPS.1.1.1.A21.1 - description: Die IT-Systeme und -Anwendungen, die als Betriebsmittel genutzt - werden, SOLLTEN in ein Sicherheitsmonitoring eingebunden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 - ref_id: OPS.1.1.1.A21.2 - description: "Falls die Institution ein System zur zentralen Detektion und automatisierten\ - \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen einsetzt, SOLLTEN die Betriebsmittel\ - \ darin eingebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 - ref_id: OPS.1.1.1.A21.3 - description: "Betriebsmittel wie IT-Management- und IT-Monitoring-Systeme SOLLTEN\ - \ als Datenquelle f\xFCr das Sicherheitsmonitoring genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A22 - name: Automatisierte Tests auf Schwachstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 - ref_id: OPS.1.1.1.A22.1 - description: "Alle IT-Komponenten SOLLTEN regelm\xE4\xDFig und automatisiert\ - \ auf Schwachstellen getestet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 - ref_id: OPS.1.1.1.A22.2 - description: Die Ergebnisse der Tests SOLLTEN automatisiert protokolliert und - anderen Werkzeugen im Sicherheitsmonitoring bereitgestellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 - ref_id: OPS.1.1.1.A22.3 - description: Bei kritischen Schwachstellen SOLLTE eine automatisierte Alarmierung - erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A23 - name: "Durchf\xFChrung von Penetrationstests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 - ref_id: OPS.1.1.1.A23.1 - description: "F\xFCr alle IT-Komponenten SOLLTEN Penetrationstests durchgef\xFC\ - hrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 - ref_id: OPS.1.1.1.A23.2 - description: "Hierf\xFCr SOLLTE ein Konzept erstellt und umgesetzt werden, das\ - \ neben den zu verwendenden Testmethoden und Testtiefen auch die Erfolgskriterien\ - \ festlegt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A24 - name: Umfassendes Protokollieren der Prozessschritte im IT-Betrieb - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24 - ref_id: OPS.1.1.1.A24.1 - description: "F\xFCr die Betriebsprozesse SOLLTE jeder Prozessschritt nachvollziehbar\ - \ protokolliert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A25 - name: Sicherstellen von autark funktionierenden Betriebsmitteln - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 - ref_id: OPS.1.1.1.A25.1 - description: "F\xFCr die Betriebsmittel SOLLTE sichergestellt werden, dass diese\ - \ auch bei \xE4u\xDFeren St\xF6rungen genutzt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 - ref_id: OPS.1.1.1.A25.2 - description: "Insbesondere SOLLTE eine ausgefallende Internet-Anbindung nicht\ - \ zu einer St\xF6rung der Betriebsmittel f\xFChren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 - ref_id: OPS.1.1.1.A25.3 - description: "Die Betriebsmittel SOLLTEN so konfiguriert und verortet werden,\ - \ dass die Abh\xE4ngigkeiten zwischen den verschiedenen Betriebsmitteln minimiert\ - \ wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 - ref_id: OPS.1.1.1.A25.4 - description: "Es SOLLTE verhindert werden, dass der Ausfall eines Betriebsmittels\ - \ zu einer betriebsverhindernden St\xF6rung eines anderen Betriebsmittels\ - \ f\xFChrt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 - ref_id: OPS.1.1.1.A26 - name: Proaktive Instandhaltung im IT-Betrieb - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 - ref_id: OPS.1.1.1.A26.1 - description: "F\xFCr die IT-Systeme SOLLTE eine proaktive Instandhaltung durchgef\xFC\ - hrt werden, in der in festgelegten Intervallen vorbeugende Instandhaltungsma\xDF\ - nahmen durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 - ref_id: OPS.1.1.1.A26.2 - description: "Erg\xE4nzend zu der regelm\xE4\xDFigen Wartung und der proaktiven\ - \ Instandhaltung SOLLTE je IT-Komponente abgewogen werden, ob eine vorausschauende\ - \ Instandhaltung (engl. Predictive Maintenance) genutzt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.2 - name: "Ordnungsgem\xE4\xDFe IT-Administration" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A2 - name: Vertretungsregelungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 - ref_id: OPS.1.1.2.A2.1 - description: "F\xFCr jede Administrationsaufgabe MUSS eine Vertretung benannt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 - ref_id: OPS.1.1.2.A2.2 - description: "Die Vertretung MUSS \xFCber die notwendigen administrativen Berechtigungen\ - \ (organisatorisch und technisch) verf\xFCgen, um die T\xE4tigkeit durchf\xFC\ - hren zu k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 - ref_id: OPS.1.1.2.A2.3 - description: "Eine benannte Vertretung MUSS \xFCber die im Kontext der Administrationsaufgabe\ - \ notwendigen Kenntnisse verf\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 - ref_id: OPS.1.1.2.A2.4 - description: "Die Regelung der Vertretung MUSS Mangel- und Notfallsituationen\ - \ ber\xFCcksichtigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A4 - name: "Beendigung der T\xE4tigkeit in der IT-Administration" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.1 - description: "Falls eine Person von Administrationsaufgaben entbunden wird,\ - \ M\xDCSSEN ihr alle damit zusammenh\xE4ngenden privilegierten Berechtigungen\ - \ auf organisatorischer und technischer Ebene entzogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.2 - description: "Insbesondere M\xDCSSEN pers\xF6nliche administrative Konten gesperrt\ - \ und Passw\xF6rter aller administrativer Konten ge\xE4ndert werden, die der\ - \ Person bekannt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.3 - description: "Weiterhin M\xDCSSEN alle betroffenen Parteien darauf hingewiesen\ - \ werden, dass diese Person von den entsprechenden Aufgaben entbunden ist\ - \ und daher keine administrativen Berechtigungen mehr haben darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.4 - description: "Es MUSS geregelt werden unter welchen Rahmenbedingungen gepr\xFC\ - ft wird, ob sich zus\xE4tzliche nicht dokumentierte administrative Rechte\ - \ verschafft wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.5 - description: "Diese Pr\xFCfung SOLLTE insbesondere erfolgen, falls die Entscheidung\ - \ eine Person von Administrationsaufgaben zu entbinden nicht im Einvernehmen\ - \ mit der entsprechenden Person getroffen wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 - ref_id: OPS.1.1.2.A4.6 - description: "Falls solche administrativen Rechte gefunden wurden, M\xDCSSEN\ - \ diese wieder entzogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A5 - name: "Nachweisbarkeit von administrativen T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.1 - description: "Administrative T\xE4tigkeiten M\xDCSSEN nachweisbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.2 - description: "Daf\xFCr MUSS mindestens festgehalten werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.3 - description: "\u2022 welche \xC4nderung bei einer T\xE4tigkeit durchgef\xFC\ - hrt wurde," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.4 - description: "\u2022 wer eine T\xE4tigkeit durchgef\xFChrt hat und" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.5 - description: "\u2022 wann eine T\xE4tigkeit durchgef\xFChrt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.6 - description: "Die Institution MUSS jederzeit nachweisen k\xF6nnen, welche Person\ - \ welche administrativen T\xE4tigkeiten durchgef\xFChrt hat." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.7 - description: "Dazu SOLLTEN alle Administrierenden \xFCber eine eigene Zugangskennung\ - \ verf\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.8 - description: Auch Vertretungen von Administrierenden SOLLTEN eigene Zugangskennungen - erhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 - ref_id: OPS.1.1.2.A5.9 - description: "Jeder Anmeldevorgang (Login) \xFCber eine Administrationskennung\ - \ MUSS protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A6 - name: "Schutz administrativer T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 - ref_id: OPS.1.1.2.A6.1 - description: "Administrative Schnittstellen und Funktionen D\xDCRFEN NUR berechtigten\ - \ Personen zur Verf\xFCgung stehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 - ref_id: OPS.1.1.2.A6.2 - description: "F\xFCr diese Schnittstellen und Funktionen M\xDCSSEN geeignete\ - \ Verfahren zur Authentisierung festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 - ref_id: OPS.1.1.2.A6.3 - description: "Es MUSS sichergestellt sein, dass IT-Administrationst\xE4tigkeiten\ - \ nur durchgef\xFChrt werden k\xF6nnen, falls vorher eine dementsprechende\ - \ Authentisierung erfolgt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 - ref_id: OPS.1.1.2.A6.4 - description: "Es MUSS festgelegt werden, welche Protokolle f\xFCr Administrationsschnittstellen\ - \ verwendet werden d\xFCrfen, so dass die bei der Administration stattfindende\ - \ Kommunikation abgesichert ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A7 - name: "Regelung der IT-Administrationst\xE4tigkeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.1 - description: "Jede IT-Administrationst\xE4tigkeit SOLLTE einer klar definierten\ - \ Aufgabe zugeordnet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.2 - description: "F\xFCr diese Aufgaben SOLLTE geregelt werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.3 - description: "\u2022 durch wen diese Aufgabe ausgef\xFChrt werden darf und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.4 - description: "\u2022 durch wen diese Aufgabe beauftragt werden darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.5 - description: "Es SOLLTE nachvollziehbar sein, in welchen Prozessen sich Administrationsaufgaben\ - \ einf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.6 - description: "IT-Administrationst\xE4tigkeiten SOLLTEN nur mit denjenigen Berechtigungen\ - \ durchgef\xFChrt werden, die zur Erf\xFCllung der entsprechenden Aufgabe\ - \ notwendig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.7 - description: "Es SOLLTE festgelegt werden, wie IT-Administrationst\xE4tigkeiten\ - \ auszuf\xFChren sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.8 - description: "Die Regelungen f\xFCr IT-Administrationst\xE4tigkeiten SOLLTEN\ - \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCft und aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 - ref_id: OPS.1.1.2.A7.9 - description: "F\xFCr jede IT-Administrationst\xE4tigkeit SOLLTE sichergestellt\ - \ werden, dass diese bei Bedarf auch im Notfall ausgef\xFChrt werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A8 - name: Administration von Fachanwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 - ref_id: OPS.1.1.2.A8.1 - description: "Es SOLLTE geregelt und dokumentiert werden, welche Administrationsaufgaben\ - \ f\xFCr Fachanwendungen vom IT-Betrieb und welche durch die Fachadministration\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 - ref_id: OPS.1.1.2.A8.2 - description: "F\xFCr Fachanwendungen SOLLTE identifiziert werden, welche Zugriffe\ - \ der IT-Betrieb auf Systemebene ben\xF6tigt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 - ref_id: OPS.1.1.2.A8.3 - description: "Alle Schnittstellen und Abh\xE4ngigkeiten zwischen der Fachadministration\ - \ und der Administration durch den IT-Betrieb SOLLTEN identifiziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 - ref_id: OPS.1.1.2.A8.4 - description: "Immer wenn Administrationsprozesse erstellt und gepflegt werden,\ - \ SOLLTEN die Zust\xE4ndigkeiten und Abh\xE4ngigkeiten dieser Schnittstellen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A11 - name: "Dokumentation von IT-Administrationst\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.1 - description: "Durchgef\xFChrte IT-Administrationst\xE4tigkeiten SOLLTEN nachvollziehbar\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.2 - description: "Es SOLLTE gepr\xFCft werden, welche grunds\xE4tzlichen Anforderungen\ - \ an die Dokumentation der IT-Administrationst\xE4tigkeiten existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.3 - description: Es SOLLTE identifiziert werden, welche Ziele mit der Dokumentation - erreicht werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.4 - description: Aufgrund dieser Anforderungen und Ziele SOLLTE verbindlich festgelegt - werden, welche Schritte in welchem Detailierungsgrad dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.5 - description: Aus der Dokumentation SOLLTE mindestens hervorgehen, - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.6 - description: "\u2022 welche \xC4nderungen erfolgten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.7 - description: "\u2022 wann die \xC4nderungen erfolgten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.8 - description: "\u2022 wer die \xC4nderungen durchgef\xFChrt hat," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.9 - description: "\u2022 auf welcher Grundlage bzw. aus welchem Anlass die \xC4\ - nderungen erfolgt sind und" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.10 - description: "\u2022 inwiefern und aus welchem Grund gegebenenfalls von vorgegebenen\ - \ Standards oder Konfigurationen abgewichen wurde." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.11 - description: "Dokumentation im Kontext einer IT-Administrationst\xE4tigkeit\ - \ SOLLTE in Standard-Arbeitsabl\xE4ufen enthalten sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.12 - description: "Es SOLLTE geregelt werden, welche M\xF6glichkeiten zu nutzen sind,\ - \ falls IT-Administrationst\xE4tigkeiten au\xDFerplanm\xE4\xDFig durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.13 - description: "Es SOLLTE identifiziert werden, unter welchen Umst\xE4nden ein\ - \ Zugriff auf die Dokumentation notwendig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 - ref_id: OPS.1.1.2.A11.14 - description: "Der Zugriff SOLLTE dementsprechend gew\xE4hrleistet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A16 - name: "Erweiterte Sicherheitsma\xDFnahmen f\xFCr Administrationszug\xE4nge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 - ref_id: OPS.1.1.2.A16.1 - description: "Der Zugang zu administrativen Oberfl\xE4chen und Schnittstellen\ - \ SOLLTE auf IT-Systeme, die zur IT-Administration verwendet werden, beschr\xE4\ - nkt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 - ref_id: OPS.1.1.2.A16.2 - description: "Daher SOLLTEN Netze, die zur IT-Administration verwendet werden,\ - \ durch Filter- und Segmentierungsma\xDFnahmen von produktiven Netzen zu administrierender\ - \ Komponenten getrennt werden (Out-of-Band-Management)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 - ref_id: OPS.1.1.2.A16.3 - description: "Wo kein Out-of-Band-Management m\xF6glich ist, SOLLTEN Software-Schnittstellen\ - \ und physische Schnittstellen zur IT-Administration durch zus\xE4tzliche\ - \ Ma\xDFnahmen abgesichert werden und nur f\xFCr Personen erreichbar sein,\ - \ die f\xFCr deren Nutzung berechtigt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 - ref_id: OPS.1.1.2.A16.4 - description: Hierzu SOLLTE eine Zwei-Faktor-Authentisierung verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A17 - name: IT-Administration im Vier-Augen-Prinzip - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 - ref_id: OPS.1.1.2.A17.1 - description: "Es SOLLTE geregelt werden, welche Administrationsaufgaben eine\ - \ zus\xE4tzliche Person erfordern, die die Ausf\xFChrung \xFCberwacht." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 - ref_id: OPS.1.1.2.A17.2 - description: "Diese Person SOLLTE im Kontext der durchzuf\xFChrenden IT-Administrationst\xE4\ - tigkeiten auch \xFCber die zur Ausf\xFChrung notwendigen Qualifikationen verf\xFC\ - gen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A18 - name: "Durchg\xE4ngige Protokollierung administrativer T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 - ref_id: OPS.1.1.2.A18.1 - description: "Bei IT-Komponenten mit hohem Schutzbedarf SOLLTEN alle administrativen\ - \ T\xE4tigkeiten in s\xE4mtlichen Bereichen protokolliert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 - ref_id: OPS.1.1.2.A18.2 - description: "Dabei SOLLTE jede administrative Aktion vollst\xE4ndig nachvollzogen\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 - ref_id: OPS.1.1.2.A18.3 - description: "Die ausf\xFChrenden Administrierenden SOLLTEN keinen Einfluss\ - \ auf Art und Umfang der Protokollierung nehmen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A19 - name: "Nutzung hochverf\xFCgbarer IT-Administrationswerkzeuge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 - ref_id: OPS.1.1.2.A19.1 - description: Administrationswerkzeuge SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 - ref_id: OPS.1.1.2.A19.2 - description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall weiterhin\ - \ alle Administrationsaufgaben ohne wesentliche Einschr\xE4nkungen ausgef\xFC\ - hrt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A21 - name: Regelung der IT-Administrationsrollen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 - ref_id: OPS.1.1.2.A21.1 - description: "Es M\xDCSSEN Rollen definiert werden, die ausschlie\xDFlich zur\ - \ IT-Administration vergeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 - ref_id: OPS.1.1.2.A21.2 - description: "Administrationsrollen M\xDCSSEN aufgrund des tats\xE4chlichen\ - \ Bedarfs im Aufgabenbereich der IT-Administration nachvollziehbar vergeben\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 - ref_id: OPS.1.1.2.A21.3 - description: "Alle notwendigen IT-Administrationst\xE4tigkeiten M\xDCSSEN durch\ - \ Berechtigungen in den Administrationsrollen nach dem Minimalprinzip abgedeckt\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 - ref_id: OPS.1.1.2.A21.4 - description: "Die IT-Administration unterschiedlicher Ebenen der IT-Komponenten,\ - \ z. B. die Trennung von Betriebssystem- und Anwendungsadministration, MUSS\ - \ bei der Konzeption der Administrationsrollen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A22 - name: "Trennung von administrativen und anderen T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.1 - description: "Die durchf\xFChrende Person MUSS wissen, bei welchem Teil ihrer\ - \ Aufgabe es sich um administrative T\xE4tigkeiten handelt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.2 - description: "Aufgaben, die keine Administrationsrechte ben\xF6tigen, D\xDC\ - RFEN NICHT mit Administrationsrechten ausgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.3 - description: Es MUSS sichergestellt werden, dass Administrationswerkzeuge klar - als solche erkennbar sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.4 - description: "Wenn eine Anwendung zur Erf\xFCllung einer Administrationsaufgabe\ - \ benutzt wird, DARF NICHT dieselbe Instanz dieser Anwendung f\xFCr andere\ - \ Aufgaben verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.5 - description: Dies SOLLTE auf technischer Ebene sichergestellt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 - ref_id: OPS.1.1.2.A22.6 - description: Die Zugangskennungen, die zur IT-Administration genutzt werden, - SOLLTEN sich von Zugangskennungen unterscheiden, die in anderem Kontext genutzt - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A23 - name: "Rollen- und Berechtigungskonzept f\xFCr administrative Zugriffe" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.1 - description: "Es SOLLTE ein angemessenes Rollen- und Berechtigungskonzept f\xFC\ - r administrative Zugriffe existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.2 - description: "Darin SOLLTEN grunds\xE4tzliche Vorgaben gemacht werden, mindestens\ - \ dar\xFCber," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.3 - description: "\u2022 wie Administrationsrollen beantragt und zugewiesen werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.4 - description: "\u2022 welche Arten von Administrationsrollen existieren," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.5 - description: "\u2022 welche Arten von Berechtigungen im Kontext der Administrationsrollen\ - \ vergeben werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 - ref_id: OPS.1.1.2.A23.6 - description: "\u2022 wie f\xFCr die IT-Administration notwendige Berechtigungen\ - \ vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A24 - name: "Pr\xFCfen von IT-Administrationst\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - ref_id: OPS.1.1.2.A24.1 - description: "Bevor eine IT-Administrationst\xE4tigkeit durchgef\xFChrt wird,\ - \ SOLLTE gepr\xFCft werden, ob der Anlass und die Art der T\xE4tigkeit im\ - \ Kontext der zugrundeliegenden Aufgabe plausibel sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - ref_id: OPS.1.1.2.A24.2 - description: "Nachdem eine IT-Administrationst\xE4tigkeit an einer Komponente\ - \ durchgef\xFChrt wurde, SOLLTE gepr\xFCft werden, ob die Konfiguration und\ - \ der Status der Komponente dem gew\xFCnschten Zielzustand entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - ref_id: OPS.1.1.2.A24.3 - description: "Falls eine zus\xE4tzliche Qualit\xE4tssicherung der ausgef\xFC\ - hrten Administrationsaufgabe notwendig ist, SOLLTE diese nicht durch dieselbe\ - \ Person durchgef\xFChrt werden, die die entsprechenden T\xE4tigkeiten durchgef\xFC\ - hrt hat." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - ref_id: OPS.1.1.2.A24.4 - description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ - \ Folgen SOLLTE gepr\xFCft werden, ob diese T\xE4tigkeiten die Verf\xFCgbarkeit\ - \ der IT-Administration selbst einschr\xE4nken k\xF6nnten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 - ref_id: OPS.1.1.2.A24.5 - description: "In diesem Fall SOLLTEN entsprechende Vorkehrungen getroffen werden,\ - \ um einen Rollback der IT-Administrationst\xE4tigkeiten zu erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A25 - name: "Zeitfenster f\xFCr schwerwiegende IT-Administrationst\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 - ref_id: OPS.1.1.2.A25.1 - description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ - \ Folgen SOLLTEN durch den IT-Betrieb Wartungsfenster abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 - ref_id: OPS.1.1.2.A25.2 - description: "Falls der IT-Betrieb f\xFCr IT-Administrationst\xE4tigkeiten Vorgaben\ - \ zu Zeitfenstern macht, M\xDCSSEN diese eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A26 - name: Backup der Konfiguration - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 - ref_id: OPS.1.1.2.A26.1 - description: "Alle Konfigurationen SOLLTEN durch regelm\xE4\xDFige Backups auf\ - \ Anwendungsebene und auf IT-Systemebene gesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 - ref_id: OPS.1.1.2.A26.2 - description: "Vor IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ - \ Folgen SOLLTE ein zus\xE4tzliches Backup gemacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 - ref_id: OPS.1.1.2.A26.3 - description: "F\xFCr Backups SOLLTE gew\xE4hrleistet sein, dass sie im Fehlerfall\ - \ wieder eingespielt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A27 - name: "Ersatz f\xFCr zentrale IT-Administrationswerkzeuge" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 - ref_id: OPS.1.1.2.A27.1 - description: "F\xFCr zentrale IT-Administrationswerkzeuge SOLLTEN Alternativen\ - \ zur Verf\xFCgung stehen, mit denen im Bedarfsfall administriert werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 - ref_id: OPS.1.1.2.A27.2 - description: "Hierzu SOLLTEN Sprungsysteme mit Zugriff auf entsprechende Administrationsnetze\ - \ zur Verf\xFCgung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 - ref_id: OPS.1.1.2.A27.3 - description: "Falls solche Alternativen nicht zur Verf\xFCgung stehen, SOLLTE\ - \ zur IT-Administration der Zugang und der direkte Zugriff auf die zu administrierende\ - \ IT m\xF6glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A28 - name: "Protokollierung administrativer T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 - ref_id: OPS.1.1.2.A28.1 - description: "Administrative T\xE4tigkeiten SOLLTEN protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 - ref_id: OPS.1.1.2.A28.2 - description: "Die Protokolldateien SOLLTEN f\xFCr eine angemessene Zeitdauer\ - \ gesch\xFCtzt aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 - ref_id: OPS.1.1.2.A28.3 - description: "Die ausf\xFChrenden Administrierenden SOLLTEN keine M\xF6glichkeiten\ - \ haben, die aufgezeichneten Protokolldateien zu ver\xE4ndern oder zu l\xF6\ - schen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 - ref_id: OPS.1.1.2.A28.4 - description: "Protokolldaten SOLLTEN regelm\xE4\xDFig gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A29 - name: Monitoring der IT-Administrationswerkzeuge - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 - ref_id: OPS.1.1.2.A29.1 - description: "F\xFCr IT-Administrationswerkzeuge SOLLTEN Kenngr\xF6\xDFen zur\ - \ Verf\xFCgbarkeit identifiziert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 - ref_id: OPS.1.1.2.A29.2 - description: "Diese Kenngr\xF6\xDFen SOLLTEN kontinuierlich \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 - ref_id: OPS.1.1.2.A29.3 - description: "Es SOLLTEN tolerierbare Grenzwerte dieser Kenngr\xF6\xDFen festgelegt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 - ref_id: OPS.1.1.2.A29.4 - description: "Werden diese nicht eingehalten, SOLLTEN die zust\xE4ndigen Teams\ - \ automatisch benachrichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 - ref_id: OPS.1.1.2.A30 - name: "Sicherheitsmonitoring administrativer T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 - ref_id: OPS.1.1.2.A30.1 - description: "Falls ein IT-System zur zentralen Detektion und automatisierten\ - \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen genutzt wird, SOLLTEN dort\ - \ Ereignisdaten zu administrativen T\xE4tigkeiten ausgewertet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 - ref_id: OPS.1.1.2.A30.2 - description: Hierzu SOLLTEN bestehende Monitoring-Systeme der IT sowie kritische - Administrationswerkzeuge in dieses IT-System eingebunden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.3 - name: "Patch- und \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A1 - name: "Konzept f\xFCr das Patch- und \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.1 - description: "Wenn IT-Komponenten, Software oder Konfigurationsdaten ge\xE4\ - ndert werden, MUSS es daf\xFCr Vorgaben geben, die auch Sicherheitsaspekte\ - \ ber\xFCcksichtigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.2 - description: "Diese M\xDCSSEN in einem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ - \ festgehalten und befolgt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.3 - description: "Alle Patches und \xC4nderungen M\xDCSSEN geeignet geplant, genehmigt\ - \ und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.4 - description: "Patches und \xC4nderungen SOLLTEN vorab geeignet getestet werden\ - \ (siehe hierzu auch OPS.1.1.6 Software-Tests und Freigaben)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.5 - description: "Wenn Patches installiert und \xC4nderungen durchgef\xFChrt werden,\ - \ M\xDCSSEN R\xFCckfall-L\xF6sungen vorhanden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.6 - description: "Bei gr\xF6\xDFeren \xC4nderungen MUSS zudem der oder die ISB beteiligt\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.7 - description: "Insgesamt MUSS sichergestellt werden, dass das angestrebte Sicherheitsniveau\ - \ w\xE4hrend und nach den \xC4nderungen erhalten bleibt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 - ref_id: OPS.1.1.3.A1.8 - description: "Insbesondere SOLLTEN auch die gew\xFCnschten Sicherheitseinstellungen\ - \ erhalten bleiben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A2 - name: "Festlegung der Zust\xE4ndigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 - ref_id: OPS.1.1.3.A2.1 - description: "F\xFCr alle Organisationsbereiche M\xDCSSEN Zust\xE4ndige f\xFC\ - r das Patch- und \xC4nderungsmanagement festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 - ref_id: OPS.1.1.3.A2.2 - description: "Die definierten Zust\xE4ndigkeiten M\xDCSSEN sich auch im Berechtigungskonzept\ - \ widerspiegeln." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A3 - name: Konfiguration von Autoupdate-Mechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 - ref_id: OPS.1.1.3.A3.1 - description: "Innerhalb der Strategie zum Patch- und \xC4nderungsmanagement\ - \ MUSS definiert werden, wie mit integrierten Update-Mechanismen (Autoupdate)\ - \ der eingesetzten Software umzugehen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 - ref_id: OPS.1.1.3.A3.2 - description: Insbesondere MUSS festgelegt werden, wie diese Mechanismen abgesichert - und passend konfiguriert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 - ref_id: OPS.1.1.3.A3.3 - description: "Au\xDFerdem SOLLTEN neue Komponenten daraufhin \xFCberpr\xFCft\ - \ werden, welche Update-Mechanismen sie haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A5 - name: "Umgang mit \xC4nderungsanforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 - ref_id: OPS.1.1.3.A5.1 - description: "Alle \xC4nderungsanforderungen (Request for Changes, RfCs) SOLLTEN\ - \ erfasst und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 - ref_id: OPS.1.1.3.A5.2 - description: "Die \xC4nderungsanforderungen SOLLTEN von den jeweiligen Fachverantwortlichen\ - \ f\xFCr das Patch- und \xC4nderungsmanagement daraufhin kontrolliert werden,\ - \ ob die Aspekte der Informationssicherheit ausreichend ber\xFCcksichtigt\ - \ wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A6 - name: "Abstimmung von \xC4nderungsanforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 - ref_id: OPS.1.1.3.A6.1 - description: "Der zu einer \xC4nderung zugeh\xF6rige Abstimmungsprozess SOLLTE\ - \ alle relevanten Zielgruppen und die Auswirkungen auf die Informationssicherheit\ - \ ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 - ref_id: OPS.1.1.3.A6.2 - description: "Die von der \xC4nderung betroffenen Zielgruppen SOLLTEN sich nachweisbar\ - \ dazu \xE4u\xDFern k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 - ref_id: OPS.1.1.3.A6.3 - description: "Auch SOLLTE es ein festgelegtes Verfahren geben, wodurch wichtige\ - \ \xC4nderungsanforderungen beschleunigt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A7 - name: "Integration des \xC4nderungsmanagements in die Gesch\xE4ftsprozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - ref_id: OPS.1.1.3.A7.1 - description: "Der \xC4nderungsmanagementprozess SOLLTE in die Gesch\xE4ftsprozesse\ - \ beziehungsweise Fachaufgaben integriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - ref_id: OPS.1.1.3.A7.2 - description: "Bei geplanten \xC4nderungen SOLLTE die aktuelle Situation der\ - \ davon betroffenen Gesch\xE4ftsprozesse ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - ref_id: OPS.1.1.3.A7.3 - description: "Alle relevanten Fachabteilungen SOLLTEN \xFCber anstehende \xC4\ - nderungen informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - ref_id: OPS.1.1.3.A7.4 - description: "Auch SOLLTE es eine Eskalationsebene geben, deren Mitglieder der\ - \ Leitungsebene der Institution angeh\xF6ren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 - ref_id: OPS.1.1.3.A7.5 - description: "Die Mitglieder dieser Eskalationsebene SOLLTEN in Zweifelsf\xE4\ - llen \xFCber Priorit\xE4t und Terminplanung einer Hard- oder Software-\xC4\ - nderung entscheiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A8 - name: "Sicherer Einsatz von Werkzeugen f\xFCr das Patch- und \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 - ref_id: OPS.1.1.3.A8.1 - description: "Anforderungen und Rahmenbedingungen SOLLTEN definiert werden,\ - \ nach denen Werkzeuge f\xFCr das Patch- und \xC4nderungsmanagement ausgew\xE4\ - hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 - ref_id: OPS.1.1.3.A8.2 - description: "Au\xDFerdem SOLLTE eine spezifische Sicherheitsrichtlinie f\xFC\ - r die eingesetzten Werkzeuge erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A9 - name: "Test- und Abnahmeverfahren f\xFCr neue Hardware" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.1 - description: "Wenn neue Hardware ausgew\xE4hlt wird, SOLLTE gepr\xFCft werden,\ - \ ob die eingesetzte Software und insbesondere die relevanten Betriebssysteme\ - \ mit der Hardware und deren Treibersoftware kompatibel sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.2 - description: Neue Hardware SOLLTE getestet werden, bevor sie eingesetzt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.3 - description: "Diese SOLLTE ausschlie\xDFlich in einer isolierten Umgebung getestet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.4 - description: "F\xFCr IT-Systeme SOLLTE es ein Abnahmeverfahren und eine Freigabeerkl\xE4\ - rung geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.5 - description: "Die Zust\xE4ndigen SOLLTEN die Freigabeerkl\xE4rungen an geeigneter\ - \ Stelle schriftlich hinterlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 - ref_id: OPS.1.1.3.A9.6 - description: "F\xFCr den Fall, dass trotz der Abnahme- und Freigabeverfahren\ - \ im laufenden Betrieb Fehler festgestellt werden, SOLLTE es ein Verfahren\ - \ zur Fehlerbehebung geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A10 - name: "Sicherstellung der Integrit\xE4t und Authentizit\xE4t von Softwarepaketen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - ref_id: OPS.1.1.3.A10.1 - description: "W\xE4hrend des gesamten Patch- oder \xC4nderungsprozesses SOLLTE\ - \ die Authentizit\xE4t und Integrit\xE4t von Softwarepaketen sichergestellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - ref_id: OPS.1.1.3.A10.2 - description: "Dazu SOLLTE gepr\xFCft werden, ob f\xFCr die eingesetzten Softwarepakete\ - \ Pr\xFCfsummen oder digitale Signaturen verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - ref_id: OPS.1.1.3.A10.3 - description: "Falls ja, SOLLTEN diese vor der Installation des Pakets \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - ref_id: OPS.1.1.3.A10.4 - description: "Ebenso SOLLTE darauf geachtet werden, dass die notwendigen Programme\ - \ zur \xDCberpr\xFCfung vorhanden sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 - ref_id: OPS.1.1.3.A10.5 - description: "Software und Updates SOLLTEN grunds\xE4tzlich nur aus vertrauensw\xFC\ - rdigen Quellen bezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A11 - name: Kontinuierliche Dokumentation der Informationsverarbeitung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 - ref_id: OPS.1.1.3.A11.1 - description: "\xC4nderungen SOLLTEN in allen Phasen, allen Anwendungen und allen\ - \ Systemen dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 - ref_id: OPS.1.1.3.A11.2 - description: Dazu SOLLTEN entsprechende Regelungen erarbeitet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A12 - name: "Einsatz von Werkzeugen beim \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 - ref_id: OPS.1.1.3.A12.1 - description: "Bevor ein Werkzeug zum \xC4nderungsmanagement benutzt wird, SOLLTE\ - \ sorgf\xE4ltig gepr\xFCft werden, ob damit die \xC4nderungen angemessen im\ - \ Informationsverbund verteilt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 - ref_id: OPS.1.1.3.A12.2 - description: "Zus\xE4tzlich SOLLTEN Unterbrechungspunkte definiert werden k\xF6\ - nnen, an denen die Verteilung einer fehlerhaften \xC4nderung gestoppt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A13 - name: "Erfolgsmessung von \xC4nderungsanforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 - ref_id: OPS.1.1.3.A13.1 - description: "Um zu \xFCberpr\xFCfen, ob eine \xC4nderung erfolgreich war, SOLLTEN\ - \ die jeweiligen Fachverantwortlichen f\xFCr das Patch- und \xC4nderungsmanagement\ - \ sogenannte Nachtests durchf\xFChren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 - ref_id: OPS.1.1.3.A13.2 - description: "Dazu SOLLTEN sie geeignete Referenzsysteme als Qualit\xE4tssicherungssysteme\ - \ ausw\xE4hlen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 - ref_id: OPS.1.1.3.A13.3 - description: "Die Ergebnisse der Nachtests SOLLTEN im Rahmen des \xC4nderungsprozesses\ - \ dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A14 - name: "Synchronisierung innerhalb des \xC4nderungsmanagements" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14 - ref_id: OPS.1.1.3.A14.1 - description: "Im \xC4nderungsmanagementprozess SOLLTE durch geeignete Mechanismen\ - \ sichergestellt werden, dass auch zeitweise oder l\xE4ngerfristig nicht erreichbare\ - \ Ger\xE4te die Patches und \xC4nderungen erhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 - ref_id: OPS.1.1.3.A15 - name: "Regelm\xE4\xDFige Aktualisierung von IT-Systemen und Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.1 - description: "IT-Systeme und Software SOLLTEN regelm\xE4\xDFig aktualisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.2 - description: "Grunds\xE4tzlich SOLLTEN Patches zeitnah nach Ver\xF6ffentlichung\ - \ eingespielt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.3 - description: "Basierend auf dem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ - \ M\xDCSSEN Patches zeitnah nach Ver\xF6ffentlichung bewertet und entsprechend\ - \ priorisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.4 - description: "F\xFCr die Bewertung SOLLTE gepr\xFCft werden, ob es zu diesem\ - \ Patch bekannte Schwachstellen gibt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.5 - description: Es MUSS entschieden werden, ob der Patch eingespielt werden soll. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.6 - description: Wenn ein Patch eingespielt wird, SOLLTE kontrolliert werden, ob - dieser auf allen relevanten Systemen zeitnah erfolgreich eingespielt wurde. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.7 - description: "Wenn ein Patch nicht eingespielt wird, M\xDCSSEN die Entscheidung\ - \ und die Gr\xFCnde daf\xFCr dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.8 - description: "Falls Hardware- oder Software-Produkte eingesetzt werden sollen,\ - \ die nicht mehr von den Herstellenden unterst\xFCtzt werden oder f\xFCr die\ - \ kein Support mehr vorhanden ist, MUSS gepr\xFCft werden, ob diese dennoch\ - \ sicher betrieben werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 - ref_id: OPS.1.1.3.A15.9 - description: "Ist dies nicht der Fall, D\xDCRFEN diese Hardware- oder Software-Produkte\ - \ NICHT mehr verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.4 - name: Schutz vor Schadprogrammen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A1 - name: "Erstellung eines Konzepts f\xFCr den Schutz vor Schadprogrammen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - ref_id: OPS.1.1.4.A1.1 - description: "Es MUSS ein Konzept erstellt werden, das beschreibt, welche IT-Systeme\ - \ vor Schadprogrammen gesch\xFCtzt werden m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - ref_id: OPS.1.1.4.A1.2 - description: "Hierbei M\xDCSSEN auch IoT-Ger\xE4te und Produktionssysteme ber\xFC\ - cksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - ref_id: OPS.1.1.4.A1.3 - description: "Au\xDFerdem MUSS festgehalten werden, wie der Schutz zu erfolgen\ - \ hat." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - ref_id: OPS.1.1.4.A1.4 - description: "Ist kein verl\xE4sslicher Schutz m\xF6glich, so SOLLTEN die identifizierten\ - \ IT-Systeme NICHT betrieben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 - ref_id: OPS.1.1.4.A1.5 - description: Das Konzept SOLLTE nachvollziehbar dokumentiert und aktuell gehalten - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A2 - name: Nutzung systemspezifischer Schutzmechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 - ref_id: OPS.1.1.4.A2.1 - description: "Es MUSS gepr\xFCft werden, welche Schutzmechanismen die verwendeten\ - \ IT-Systeme sowie die darauf genutzten Betriebssysteme und Anwendungen bieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 - ref_id: OPS.1.1.4.A2.2 - description: "Diese Mechanismen M\xDCSSEN genutzt werden, sofern es keinen mindestens\ - \ gleichwertigen Ersatz gibt oder gute Gr\xFCnde dagegen sprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 - ref_id: OPS.1.1.4.A2.3 - description: "Werden sie nicht genutzt, MUSS dies begr\xFCndet und dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A3 - name: Auswahl eines Virenschutzprogrammes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.1 - description: "Abh\xE4ngig vom verwendeten Betriebssystem, anderen vorhandenen\ - \ Schutzmechanismen sowie der Verf\xFCgbarkeit geeigneter Virenschutzprogramme\ - \ MUSS f\xFCr den konkreten Einsatzzweck ein entsprechendes Schutzprogramm\ - \ ausgew\xE4hlt und installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.2 - description: "F\xFCr Gateways und IT-Systeme, die dem Datenaustausch dienen,\ - \ MUSS ein geeignetes Virenschutzprogramm ausgew\xE4hlt und installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.3 - description: "Es D\xDCRFEN NUR Produkte f\xFCr den Enterprise-Bereich mit auf\ - \ die Institution zugeschnittenen Service- und Supportleistungen eingesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.4 - description: "Produkte f\xFCr die reine Heimanwendung oder Produkte ohne Support\ - \ D\xDCRFEN NICHT im professionellen Wirkbetrieb eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.5 - description: Cloud-Dienste zur Verbesserung der Detektionsleistung der Virenschutzprogramme - SOLLTEN genutzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.6 - description: Falls Cloud-Funktionen solcher Produkte verwendet werden, MUSS - sichergestellt werden, dass dies nicht im Widerspruch zum Daten- oder Geheimschutz - steht. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 - ref_id: OPS.1.1.4.A3.7 - description: "Neben Echtzeit- und On-Demand-Scans MUSS eine eingesetzte L\xF6\ - sung die M\xF6glichkeit bieten, auch komprimierte Daten nach Schadprogrammen\ - \ zu durchsuchen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A5 - name: Betrieb und Konfiguration von Virenschutzprogrammen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - ref_id: OPS.1.1.4.A5.1 - description: "Das Virenschutzprogramm MUSS f\xFCr seine Einsatzumgebung geeignet\ - \ konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - ref_id: OPS.1.1.4.A5.2 - description: "Die Erkennungsleistung SOLLTE dabei im Vordergrund stehen, sofern\ - \ nicht Datenschutz- oder Leistungsgr\xFCnde im jeweiligen Einzelfall dagegen\ - \ sprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - ref_id: OPS.1.1.4.A5.3 - description: "Wenn sicherheitsrelevante Funktionen des Virenschutzprogramms\ - \ nicht genutzt werden, SOLLTE dies begr\xFCndet und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - ref_id: OPS.1.1.4.A5.4 - description: "Bei Schutzprogrammen, die speziell f\xFCr die Desktop-Virtualisierung\ - \ optimiert sind, SOLLTE nachvollziehbar dokumentiert sein, ob auf bestimmte\ - \ Detektionsverfahren zugunsten der Leistung verzichtet wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 - ref_id: OPS.1.1.4.A5.5 - description: "Es MUSS sichergestellt werden, dass die Benutzenden keine sicherheitsrelevanten\ - \ \xC4nderungen an den Einstellungen der Antivirenprogramme vornehmen k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A6 - name: "Regelm\xE4\xDFige Aktualisierung der eingesetzten Virenschutzprogramme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6 - ref_id: OPS.1.1.4.A6.1 - description: "Auf den damit ausgestatteten IT-Systemen M\xDCSSEN die Virenschutzprogramme\ - \ nach Empfehlung der herstellenden Institution regelm\xE4\xDFig und zeitnah\ - \ aktualisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A7 - name: Sensibilisierung und Verpflichtung der Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - ref_id: OPS.1.1.4.A7.1 - description: "Benutzende M\xDCSSEN regelm\xE4\xDFig \xFCber die Bedrohung durch\ - \ Schadprogramme aufgekl\xE4rt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - ref_id: OPS.1.1.4.A7.2 - description: "Sie M\xDCSSEN die grundlegenden Verhaltensregeln einhalten, um\ - \ die Gefahr eines Befalls durch Schadprogramme zu reduzieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - ref_id: OPS.1.1.4.A7.3 - description: "Dateien, E-Mails, Webseiten usw. aus nicht vertrauensw\xFCrdigen\ - \ Quellen SOLLTEN NICHT ge\xF6ffnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - ref_id: OPS.1.1.4.A7.4 - description: "Sie M\xDCSSEN entsprechenden Kontaktpersonen f\xFCr den Fall eines\ - \ Verdacht auf eine Infektion mit einem Schadprogramm bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 - ref_id: OPS.1.1.4.A7.5 - description: "Sie M\xDCSSEN sich an die ihnen benannten Kontaktpersonen wenden,\ - \ wenn der Verdacht auf eine Infektion mit einem Schadprogramm besteht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A9 - name: Meldung von Infektionen mit Schadprogrammen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - ref_id: OPS.1.1.4.A9.1 - description: Das eingesetzte Virenschutzprogramm SOLLTE eine Infektion mit einem - Schadprogramm automatisch blockieren und melden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - ref_id: OPS.1.1.4.A9.2 - description: Die automatische Meldung SOLLTE an einer zentralen Stelle angenommen - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - ref_id: OPS.1.1.4.A9.3 - description: "Dabei SOLLTEN die zust\xE4ndigen Mitarbeitenden je nach Sachlage\ - \ \xFCber das weitere Vorgehen entscheiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - ref_id: OPS.1.1.4.A9.4 - description: Das Vorgehen bei Meldungen und Alarmen der Virenschutzprogramme - SOLLTE geplant, dokumentiert und getestet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 - ref_id: OPS.1.1.4.A9.5 - description: "Es SOLLTE insbesondere geregelt sein, was im Falle einer best\xE4\ - tigten Infektion geschehen soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A10 - name: Nutzung spezieller Analyseumgebungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10 - ref_id: OPS.1.1.4.A10.1 - description: "Automatisierte Analysen in einer speziellen Testumgebung (basierend\ - \ auf Sandboxen bzw. separaten virtuellen oder physischen Systemen) SOLLTEN\ - \ f\xFCr eine Bewertung von verd\xE4chtigen Dateien erg\xE4nzend herangezogen\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A11 - name: Einsatz mehrerer Scan-Engines - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11 - ref_id: OPS.1.1.4.A11.1 - description: "Zur Verbesserung der Erkennungsleistung SOLLTEN f\xFCr besonders\ - \ schutzw\xFCrdige IT-Systeme, wie Gateways und IT-Systeme zum Datenaustausch,\ - \ Virenschutzprogramme mit mehreren alternativen Scan-Engines eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A12 - name: "Einsatz von Datentr\xE4gerschleusen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12 - ref_id: OPS.1.1.4.A12.1 - description: "Bevor insbesondere Datentr\xE4ger von Dritten mit den IT-Systemen\ - \ der Institution verbunden werden, SOLLTEN diese durch eine Datentr\xE4gerschleuse\ - \ gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A13 - name: "Umgang mit nicht vertrauensw\xFCrdigen Dateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 - ref_id: OPS.1.1.4.A13.1 - description: "Ist es notwendig, nicht vertrauensw\xFCrdige Dateien zu \xF6ffnen,\ - \ SOLLTE dies nur auf einem isolierten IT-System geschehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 - ref_id: OPS.1.1.4.A13.2 - description: "Die betroffenen Dateien SOLLTEN dort z. B. in ein ungef\xE4hrliches\ - \ Format umgewandelt oder ausgedruckt werden, wenn sich hierdurch das Risiko\ - \ einer Infektion durch Schadsoftware verringert." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 - ref_id: OPS.1.1.4.A14 - name: Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 - ref_id: OPS.1.1.4.A14.1 - description: "Der Einsatz sowie der Mehrwert von Produkten und Services, die\ - \ im Vergleich zu herk\xF6mmlichen Virenschutzprogrammen einen erweiterten\ - \ Schutzumfang bieten, SOLLTE gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 - ref_id: OPS.1.1.4.A14.2 - description: "Solche Sicherheitsprodukte gegen gezielte Angriffe SOLLTEN z.\ - \ B. bei der Ausf\xFChrung von Dateien in speziellen Analyseumgebungen, bei\ - \ der H\xE4rtung von Clients oder bei der Kapselung von Prozessen eingesetzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 - ref_id: OPS.1.1.4.A14.3 - description: "Vor einer Kaufentscheidung f\xFCr ein Sicherheitsprodukt SOLLTEN\ - \ Schutzwirkung und Kompatibilit\xE4t zur eigenen IT-Umgebung getestet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.5 - name: Protokollierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A1 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Protokollierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Protokollierung erstellt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.2 - description: "In dieser Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar Anforderungen\ - \ und Vorgaben beschrieben sein, wie die Protokollierung zu planen, aufzubauen\ - \ und sicher zu betreiben ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.3 - description: In der spezifischen Sicherheitsrichtlinie MUSS geregelt werden, - wie, wo und was zu protokollieren ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.4 - description: Dabei SOLLTEN sich Art und Umfang der Protokollierung am Schutzbedarf - der Informationen orientieren. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.5 - description: Die spezifische Sicherheitsrichtlinie MUSS von dem oder der ISB - gemeinsam mit den Fachverantwortlichen erstellt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.6 - description: "Sie MUSS allen f\xFCr die Protokollierung zust\xE4ndigen Mitarbeitenden\ - \ bekannt und grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.7 - description: "Wird die spezifische Sicherheitsrichtlinie ver\xE4ndert oder wird\ - \ von den Anforderungen abgewichen, MUSS dies mit dem oder der ISB abgestimmt\ - \ und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.8 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ - \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 - ref_id: OPS.1.1.5.A1.9 - description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A3 - name: Konfiguration der Protokollierung auf System- und Netzebene - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.1 - description: "Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen\ - \ M\xDCSSEN protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.2 - description: "Sofern die in der Protokollierungsrichtlinie als relevant definierten\ - \ IT-Systeme und Anwendungen \xFCber eine Protokollierungsfunktion verf\xFC\ - gen, MUSS diese benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.3 - description: "Wenn die Protokollierung eingerichtet wird, M\xDCSSEN dabei die\ - \ Vorgaben des herstellenden Unternehmens f\xFCr die jeweiligen IT-Systeme\ - \ oder Anwendungen beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.4 - description: "In angemessenen Intervallen MUSS stichpunktartig \xFCberpr\xFC\ - ft werden, ob die Protokollierung noch korrekt funktioniert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.5 - description: "Die Pr\xFCfintervalle M\xDCSSEN in der Protokollierungsrichtlinie\ - \ definiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 - ref_id: OPS.1.1.5.A3.6 - description: "Falls betriebs- und sicherheitsrelevante Ereignisse nicht auf\ - \ einem IT-System protokolliert werden k\xF6nnen, M\xDCSSEN zus\xE4tzliche\ - \ IT-Systeme zur Protokollierung (z. B. von Ereignissen auf Netzebene) integriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A4 - name: Zeitsynchronisation der IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 - ref_id: OPS.1.1.5.A4.1 - description: Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen - MUSS immer synchron sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 - ref_id: OPS.1.1.5.A4.2 - description: Es MUSS sichergestellt sein, dass das Datums- und Zeitformat der - Protokolldateien einheitlich ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A5 - name: Einhaltung rechtlicher Rahmenbedingungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - ref_id: OPS.1.1.5.A5.1 - description: "Bei der Protokollierung M\xDCSSEN die Bestimmungen aus den aktuellen\ - \ Gesetzen zum Bundes- sowie Landesdatenschutz eingehalten werden (siehe CON.2\ - \ Datenschutz)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - ref_id: OPS.1.1.5.A5.2 - description: "Dar\xFCber hinaus M\xDCSSEN eventuelle Pers\xF6nlichkeitsrechte\ - \ bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - ref_id: OPS.1.1.5.A5.3 - description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten - gesetzlichen Bestimmungen beachtet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - ref_id: OPS.1.1.5.A5.4 - description: "Protokollierungsdaten M\xDCSSEN nach einem festgelegten Prozess\ - \ gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 - ref_id: OPS.1.1.5.A5.5 - description: "Es MUSS technisch unterbunden werden, dass Protokollierungsdaten\ - \ unkontrolliert gel\xF6scht oder ver\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A6 - name: Aufbau einer zentralen Protokollierungsinfrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.1 - description: Alle gesammelten sicherheitsrelevanten Protokollierungsdaten SOLLTEN - an einer zentralen Stelle gespeichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.2 - description: "Daf\xFCr SOLLTE eine zentrale Protokollierungsinfrastruktur im\ - \ Sinne eines Logserver-Verbunds aufgebaut und in einem hierf\xFCr eingerichteten\ - \ Netzsegment platziert werden (siehe NET.1.1 Netzarchitektur und -design)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.3 - description: "Zus\xE4tzlich zu sicherheitsrelevanten Ereignissen (siehe OPS.1.1.5.A3\ - \ Konfiguration der Protokollierung auf System- und Netzebene) SOLLTE eine\ - \ zentrale Protokollierungsinfrastruktur auch allgemeine Betriebsereignisse\ - \ protokollieren, die auf einen Fehler hindeuten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.4 - description: Die Protokollierungsinfrastruktur SOLLTE ausreichend dimensioniert - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.5 - description: "Die M\xF6glichkeit einer Skalierung im Sinne einer erweiterten\ - \ Protokollierung SOLLTE ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 - ref_id: OPS.1.1.5.A6.6 - description: "Daf\xFCr SOLLTEN gen\xFCgend technische, finanzielle und personelle\ - \ Ressourcen verf\xFCgbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A8 - name: Archivierung von Protokollierungsdaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 - ref_id: OPS.1.1.5.A8.1 - description: Protokollierungsdaten SOLLTEN archiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 - ref_id: OPS.1.1.5.A8.2 - description: "Dabei SOLLTEN die gesetzlich vorgeschriebenen Regelungen ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A9 - name: "Bereitstellung von Protokollierungsdaten f\xFCr die Auswertung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.1 - description: Die gesammelten Protokollierungsdaten SOLLTEN gefiltert, normalisiert, - aggregiert und korreliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.2 - description: "Die so bearbeiteten Protokollierungsdaten SOLLTEN geeignet verf\xFC\ - gbar gemacht werden, damit sie ausgewertet werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.3 - description: "Damit sich die Daten automatisiert auswerten lassen, SOLLTEN die\ - \ Protokollanwendungen \xFCber entsprechende Schnittstellen f\xFCr die Auswertungsprogramme\ - \ verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.4 - description: Es SOLLTE sichergestellt sein, dass bei der Auswertung von Protokollierungsdaten - die Sicherheitsanforderungen eingehalten werden, die in der Protokollierungsrichtlinie - definiert sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.5 - description: "Auch wenn die Daten bereitgestellt werden, SOLLTEN betriebliche\ - \ und interne Vereinbarungen ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 - ref_id: OPS.1.1.5.A9.6 - description: "Die Protokollierungsdaten SOLLTEN zus\xE4tzlich in unver\xE4nderter\ - \ Originalform aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A10 - name: "Zugriffsschutz f\xFCr Protokollierungsdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10 - ref_id: OPS.1.1.5.A10.1 - description: "Es SOLLTE sichergestellt sein, dass die ausf\xFChrenden Administrierenden\ - \ selbst keine Berechtigung haben, die aufgezeichneten Protokollierungsdaten\ - \ zu ver\xE4ndern oder zu l\xF6schen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A11 - name: Steigerung des Protokollierungsumfangs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 - ref_id: OPS.1.1.5.A11.1 - description: "Bei erh\xF6htem Schutzbedarf von Anwendungen oder IT-Systemen\ - \ SOLLTEN grunds\xE4tzlich mehr Ereignisse protokolliert werden, sodass sicherheitsrelevante\ - \ Vorf\xE4lle m\xF6glichst l\xFCckenlos nachvollziehbar sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 - ref_id: OPS.1.1.5.A11.2 - description: "Um die Protokollierungsdaten in Echtzeit auswerten zu k\xF6nnen,\ - \ SOLLTEN sie in verk\xFCrzten Zeitabst\xE4nden von den protokollierenden\ - \ IT-Systemen und Anwendungen zentral gespeichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 - ref_id: OPS.1.1.5.A11.3 - description: "Die Protokollierung SOLLTE eine Auswertung \xFCber den gesamten\ - \ Informationsverbund erm\xF6glichen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 - ref_id: OPS.1.1.5.A11.4 - description: "Anwendungen und IT-Systeme, mit denen eine zentrale Protokollierung\ - \ nicht m\xF6glich ist, SOLLTEN bei einem erh\xF6hten Schutzbedarf NICHT eingesetzt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A12 - name: "Verschl\xFCsselung der Protokollierungsdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 - ref_id: OPS.1.1.5.A12.1 - description: "Um Protokollierungsdaten sicher \xFCbertragen zu k\xF6nnen, SOLLTEN\ - \ sie verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 - ref_id: OPS.1.1.5.A12.2 - description: Alle gespeicherten Protokolle SOLLTEN digital signiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 - ref_id: OPS.1.1.5.A12.3 - description: "Auch archivierte und au\xDFerhalb der Protokollierungsinfrastruktur\ - \ gespeicherte Protokollierungsdaten SOLLTEN immer verschl\xFCsselt gespeichert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 - ref_id: OPS.1.1.5.A13 - name: "Hochverf\xFCgbare Protokollierungsinfrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13 - ref_id: OPS.1.1.5.A13.1 - description: "Eine hochverf\xFCgbare Protokollierungsinfrastruktur SOLLTE aufgebaut\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.6 - name: Software-Tests und -Freigaben - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A1 - name: Planung der Software-Tests - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.1 - description: "Die Rahmenbedingungen f\xFCr Software-Tests M\xDCSSEN vor den\ - \ Tests innerhalb der Institution entsprechend der Schutzbedarfe, Organisationseinheiten,\ - \ technischen M\xF6glichkeiten und Test-Umgebungen festlegt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.2 - description: Die Software MUSS auf Basis der Anforderungen des Anforderungskatalogs - zu der Software getestet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.3 - description: "Liegt auch ein Pflichtenheft vor, dann MUSS dieses zus\xE4tzlich\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.4 - description: "Die Testf\xE4lle M\xDCSSEN so ausgew\xE4hlt werden, sodass diese\ - \ m\xF6glichst repr\xE4sentativ alle Funktionen der Software \xFCberpr\xFC\ - fen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.5 - description: "Zus\xE4tzlich SOLLTEN auch Negativ-Tests ber\xFCcksichtigt werden,\ - \ die \xFCberpr\xFCfen, ob die Software keine ungewollten Funktionen enth\xE4\ - lt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.6 - description: "Die Testumgebung MUSS so ausgew\xE4hlt werden, sodass diese m\xF6\ - glichst repr\xE4sentativ alle in der Institution eingesetzten Ger\xE4temodelle\ - \ und Betriebssystemumgebungen abdeckt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 - ref_id: OPS.1.1.6.A1.7 - description: "Es SOLLTE dabei getestet werden, ob die Software mit den eingesetzten\ - \ Betriebssystemen in den vorliegenden Konfigurationen kompatibel und funktionsf\xE4\ - hig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A2 - name: "Durchf\xFChrung von funktionalen Software-Tests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 - ref_id: OPS.1.1.6.A2.1 - description: "Mit funktionalen Software-Tests MUSS die ordnungsgem\xE4\xDFe\ - \ und vollst\xE4ndige Funktion der Software \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 - ref_id: OPS.1.1.6.A2.2 - description: "Die funktionalen Software-Tests M\xDCSSEN so durchgef\xFChrt werden,\ - \ dass sie den Produktivbetrieb nicht beeinflussen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A3 - name: Auswertung der Testergebnisse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 - ref_id: OPS.1.1.6.A3.1 - description: "Die Ergebnisse der Software-Tests M\xDCSSEN ausgewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 - ref_id: OPS.1.1.6.A3.2 - description: "Es SOLLTE ein Soll-Ist-Vergleich mit definierten Vorgaben durchgef\xFC\ - hrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 - ref_id: OPS.1.1.6.A3.3 - description: Die Auswertung MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A4 - name: Freigabe der Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - ref_id: OPS.1.1.6.A4.1 - description: "Die fachlich zust\xE4ndige Organisationseinheit MUSS die Software\ - \ freigeben, sobald die Software-Tests erfolgreich durchgef\xFChrt wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - ref_id: OPS.1.1.6.A4.2 - description: "Die Freigabe MUSS in Form einer Freigabeerkl\xE4rung dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - ref_id: OPS.1.1.6.A4.3 - description: "Die freigebende Organisationseinheit MUSS \xFCberpr\xFCfen, ob\ - \ die Software gem\xE4\xDF den Anforderungen getestet wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - ref_id: OPS.1.1.6.A4.4 - description: "Die Ergebnisse der Software-Tests M\xDCSSEN mit den vorher festgelegten\ - \ Erwartungen \xFCbereinstimmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 - ref_id: OPS.1.1.6.A4.5 - description: "Auch MUSS \xFCberpr\xFCft werden, ob die rechtlichen und organisatorischen\ - \ Vorgaben eingehalten wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A5 - name: "Durchf\xFChrung von Software-Tests f\xFCr nicht funktionale Anforderungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 - ref_id: OPS.1.1.6.A5.1 - description: "Es M\xDCSSEN Software-Tests durchgef\xFChrt werden, die \xFCberpr\xFC\ - fen, ob alle wesentlichen nichtfunktionalen Anforderungen erf\xFCllt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 - ref_id: OPS.1.1.6.A5.2 - description: "Insbesondere M\xDCSSEN sicherheitsspezifische Software-Tests durchgef\xFC\ - hrt werden, wenn die Anwendung sicherheitskritische Funktionen mitbringt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 - ref_id: OPS.1.1.6.A5.3 - description: "Die durchgef\xFChrten Testf\xE4lle, sowie die Testergebnisse,\ - \ M\xDCSSEN dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A6 - name: Geordnete Einweisung der Software-Testenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 - ref_id: OPS.1.1.6.A6.1 - description: "Die Software-Testenden SOLLTEN \xFCber die durchzuf\xFChrenden\ - \ Testarten und die zu testenden Bereiche einer Software von Fachverantwortlichen\ - \ informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 - ref_id: OPS.1.1.6.A6.2 - description: "Dar\xFCber hinaus SOLLTEN die Software-Testende \xFCber die Anwendungsf\xE4\ - lle und m\xF6gliche weitere Anforderungen der Software informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A7 - name: Personalauswahl der Software-Testenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 - ref_id: OPS.1.1.6.A7.1 - description: "Bei der Auswahl der Software-Testenden SOLLTEN gesonderte Auswahlkriterien\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 - ref_id: OPS.1.1.6.A7.2 - description: Die Software-Testenden SOLLTEN die erforderliche berufliche Qualifikation - haben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 - ref_id: OPS.1.1.6.A7.3 - description: "Wird Individualsoftware auf Quellcode-Ebene \xFCberpr\xFCft, dann\ - \ SOLLTEN die Testenden \xFCber ausreichendes Fachwissen \xFCber die zu testenden\ - \ Programmiersprache und der Entwicklungsumgebung verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 - ref_id: OPS.1.1.6.A7.4 - description: "Der Quellcode SOLLTE NICHT ausschlie\xDFlich von Testenden \xFC\ - berpr\xFCft werden, die auch an der Erstellung des Quellcodes beteiligt waren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A10 - name: Erstellung eines Abnahmeplans - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 - ref_id: OPS.1.1.6.A10.1 - description: "In einem Abnahmeplan SOLLTEN die durchzuf\xFChrenden Testarten,\ - \ Testf\xE4lle und die erwarteten Ergebnisse dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 - ref_id: OPS.1.1.6.A10.2 - description: "Au\xDFerdem SOLLTE der Abnahmeplan die Freigabekriterien beinhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 - ref_id: OPS.1.1.6.A10.3 - description: "Es SOLLTE eine Vorgehensweise f\xFCr die Situation festgelegt\ - \ werden, wenn eine Freigabe abgelehnt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A11 - name: Verwendung von anonymisierten oder pseudonymisierten Testdaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 - ref_id: OPS.1.1.6.A11.1 - description: "Wenn Produktivdaten f\xFCr Software-Tests verwendet werden, die\ - \ sch\xFCtzenswerte Informationen enthalten, dann M\xDCSSEN diese Testdaten\ - \ angemessen gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 - ref_id: OPS.1.1.6.A11.2 - description: "Enthalten diese Daten personenbezogene Informationen, dann M\xDC\ - SSEN diese Daten mindestens pseudonymisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 - ref_id: OPS.1.1.6.A11.3 - description: "Falls m\xF6glich, SOLLTEN die Testdaten mit Personenbezug vollst\xE4\ - ndig anonymisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 - ref_id: OPS.1.1.6.A11.4 - description: "Wenn ein Personenbezug von den Testdaten abgeleitet werden k\xF6\ - nnte, MUSS der oder die Datenschutzbeauftragte und unter Umst\xE4nden die\ - \ Personalvertretung hinzugezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A12 - name: "Durchf\xFChrung von Regressionstests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - ref_id: OPS.1.1.6.A12.1 - description: "Wenn Software ver\xE4ndert wurde, SOLLTEN Regressionstests durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - ref_id: OPS.1.1.6.A12.2 - description: "Hierbei SOLLTE \xFCberpr\xFCft werden, ob bisherige bestehende\ - \ Sicherheitsmechanismen und -einstellungen durch das Update ungewollt ver\xE4\ - ndert wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - ref_id: OPS.1.1.6.A12.3 - description: "Regressionstests SOLLTEN vollst\xE4ndig durchgef\xFChrt werden\ - \ und hierbei auch Erweiterungen sowie Hilfsmittel umfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - ref_id: OPS.1.1.6.A12.4 - description: "Werden Testf\xE4lle ausgelassen, SOLLTE dies begr\xFCndet und\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 - ref_id: OPS.1.1.6.A12.5 - description: "Die durchgef\xFChrten Testf\xE4lle und die Testergebnisse SOLLTEN\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A13 - name: Trennung der Testumgebung von der Produktivumgebung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 - ref_id: OPS.1.1.6.A13.1 - description: "Software SOLLTE nur in einer hierf\xFCr vorgesehenen Testumgebung\ - \ getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 - ref_id: OPS.1.1.6.A13.2 - description: Die Testumgebung SOLLTE von der Produktivumgebung getrennt betrieben - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 - ref_id: OPS.1.1.6.A13.3 - description: Die in der Testumgebung verwendeten Architekturen und Mechanismen - SOLLTEN dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 - ref_id: OPS.1.1.6.A13.4 - description: Es SOLLTEN Verfahren dokumentiert werden, wie mit der Testumgebung - nach Abschluss des Software-Tests zu verfahren ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A14 - name: "Durchf\xFChrung von Penetrationstests" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - ref_id: OPS.1.1.6.A14.1 - description: "F\xFCr Anwendungen beziehungsweise IT-Systeme mit erh\xF6htem\ - \ Schutzbedarf SOLLTEN Penetrationstests als Testmethode durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - ref_id: OPS.1.1.6.A14.2 - description: "Ein Konzept f\xFCr Penetrationstests SOLLTE erstellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - ref_id: OPS.1.1.6.A14.3 - description: "Im Konzept f\xFCr Penetrationstests SOLLTEN neben den zu verwendenden\ - \ Testmethoden auch die Erfolgskriterien dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - ref_id: OPS.1.1.6.A14.4 - description: Der Penetrationstest SOLLTE nach den Rahmenbedingungen des Penetrationstest-Konzepts - erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 - ref_id: OPS.1.1.6.A14.5 - description: "Die durch den Penetrationstest aufgefundenen Sicherheitsl\xFC\ - cken SOLLTEN klassifiziert und dokumentiert sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A15 - name: "\xDCberpr\xFCfung der Installation und zugeh\xF6rigen Dokumentation" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 - ref_id: OPS.1.1.6.A15.1 - description: "Die Installation der Software SOLLTE entsprechend der Regelungen\ - \ zur Installation und Konfiguration von Software (siehe Baustein APP.6 Allgemeine\ - \ Software) \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 - ref_id: OPS.1.1.6.A15.2 - description: "Falls vorhanden, SOLLTE zus\xE4tzlich die Installations- und Konfigurationsdokumentation\ - \ gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 - ref_id: OPS.1.1.6.A16 - name: "Sicherheits\xFCberpr\xFCfung der Testenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 - ref_id: OPS.1.1.6.A16.1 - description: "Sofern Testende auf besonders sch\xFCtzenswerte Informationen\ - \ zugreifen m\xFCssen, SOLLTE die Institution Nachweise \xFCber ihre Integrit\xE4\ - t und Reputation einholen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 - ref_id: OPS.1.1.6.A16.2 - description: "Handelt es sich dabei um klassifizierte Verschlusssachen, SOLLTEN\ - \ sich die Software-Testenden einer Sicherheits\xFCberpr\xFCfung nach dem\ - \ Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 - ref_id: OPS.1.1.6.A16.3 - description: "Hierzu SOLLTE der oder die ISB die Geheimschutzbeauftragten bzw.\ - \ Sicherheitsbevollm\xE4chtigten der Institution einbeziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.1.7 - name: Systemmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A1 - name: "Anforderungsspezifikation f\xFCr das Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 - ref_id: OPS.1.1.7.A1.1 - description: "Anforderungen an die Systemmanagement-Infrastruktur und -Prozesse\ - \ M\xDCSSEN spezifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 - ref_id: OPS.1.1.7.A1.2 - description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Systemmanagement\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 - ref_id: OPS.1.1.7.A1.3 - description: "Auch M\xDCSSEN die Sicherheitsaspekte f\xFCr das Systemmanagement\ - \ von Beginn an beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 - ref_id: OPS.1.1.7.A1.4 - description: "Zudem M\xDCSSEN die Schnittstellen der zu verwaltenden IT-Systeme\ - \ dokumentiert werden, z. B. um die Kompatibilit\xE4t von Systemmanagement-L\xF6\ - sung und zu verwaltendem System zu gew\xE4hrleisten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A2 - name: Planung des Systemmanagements - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.1 - description: "Die Systemmanagement-L\xF6sung und die zugrundeliegende Infrastruktur\ - \ M\xDCSSEN geeignet geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.2 - description: 'Die Planung MUSS mindestens die folgenden Inhalte umfassen:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.3 - description: "\u2022 eine detaillierte Anforderungsanalyse," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.4 - description: "\u2022 ein aussagekr\xE4ftiges Grobkonzept," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.5 - description: "\u2022 einen umfassenden Umsetzungsplan sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.6 - description: "\u2022 Meilensteine f\xFCr Qualit\xE4tssicherung und Abnahme." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.7 - description: "Dabei M\xDCSSEN alle in der Anforderungsspezifikation genannten\ - \ Punkte sowie das Rollen- und Berechtigungskonzept ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.8 - description: "Es M\xDCSSEN mindestens die folgenden Themen ber\xFCcksichtigt\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.9 - description: "\u2022 Trennung in geeignete Bereiche f\xFCr das Systemmanagement," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.10 - description: "\u2022 Zugriffsm\xF6glichkeiten auf und durch das Systemmanagement," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.11 - description: "\u2022 Berechtigungen des Systemmanagements auf den zu verwaltenden\ - \ Systemen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.12 - description: "\u2022 Netzverbindungen f\xFCr den Zugriff auf und durch das Systemmanagement," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.13 - description: "\u2022 Protokolle f\xFCr den Zugriff von Benutzenden auf die Systemmanagement-L\xF6\ - sung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.14 - description: "\u2022 Protokolle f\xFCr die Kommunikation zwischen der Systemmanagement-L\xF6\ - sung und den zu verwaltenden Systemen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.15 - description: "\u2022 Anforderungen an Systemmanagement-Werkzeuge," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.16 - description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ - \ weiterzuleiten," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.17 - description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ - \ zu einer zentralen Protokollierungsl\xF6sung," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.18 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.18 - description: "\u2022 Unterst\xFCtzung durch das herstellende bzw. entwickelnde\ - \ Unternehmen \xFCber den geplanten Einsatzzeitraum," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.19 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.19 - description: "\u2022 M\xF6glichkeiten zum Einspielen von Patches f\xFCr die\ - \ Systemmanagement-L\xF6sung sowie f\xFCr die zu verwaltenden Systeme," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.20 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.20 - description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ - sungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.21 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 - ref_id: OPS.1.1.7.A2.21 - description: "\u2022 korrespondierende Anforderungen an die zu verwaltenden\ - \ Systeme." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A3 - name: "Zeitsynchronisation f\xFCr das Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 - ref_id: OPS.1.1.7.A3.1 - description: "Alle Komponenten der Systemmanagement-L\xF6sung, inklusive der\ - \ zu verwaltenden Systeme, M\xDCSSEN eine synchrone Uhrzeit nutzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 - ref_id: OPS.1.1.7.A3.2 - description: "Die Systemzeit MUSS f\xFCr jedes zu verwaltende System und f\xFC\ - r die Systemmanagement-L\xF6sung \xFCber geeignete Protokolle synchronisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A4 - name: Absicherung der Systemmanagement-Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 - ref_id: OPS.1.1.7.A4.1 - description: "Sobald die Systemmanagement-L\xF6sung und die zu verwaltenden\ - \ Systeme \xFCber die produktive Infrastruktur kommunizieren, M\xDCSSEN daf\xFC\ - r sichere Protokolle verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 - ref_id: OPS.1.1.7.A4.2 - description: "Falls keine sicheren Protokolle verwendet werden k\xF6nnen, dann\ - \ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz (Out-of-Band-Management)\ - \ verwendet werden (siehe NET.1.1 Netzarchitektur und -design)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 - ref_id: OPS.1.1.7.A4.3 - description: "Ist auch dies nicht m\xF6glich, dann M\xDCSSEN erg\xE4nzende Sicherheitsmechanismen\ - \ auf anderer Ebene eingesetzt werden, z. B. Tunnelmechanismen \xFCber verschl\xFC\ - sseltes VPN oder vergleichbare L\xF6sungen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A5 - name: "Gegenseitige Authentisierung von Systemmanagement-L\xF6sung und zu verwaltenden\ - \ Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 - ref_id: OPS.1.1.7.A5.1 - description: "Die Authentisierung zwischen Systemmanagement-L\xF6sung und zu\ - \ verwaltenden Systemen MUSS in beide Richtungen erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 - ref_id: OPS.1.1.7.A5.2 - description: "Die Authentisierung MUSS in das \xFCbergreifende Authentisierungskonzept\ - \ eingebunden sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 - ref_id: OPS.1.1.7.A5.3 - description: Die Authentisierung MUSS mittels sicherer Protokolle erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A6 - name: "Absicherung des Zugriffs auf die Systemmanagement-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.1 - description: "Der Zugriff von Benutzenden auf die Systemmanagement-L\xF6sung\ - \ MUSS abgesichert werden durch" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.2 - description: "\u2022 eine sichere und angemessene Authentisierung und Autorisierung\ - \ der Benutzenden sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.3 - description: "\u2022 eine sichere Verschl\xFCsselung der \xFCbertragenen Daten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.4 - description: "Eine angemessene Authentisierungsmethode MUSS ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.5 - description: Der Auswahlprozess MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.6 - description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ - ssel MUSS regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 - ref_id: OPS.1.1.7.A6.7 - description: "Die Systemmanagement-L\xF6sung MUSS \xFCber eine Autorisierungskomponente\ - \ sicherstellen, dass Benutzende ausschlie\xDFlich solche Aktionen durchf\xFC\ - hren k\xF6nnen, zu denen sie berechtigt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A7 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.1 - description: "F\xFCr das Systemmanagement SOLLTE eine Sicherheitsrichtlinie\ - \ erstellt und nachhaltig gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.2 - description: Die Richtlinie SOLLTE allen Personen, die am Systemmanagement beteiligt - sind, bekannt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.3 - description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr die\ - \ Arbeit dieser Personen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.4 - description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ - \ werden, dass die in der Richtlinie geforderten Inhalte umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.5 - description: Die Ergebnisse SOLLTEN dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.6 - description: 'Die Sicherheitsrichtlinie SOLLTE mindestens das Folgende festlegen:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.7 - description: "\u2022 die Bereiche des Systemmanagements, die \xFCber zentrale\ - \ Management-Werkzeuge und - Dienste realisiert werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.8 - description: "\u2022 die Aufgaben im Systemmanagement, die automatisiert realisiert\ - \ werden sollen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.9 - description: "\u2022 das Konfigurationsmanagement f\xFCr die Daten, die von\ - \ der Systemmanagement-L\xF6sung verwaltet werden, z. B. Versionierung von\ - \ Konfigurationen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.10 - description: "\u2022 Vorgaben f\xFCr die Netztrennung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.11 - description: "\u2022 Vorgaben f\xFCr die Zugriffskontrolle," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.12 - description: "\u2022 Vorgaben f\xFCr die Protokollierung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.13 - description: "\u2022 Vorgaben f\xFCr die Qualit\xE4tssicherung beim Einsatz\ - \ von Automatisierungsfunktionen, z. B. Skripte," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.14 - description: "\u2022 Vorgaben f\xFCr den Schutz der Kommunikation," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.15 - description: "\u2022 die operativen Grundregeln des Systemmanagements sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 - ref_id: OPS.1.1.7.A7.16 - description: "\u2022 Vorgaben f\xFCr die Abstimmung mit dem Netzmanagement,\ - \ z. B. Vergabe von IP-Adressen oder DNS-Namen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A8 - name: Erstellung eines Systemmanagement-Konzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.1 - description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Systemmanagement\ - \ SOLLTE ein Systemmanagement-Konzept erstellt und kontinuierlich gepflegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.2 - description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ - cksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.3 - description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Systemmanagement," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.4 - description: "\u2022 Absicherung des Zugangs und der Kommunikation," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.5 - description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ - \ von Systemmanagement-Komponenten zu Sicherheitszonen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.6 - description: "\u2022 Umfang des Monitorings und der Alarmierung f\xFCr jedes\ - \ zu verwaltende System," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.7 - description: "\u2022 Protokollierung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.8 - description: "\u2022 Automatisierung, insbesondere die zentrale Verteilung von\ - \ Konfigurationsdateien auf die zu verwaltenden Systeme," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.9 - description: "\u2022 Vorgaben an Entwicklung und Test von Automatisierungsfunktionen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.10 - description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.11 - description: "\u2022 Bereitstellung von Systemmanagement-Informationen f\xFC\ - r andere Betriebsbereiche," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.12 - description: "\u2022 Einbindung des Systemmanagements in die Notfallplanung,\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 - ref_id: OPS.1.1.7.A8.13 - description: "\u2022 ben\xF6tigten Netz\xFCbertragungskapazit\xE4ten der Systemmanagement-L\xF6\ - sung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A9 - name: "Fein- und Umsetzungsplanung f\xFCr das Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 - ref_id: OPS.1.1.7.A9.1 - description: "Eine Fein- und Umsetzungsplanung f\xFCr die Systemmanagement-L\xF6\ - sung SOLLTE erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 - ref_id: OPS.1.1.7.A9.2 - description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Systemmanagement-Konzept\ - \ adressierten Punkte ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A10 - name: "Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 - ref_id: OPS.1.1.7.A10.1 - description: "Ausgehend von den Sicherheitsrichtlinien und dem Systemmanagement-Konzept\ - \ SOLLTE ein Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6\ - sung und der zugrundeliegenden Infrastruktur erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 - ref_id: OPS.1.1.7.A10.2 - description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ - \ operativer Einheiten einbinden und steuern lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A11 - name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Systemmanagements" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.1 - description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, inwieweit\ - \ die von der Systemmanagement-L\xF6sung verwalteten Daten, Konfigurationen\ - \ und Skripte dem Sollzustand entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.2 - description: "Mindestens folgende Aspekte SOLLTEN im Soll-Ist-Vergleich gepr\xFC\ - ft werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.3 - description: "\u2022 die Konfiguration der Systemmanagement-L\xF6sung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.4 - description: "\u2022 die Konfiguration der zu verwaltenden Systeme sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.5 - description: "\u2022 die eingesetzten Automatisierungsfunktionen oder Skripte." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.6 - description: "Dabei SOLLTE gepr\xFCft werden, ob die genannten Aspekte noch\ - \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 - ref_id: OPS.1.1.7.A11.7 - description: "Weiter SOLLTE verglichen werden, ob die Softwareversion der Systemmanagement-L\xF6\ - sung aktuell ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A12 - name: "Ausl\xF6sung von Aktionen durch die zentralen Komponenten der Systemmanagement-L\xF6\ - sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 - ref_id: OPS.1.1.7.A12.1 - description: "Aktionen, die durch das Systemmanagement auf den verwalteten Systemen\ - \ ausgef\xFChrt werden, SOLLTEN ausschlie\xDFlich von der Systemmanagement-L\xF6\ - sung ausgel\xF6st werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 - ref_id: OPS.1.1.7.A12.2 - description: "Daf\xFCr SOLLTEN nur diejenigen Management-Funktionen auf der\ - \ Systemmanagement-L\xF6sung und den zu verwaltenden Systemen aktiviert werden,\ - \ die tats\xE4chlich ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A13 - name: "Verpflichtung zur Nutzung der vorgesehenen Schnittstellen f\xFCr das\ - \ Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 - ref_id: OPS.1.1.7.A13.1 - description: "Management-Zugriffe auf zu verwaltende Systeme SOLLTEN ausschlie\xDF\ - lich \xFCber die daf\xFCr vorgesehenen Schnittstellen der Systemmanagement-L\xF6\ - sung erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 - ref_id: OPS.1.1.7.A13.2 - description: "Falls ein direkter Zugriff auf zu verwaltende Systeme notwendig\ - \ ist, z. B. nach einem Ausfall eines zu verwaltenden Systems, SOLLTEN sowohl\ - \ der direkte Zugriff als auch alle in diesem Rahmen vorgenommenen \xC4nderungen\ - \ dokumentiert und im notwendigen Umfang in die Systemmanagement-L\xF6sung\ - \ eingepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A14 - name: "Zentrale Konfigurationsverwaltung f\xFCr zu verwaltende Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.1 - description: "Software und Konfigurationsdaten f\xFCr die zu verwaltenden Systeme\ - \ SOLLTEN konsequent in einem Konfigurationsmanagement verwaltet werden, das\ - \ eine Versionierung und \xC4nderungsverfolgung erm\xF6glicht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.2 - description: "Die zugeh\xF6rige Dokumentation zur Konfigurationsverwaltung SOLLTE\ - \ vollst\xE4ndig und immer aktuell sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.3 - description: "Die ben\xF6tigten Dokumentationen SOLLTEN an zentraler Stelle\ - \ sicher verf\xFCgbar sein sowie in die Datensicherung eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.4 - description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ - \ und regelm\xE4\xDFig auditiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.5 - description: "S\xE4mtliche Schnittstellen zwischen Systemmanagement-L\xF6sung\ - \ und anderen Anwendungen und Diensten SOLLTEN dokumentiert und vollst\xE4\ - ndig in einem Konfigurationsmanagement verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.6 - description: "Zwischen relevanten Betriebsbereichen SOLLTEN funktionale \xC4\ - nderungen an den Schnittstellen fr\xFChzeitig abgestimmt und dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 - ref_id: OPS.1.1.7.A14.7 - description: "Die Konfigurationsdaten f\xFCr die zu verwaltenden Systeme SOLLTEN\ - \ automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung installiert\ - \ und aktiviert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A15 - name: "Status\xFCberwachung, Protokollierung und Alarmierung bei relevanten\ - \ Ereignissen im Systemmanagement-L\xF6sung und den zu verwaltenden Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.1 - description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ - \ der Systemmanagement-L\xF6sung und der zu verwaltenden Systeme SOLLTEN kontinuierlich\ - \ \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.2 - description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ - \ (Baselining)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.3 - description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE das zust\xE4\ - ndige Personal automatisch benachrichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.4 - description: "Zur besseren Fehleranalyse SOLLTEN Informationen aus der Status\xFC\ - berwachung anderer Bereiche, z. B. aus einem eigenen Bereich \u201ENetze\u201C\ - , ebenfalls betrachtet werden, um die genaue Ursache f\xFCr eine St\xF6rung\ - \ zu finden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.5 - description: "Wichtige Ereignisse auf zu verwaltenden Systemen und auf der Systemmanagement-L\xF6\ - sung SOLLTEN automatisch an eine zentrale Protokollierungsinfrastruktur \xFC\ - bermittelt und dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.6 - description: "Wichtige Ereignisse SOLLTEN mindestens f\xFCr folgende Aspekte\ - \ definiert werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.7 - description: "\u2022 Ausfall sowie Nichterreichbarkeit von zu verwaltenden Systemen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.8 - description: "\u2022 Ausfall sowie Nichterreichbarkeit von Systemmanagement-Komponenten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.9 - description: "\u2022 Hardware-Fehlfunktionen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.10 - description: "\u2022 Anmeldeversuche an der Systemmanagement-L\xF6sung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.11 - description: "\u2022 Anmeldeversuche an zu verwaltenden Systemen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.12 - description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung der Systemmanagement-L\xF6\ - sung sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.13 - description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von zu verwaltenden\ - \ Systemen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.14 - description: "Ereignismeldungen sowie Protokollierungs-Daten SOLLTEN an ein\ - \ zentrales Logging-System \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 - ref_id: OPS.1.1.7.A15.15 - description: "Alarmmeldungen SOLLTEN sofort, wenn sie auftreten, \xFCbermittelt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A16 - name: Einbindung des Systemmanagements in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 - ref_id: OPS.1.1.7.A16.1 - description: "Die Systemmanagement-L\xF6sung SOLLTE in die Notfallplanung der\ - \ Institution eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 - ref_id: OPS.1.1.7.A16.2 - description: "Dazu SOLLTEN sowohl die Systemmanagement-L\xF6sung als auch die\ - \ Konfigurationen der zu verwaltenden Systeme gesichert und in die Wiederanlaufpl\xE4\ - ne integriert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A17 - name: Kontrolle der Systemmanagement-Kommunikation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17 - ref_id: OPS.1.1.7.A17.1 - description: "Die Kommunikation zwischen den Benutzenden und der Systemmanagement-L\xF6\ - sung sowie zwischen der Systemmanagement-L\xF6sung und den zu verwaltenden\ - \ IT-Systemen SOLLTE \xFCber geeignete Filtertechniken auf unbedingt notwendige\ - \ Verbindungen eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A18 - name: "\xDCberpr\xFCfung des Systemzustands" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 - ref_id: OPS.1.1.7.A18.1 - description: "Die Konsistenz zwischen realem Systemzustand und dem von der Systemmanagement-L\xF6\ - sung angenommenen Zustand SOLLTE regelm\xE4\xDFig gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 - ref_id: OPS.1.1.7.A18.2 - description: "Werden Abweichungen festgestellt, SOLLTE der in der Systemmanagement-L\xF6\ - sung vorgesehene Zustand wiederhergestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A19 - name: "Absicherung der Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ - sung und den zu verwaltenden Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 - ref_id: OPS.1.1.7.A19.1 - description: "Die Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ - sung und den zu verwaltenden Systemen SOLLTE grunds\xE4tzlich verschl\xFC\ - sselt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 - ref_id: OPS.1.1.7.A19.2 - description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ - ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A20 - name: "Hochverf\xFCgbare Realisierung der Systemmanagement-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 - ref_id: OPS.1.1.7.A20.1 - description: "Eine zentrale Systemmanagement-L\xF6sung SOLLTE hochverf\xFCgbar\ - \ betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 - ref_id: OPS.1.1.7.A20.2 - description: "Dazu SOLLTEN die f\xFCr die Systemmanagement-L\xF6sung eingesetzten\ - \ Server bzw. Werkzeuge inklusive der Netzanbindungen redundant ausgelegt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A21 - name: Physische Trennung der zentralen Systemmanagementnetze - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21 - ref_id: OPS.1.1.7.A21.1 - description: "Das Managementnetz f\xFCr das Systemmanagement SOLLTE physisch\ - \ von den funktionalen, insbesondere produktiven, Netzen getrennt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A22 - name: Einbindung des Systemmanagements in automatisierte Detektionssysteme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 - ref_id: OPS.1.1.7.A22.1 - description: Die Protokollierung von sicherheitsrelevanten Ereignissen des Systemmanagements - SOLLTE in ein Security Information and Event Management (SIEM) eingebunden - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 - ref_id: OPS.1.1.7.A22.2 - description: Dabei SOLLTE nachvollziehbar festgelegt werden, welche Ereignisse - an das SIEM weitergeleitet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 - ref_id: OPS.1.1.7.A22.3 - description: "Im Anforderungskatalog zur Auswahl einer Systemmanagement-L\xF6\ - sung SOLLTEN die erforderlichen Schnittstellen und \xDCbergabeformate spezifiziert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 - ref_id: OPS.1.1.7.A22.4 - description: "Eine Systemmanagement-L\xF6sung SOLLTE mit einem System zur Erkennung\ - \ sicherheitsrelevanter Schwachstellen automatisiert \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A23 - name: "Standort-\xFCbergreifende Zeitsynchronisation f\xFCr das Systemmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 - ref_id: OPS.1.1.7.A23.1 - description: "Die Zeitsynchronisation SOLLTE sowohl f\xFCr die Systemmanagement-L\xF6\ - sung als auch f\xFCr die zu verwaltenden Systeme \xFCber alle Standorte der\ - \ Institution sichergestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 - ref_id: OPS.1.1.7.A23.2 - description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A24 - name: "Automatisierte \xDCberpr\xFCfung von sicherheitsrelevanten Konfigurationen\ - \ durch geeignete Detektionssysteme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24 - ref_id: OPS.1.1.7.A24.1 - description: "Sicherheitsrelevante Konfigurationen der Systemmanagement-L\xF6\ - sung und der zu verwaltenden Systeme SOLLTEN durch geeignete Detektionssysteme\ - \ regelm\xE4\xDFig auf Abweichungen vom Sollzustand sowie auf potenzielle\ - \ Schwachstellen \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A25 - name: Protokollierung und Reglementierung von Systemmanagement-Sitzungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 - ref_id: OPS.1.1.7.A25.1 - description: "Die Sitzungsinhalte, insbesondere die Aktivit\xE4ten von Benutzenden\ - \ auf der Systemmanagement-L\xF6sung sowie s\xE4mtliche direkte Zugriffe auf\ - \ zu verwaltende Systeme, SOLLTEN kontinuierlich durch eine technische L\xF6\ - sung protokolliert und reglementiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 - ref_id: OPS.1.1.7.A25.2 - description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ - \ und automatisierte Befehle, kontrolliert und gegebenenfalls unterbunden\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 - ref_id: OPS.1.1.7.A25.3 - description: "W\xE4hrend der \xDCberwachung SOLLTE nicht nur bei konkreten Regelverst\xF6\ - \xDFen, sondern auch bei Anomalien im Benutzendenverhalten eine Alarmierung\ - \ erfolgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 - ref_id: OPS.1.1.7.A26 - name: "Entkopplung von Zugriffen auf die Systemmanagement-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26 - ref_id: OPS.1.1.7.A26.1 - description: "Jeder administrative Zugriff auf die Systemmanagement-L\xF6sung\ - \ SOLLTE durch die Nutzung von Sprungservern abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.2.2 - name: Archivierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A1 - name: "Ermittlung von Einflussfaktoren f\xFCr die elektronische Archivierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 - ref_id: OPS.1.2.2.A1.1 - description: "Bevor entschieden wird, welche Verfahren und Produkte f\xFCr die\ - \ elektronische Archivierung eingesetzt werden, M\xDCSSEN die technischen,\ - \ rechtlichen und organisatorischen Einflussfaktoren ermittelt und dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 - ref_id: OPS.1.2.2.A1.2 - description: "Die Ergebnisse M\xDCSSEN in das Archivierungskonzept einflie\xDF\ - en." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A2 - name: Entwicklung eines Archivierungskonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - ref_id: OPS.1.2.2.A2.1 - description: Es MUSS definiert werden, welche Ziele mit der Archivierung erreicht - werden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - ref_id: OPS.1.2.2.A2.2 - description: "Hierbei MUSS insbesondere ber\xFCcksichtigt werden, welche Regularien\ - \ einzuhalten sind, welche Mitarbeitende zust\xE4ndig sind und welcher Funktions-\ - \ und Leistungsumfang angestrebt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - ref_id: OPS.1.2.2.A2.3 - description: "Die Ergebnisse M\xDCSSEN in einem Archivierungskonzept erfasst\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - ref_id: OPS.1.2.2.A2.4 - description: Die Institutionsleitung MUSS in diesen Prozess einbezogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 - ref_id: OPS.1.2.2.A2.5 - description: "Das Archivierungskonzept MUSS regelm\xE4\xDFig an die aktuellen\ - \ Gegebenheiten der Institution angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A3 - name: Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 - ref_id: OPS.1.2.2.A3.1 - description: "Die IT-Komponenten eines Archivsystems M\xDCSSEN in gesicherten\ - \ R\xE4umen aufgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 - ref_id: OPS.1.2.2.A3.2 - description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen die\ - \ R\xE4ume betreten d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 - ref_id: OPS.1.2.2.A3.3 - description: "Archivspeichermedien M\xDCSSEN geeignet gelagert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A4 - name: Konsistente Indizierung von Daten bei der Archivierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 - ref_id: OPS.1.2.2.A4.1 - description: "Alle in einem Archiv abgelegten Daten, Dokumente und Datens\xE4\ - tze M\xDCSSEN eindeutig indiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 - ref_id: OPS.1.2.2.A4.2 - description: "Dazu MUSS bereits w\xE4hrend der Konzeption festgelegt werden,\ - \ welche Struktur und welchen Umfang die Indexangaben f\xFCr ein Archiv haben\ - \ sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A5 - name: "Regelm\xE4\xDFige Aufbereitung von archivierten Datenbest\xE4nden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.1 - description: "\xDCber den gesamten Archivierungszeitraum hinweg MUSS sichergestellt\ - \ werden, dass" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.2 - description: "\u2022 das verwendete Datenformat von den benutzten Anwendungen\ - \ verarbeitet werden kann," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.3 - description: "\u2022 die gespeicherten Daten auch zuk\xFCnftig lesbar und so\ - \ reproduzierbar sind, dass Semantik und Beweiskraft beibehalten werden," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.4 - description: "\u2022 das benutzte Dateisystem auf dem Speichermedium von allen\ - \ beteiligten Komponenten verarbeitet werden kann," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.5 - description: "\u2022 die Speichermedien jederzeit technisch einwandfrei gelesen\ - \ werden k\xF6nnen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 - ref_id: OPS.1.2.2.A5.6 - description: "\u2022 die verwendeten kryptografischen Verfahren zur Verschl\xFC\ - sselung und zum Beweiswerterhalt mittels digitaler Signatur, Siegel, Zeitstempel\ - \ oder technischen Beweisdaten (Evidence Records) dem Stand der Technik entsprechen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A6 - name: "Schutz der Integrit\xE4t der Indexdatenbank von Archivsystemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 - ref_id: OPS.1.2.2.A6.1 - description: "Die Integrit\xE4t der Indexdatenbank MUSS sichergestellt und \xFC\ - berpr\xFCfbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 - ref_id: OPS.1.2.2.A6.2 - description: "Au\xDFerdem MUSS die Indexdatenbank regelm\xE4\xDFig gesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 - ref_id: OPS.1.2.2.A6.3 - description: "Die Datensicherungen M\xDCSSEN wiederherstellbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 - ref_id: OPS.1.2.2.A6.4 - description: "Mittlere und gro\xDFe Archive SOLLTEN \xFCber redundante Indexdatenbanken\ - \ verf\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A7 - name: "Regelm\xE4\xDFige Datensicherung der System- und Archivdaten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7 - ref_id: OPS.1.2.2.A7.1 - description: "Alle Archivdaten, die zugeh\xF6rigen Indexdatenbanken sowie die\ - \ Systemdaten M\xDCSSEN regelm\xE4\xDFig gesichert werden (siehe CON.3 Datensicherungskonzept)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A8 - name: Protokollierung der Archivzugriffe - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.1 - description: "Alle Zugriffe auf elektronische Archive M\xDCSSEN protokolliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.2 - description: "Daf\xFCr SOLLTEN Datum, Uhrzeit, Benutzender, Client und die ausgef\xFC\ - hrten Aktionen sowie Fehlermeldungen aufgezeichnet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.3 - description: Im Archivierungskonzept SOLLTE festgelegt werden, wie lange die - Protokolldaten aufbewahrt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.4 - description: "Die Protokolldaten der Archivzugriffe SOLLTEN regelm\xE4\xDFig\ - \ ausgewertet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.5 - description: Dabei SOLLTEN die institutionsinternen Vorgaben beachtet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.6 - description: "Auch SOLLTE definiert sein, welche Ereignisse welchen Mitarbeitenden\ - \ angezeigt werden, wie z. B. Systemfehler, Timeouts oder wenn Datens\xE4\ - tze kopiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 - ref_id: OPS.1.2.2.A8.7 - description: "Kritische Ereignisse SOLLTEN sofort nach der Erkennung gepr\xFC\ - ft und, falls n\xF6tig, weiter eskaliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A9 - name: "Auswahl geeigneter Datenformate f\xFCr die Archivierung von Dokumenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - ref_id: OPS.1.2.2.A9.1 - description: "F\xFCr die Archivierung MUSS ein geeignetes Datenformat ausgew\xE4\ - hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - ref_id: OPS.1.2.2.A9.2 - description: "Es MUSS gew\xE4hrleisten, dass sich Archivdaten sowie ausgew\xE4\ - hlte Merkmale des urspr\xFCnglichen Dokumentmediums langfristig und originalgetreu\ - \ reproduzieren lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - ref_id: OPS.1.2.2.A9.3 - description: "Die Dokumentstruktur des ausgew\xE4hlten Datenformats MUSS eindeutig\ - \ interpretierbar und elektronisch verarbeitbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - ref_id: OPS.1.2.2.A9.4 - description: "Die Syntax und Semantik der verwendeten Datenformate SOLLTE dokumentiert\ - \ und von einer Standardisierungsorganisation ver\xF6ffentlicht sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 - ref_id: OPS.1.2.2.A9.5 - description: "Es SOLLTE f\xFCr eine beweis- und revisionssichere Archivierung\ - \ ein verlustfreies Bildkompressionsverfahren benutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A10 - name: "Erstellung einer Richtlinie f\xFCr die Nutzung von Archivsystemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.1 - description: Es SOLLTE sichergestellt werden, dass Mitarbeitende das Archivsystem - so benutzen, wie es im Archivierungskonzept vorgesehen ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.2 - description: Dazu SOLLTE eine Administrations- und eine Benutzungsrichtlinie - erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.3 - description: 'Die Administrationsrichtlinie SOLLTE folgende Punkte enthalten:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.4 - description: "\u2022 Festlegung der Verantwortung f\xFCr Betrieb und Administration," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.5 - description: "\u2022 Vereinbarungen \xFCber Leistungsparameter beim Betrieb\ - \ (unter anderem Service Level Agreements)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.6 - description: "\u2022 Modalit\xE4ten der Vergabe von Zutritts- und Zugriffsrechten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.7 - description: "\u2022 Modalit\xE4ten der Vergabe von Zugangsrechten zu den vom\ - \ Archiv bereitgestellten Diensten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.8 - description: "\u2022 Regelungen zum Umgang mit archivierten Daten und Archivmedien," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.9 - description: "\u2022 \xDCberwachung des Archivsystems und der Umgebungsbedingungen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.10 - description: "\u2022 Regelungen zur Datensicherung," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.11 - description: "\u2022 Regelungen zur Protokollierung sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 - ref_id: OPS.1.2.2.A10.12 - description: "\u2022 Trennung von Produzenten und Konsumenten (OAIS-Modell)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A11 - name: Einweisung in die Administration und Bedienung des Archivsystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.1 - description: "Die zust\xE4ndigen Mitarbeitende des IT-Betriebs und die Benutzenden\ - \ SOLLTEN f\xFCr ihren Aufgabenbereich geschult werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.2 - description: 'Die Schulung der Mitarbeitenden des IT-Betriebs SOLLTE folgende - Themen umfassen:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.3 - description: "\u2022 Systemarchitektur und Sicherheitsmechanismen des verwendeten\ - \ Archivsystems und des darunterliegenden Betriebssystems," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.4 - description: "\u2022 Installation und Bedienung des Archivsystems und Umgang\ - \ mit Archivmedien," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.5 - description: "\u2022 Dokumentation der Administrationst\xE4tigkeiten sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.6 - description: "\u2022 Eskalationsprozeduren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.7 - description: 'Die Schulung der Benutzende SOLLTE folgende Themen umfassen:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.8 - description: "\u2022 Umgang mit dem Archivsystem," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.9 - description: "\u2022 Bedienung des Archivsystems sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.10 - description: "\u2022 rechtliche Rahmenbedingungen der Archivierung." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 - ref_id: OPS.1.2.2.A11.11 - description: "Die Durchf\xFChrung der Schulungen sowie die Teilnahme SOLLTEN\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A12 - name: "\xDCberwachung der Speicherressourcen von Archivmedien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 - ref_id: OPS.1.2.2.A12.1 - description: "Die auf den Archivmedien vorhandene freie Speicherkapazit\xE4\ - t SOLLTE kontinuierlich \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 - ref_id: OPS.1.2.2.A12.2 - description: "Sobald ein definierter Grenzwert unterschritten wird, M\xDCSSEN\ - \ zust\xE4ndige Mitarbeitende automatisch alarmiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 - ref_id: OPS.1.2.2.A12.3 - description: Die Alarmierung SOLLTE rollenbezogen erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 - ref_id: OPS.1.2.2.A12.4 - description: "Es M\xDCSSEN immer ausreichend leere Archivmedien verf\xFCgbar\ - \ sein, um Speicherengp\xE4ssen schnell vorbeugen zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A13 - name: "Regelm\xE4\xDFige Revision der Archivierungsprozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 - ref_id: OPS.1.2.2.A13.1 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Archivierungsprozesse\ - \ noch korrekt und ordnungsgem\xE4\xDF funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 - ref_id: OPS.1.2.2.A13.2 - description: "Dazu SOLLTE eine Checkliste erstellt werden, die Fragen zu Verantwortlichkeiten,\ - \ Organisationsprozessen, zum Einsatz der Archivierung, zur Redundanz der\ - \ Archivdaten, zur Administration und zur technischen Beurteilung des Archivsystems\ - \ enth\xE4lt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 - ref_id: OPS.1.2.2.A13.3 - description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit - dem Soll-Zustand abgeglichen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 - ref_id: OPS.1.2.2.A13.4 - description: Abweichungen SOLLTE nachgegangen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A14 - name: "Regelm\xE4\xDFige Beobachtung des Marktes f\xFCr Archivsysteme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.1 - description: "Der Markt f\xFCr Archivsysteme SOLLTE regelm\xE4\xDFig und systematisch\ - \ beobachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.2 - description: 'Dabei SOLLTEN unter anderem folgende Kriterien beobachtet werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.3 - description: "\u2022 Ver\xE4nderungen bei Standards," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.4 - description: "\u2022 Wechsel der Technik bei herstellenden Unternehmen von Hard-\ - \ und Software," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.5 - description: "\u2022 ver\xF6ffentlichte Sicherheitsl\xFCcken oder Schwachstellen\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 - ref_id: OPS.1.2.2.A14.6 - description: "\u2022 der Verlust der Sicherheitseignung bei kryptografischen\ - \ Algorithmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A15 - name: "Regelm\xE4\xDFige Aufbereitung von kryptografisch gesicherten Daten bei\ - \ der Archivierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 - ref_id: OPS.1.2.2.A15.1 - description: "Es SOLLTE kontinuierlich beobachtet werden, wie sich das Gebiet\ - \ der Kryptografie entwickelt, um beurteilen zu k\xF6nnen, ob ein Algorithmus\ - \ weiterhin zuverl\xE4ssig und ausreichend sicher ist (siehe auch OPS.1.2.2.A20\ - \ Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 - ref_id: OPS.1.2.2.A15.2 - description: Archivdaten, die mit kryptografischen Verfahren gesichert wurden, - die sich in absehbarer Zeit nicht mehr zur Sicherung eignen werden, SOLLTEN - rechtzeitig mit geeigneten Verfahren neu gesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A16 - name: "Regelm\xE4\xDFige Erneuerung technischer Archivsystem-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.1 - description: "Archivsysteme SOLLTEN \xFCber lange Zeitr\xE4ume auf dem aktuellen\ - \ technischen Stand gehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.2 - description: "Neue Hard- und Software SOLLTE vor der Installation in einem laufenden\ - \ Archivsystem ausf\xFChrlich getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.3 - description: "Wenn neue Komponenten in Betrieb genommen oder neue Dateiformate\ - \ eingef\xFChrt werden, SOLLTE ein Migrationskonzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.4 - description: "Darin SOLLTEN alle \xC4nderungen, Tests und erwarteten Testergebnisse\ - \ beschrieben sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.5 - description: Die Konvertierung der einzelnen Daten SOLLTE dokumentiert werden - (Transfervermerk). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 - ref_id: OPS.1.2.2.A16.6 - description: "Wenn Archivdaten in neue Formate konvertiert werden, SOLLTE gepr\xFC\ - ft werden, ob die Daten aufgrund rechtlicher Anforderungen zus\xE4tzlich in\ - \ ihren urspr\xFCnglichen Formaten zu archivieren sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A17 - name: Auswahl eines geeigneten Archivsystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 - ref_id: OPS.1.2.2.A17.1 - description: "Ein neues Archivsystem SOLLTE immer auf Basis der im Archivierungskonzept\ - \ beschriebenen Vorgaben ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 - ref_id: OPS.1.2.2.A17.2 - description: "Es SOLLTE die dort formulierten Anforderungen erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A18 - name: Verwendung geeigneter Archivmedien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.1 - description: "F\xFCr die Archivierung SOLLTEN geeignete Medien ausgew\xE4hlt\ - \ und benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.2 - description: "Dabei SOLLTEN folgende Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.3 - description: "\u2022 das zu archivierende Datenvolumen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.4 - description: "\u2022 die mittleren Zugriffszeiten sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.5 - description: "\u2022 die mittleren gleichzeitigen Zugriffe auf das Archivsystem." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 - ref_id: OPS.1.2.2.A18.6 - description: "Ebenfalls SOLLTEN die Archivmedien die Anforderungen an eine Langzeitarchivierung\ - \ hinsichtlich Revisionssicherheit und Lebensdauer erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A19 - name: "Regelm\xE4\xDFige Funktions- und Recoverytests bei der Archivierung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - ref_id: OPS.1.2.2.A19.1 - description: "F\xFCr die Archivierung SOLLTEN regelm\xE4\xDFige Funktions- und\ - \ Recoverytests durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - ref_id: OPS.1.2.2.A19.2 - description: "Die Archivierungsdatentr\xE4ger SOLLTEN mindestens einmal j\xE4\ - hrlich daraufhin \xFCberpr\xFCft werden, ob sie noch lesbar und integer sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - ref_id: OPS.1.2.2.A19.3 - description: "F\xFCr die Fehlerbehebung SOLLTEN geeignete Prozesse definiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - ref_id: OPS.1.2.2.A19.4 - description: "Weiterhin SOLLTEN die Hardwarekomponenten des Archivsystems regelm\xE4\ - \xDFig auf ihre einwandfreie Funktion hin gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 - ref_id: OPS.1.2.2.A19.5 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob alle Archivierungsprozesse\ - \ fehlerfrei funktionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A20 - name: Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20 - ref_id: OPS.1.2.2.A20.1 - description: "Um lange Aufbewahrungsfristen abdecken zu k\xF6nnen, SOLLTEN Archivdaten\ - \ nur mit kryptografischen Verfahren auf Basis aktueller Standards und Normen\ - \ gesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 - ref_id: OPS.1.2.2.A21 - name: "\xDCbertragung von Papierdaten in elektronische Archive" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21 - ref_id: OPS.1.2.2.A21.1 - description: "Werden z. B. Dokumente auf Papier digitalisiert und in ein elektronisches\ - \ Archiv \xFCberf\xFChrt, SOLLTE sichergestellt werden, dass die digitale\ - \ Kopie mit dem Originaldokument bildlich und inhaltlich \xFCbereinstimmt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.2.4 - name: Telearbeit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A1 - name: "Regelungen f\xFCr Telearbeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 - ref_id: OPS.1.2.4.A1.1 - description: "Alle relevanten Aspekte der Telearbeit M\xDCSSEN geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 - ref_id: OPS.1.2.4.A1.2 - description: "Zu Informationszwecken M\xDCSSEN den Telearbeitenden die geltenden\ - \ Regelungen oder ein daf\xFCr vorgesehenes Merkblatt ausgeh\xE4ndigt werden,\ - \ das die zu beachtenden Sicherheitsma\xDFnahmen erl\xE4utert." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 - ref_id: OPS.1.2.4.A1.3 - description: "Alle strittigen Punkte M\xDCSSEN entweder durch Betriebsvereinbarungen\ - \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ - \ zwischen dem Mitarbeitenden und der Institution geregelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 - ref_id: OPS.1.2.4.A1.4 - description: "Die Regelungen M\xDCSSEN regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A2 - name: Sicherheitstechnische Anforderungen an den Telearbeitsrechner - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 - ref_id: OPS.1.2.4.A2.1 - description: "Es M\xDCSSEN sicherheitstechnische Anforderungen festgelegt werden,\ - \ die ein IT-System f\xFCr die Telearbeit erf\xFCllen muss." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 - ref_id: OPS.1.2.4.A2.2 - description: Es MUSS sichergestellt werden, dass nur autorisierte Personen Zugang - zu den Telearbeitsrechnern haben. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 - ref_id: OPS.1.2.4.A2.3 - description: "Dar\xFCber hinaus MUSS der Telearbeitsrechner so abgesichert werden,\ - \ dass er nur f\xFCr autorisierte Zwecke benutzt werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A5 - name: Sensibilisierung und Schulung der Mitarbeitenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 - ref_id: OPS.1.2.4.A5.1 - description: "Anhand eines Leitfadens M\xDCSSEN die Mitarbeitenden f\xFCr die\ - \ Gefahren sensibilisiert werden, die mit der Telearbeit verbunden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 - ref_id: OPS.1.2.4.A5.2 - description: "Au\xDFerdem M\xDCSSEN sie in die entsprechenden Sicherheitsma\xDF\ - nahmen der Institution eingewiesen und im Umgang mit diesen geschult werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 - ref_id: OPS.1.2.4.A5.3 - description: "Die Schulungs- und Sensibilisierungsma\xDFnahmen f\xFCr Mitarbeitenden\ - \ SOLLTEN regelm\xE4\xDFig wiederholt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A6 - name: "Erstellen eines Sicherheitskonzeptes f\xFCr Telearbeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 - ref_id: OPS.1.2.4.A6.1 - description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Telearbeit erstellt\ - \ werden, das Sicherheitsziele, Schutzbedarf, Sicherheitsanforderungen sowie\ - \ Risiken beschreibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 - ref_id: OPS.1.2.4.A6.2 - description: "Das Konzept SOLLTE regelm\xE4\xDFig aktualisiert und \xFCberarbeitet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 - ref_id: OPS.1.2.4.A6.3 - description: "Das Sicherheitskonzept zur Telearbeit SOLLTE auf das \xFCbergreifende\ - \ Sicherheitskonzept der Institution abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A7 - name: "Regelung der Nutzung von Kommunikationsm\xF6glichkeiten bei Telearbeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 - ref_id: OPS.1.2.4.A7.1 - description: "Es SOLLTE klar geregelt werden, welche Kommunikationsm\xF6glichkeiten\ - \ bei der Telearbeit unter welchen Rahmenbedingungen genutzt werden d\xFC\ - rfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 - ref_id: OPS.1.2.4.A7.2 - description: Die dienstliche und private Nutzung von Internetdiensten bei der - Telearbeit SOLLTE geregelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 - ref_id: OPS.1.2.4.A7.3 - description: "Dabei SOLLTE auch gekl\xE4rt werden, ob eine private Nutzung generell\ - \ erlaubt oder unterbunden wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A8 - name: Informationsfluss zwischen Mitarbeitenden und Institution - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 - ref_id: OPS.1.2.4.A8.1 - description: "Ein regelm\xE4\xDFiger innerbetrieblicher Informationsaustausch\ - \ zwischen den Mitarbeitenden und der Institution SOLLTE gew\xE4hrleistet\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 - ref_id: OPS.1.2.4.A8.2 - description: "Alle Mitarbeitenden SOLLTEN zeitnah \xFCber ge\xE4nderte Sicherheitsanforderungen\ - \ und andere sicherheitsrelevante Aspekte informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 - ref_id: OPS.1.2.4.A8.3 - description: "Allen Kollegen und Kolleginnen der jeweiligen Mitarbeitenden SOLLTE\ - \ bekannt sein, wann und wo diese erreicht werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 - ref_id: OPS.1.2.4.A8.4 - description: "Technische und organisatorische Telearbeitsregelungen zur Aufgabenbew\xE4\ - ltigung, zu Sicherheitsvorf\xE4llen und sonstigen Problemen SOLLTEN geregelt\ - \ und an die Mitarbeitenden kommuniziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A9 - name: "Betreuungs- und Wartungskonzept f\xFCr Telearbeitspl\xE4tze" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 - ref_id: OPS.1.2.4.A9.1 - description: "F\xFCr Telearbeitspl\xE4tze SOLLTE ein spezielles Betreuungs-\ - \ und Wartungskonzept erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 - ref_id: OPS.1.2.4.A9.2 - description: "Darin SOLLTEN folgende Aspekte geregelt werden: Kontaktperson\ - \ des IT-Betriebs, Wartungstermine, Fernwartung, Transport der IT-Ger\xE4\ - te und Einf\xFChrung von Standard-Telearbeitsrechnern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 - ref_id: OPS.1.2.4.A9.3 - description: "Damit die Mitarbeitenden einsatzf\xE4hig bleiben, SOLLTEN f\xFC\ - r sie Kontaktpersonen f\xFCr Hard- und Softwareprobleme benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 - ref_id: OPS.1.2.4.A10 - name: "Durchf\xFChrung einer Anforderungsanalyse f\xFCr den Telearbeitsplatz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 - ref_id: OPS.1.2.4.A10.1 - description: "Bevor ein Telearbeitsplatz eingerichtet wird, SOLLTE eine Anforderungsanalyse\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 - ref_id: OPS.1.2.4.A10.2 - description: "Daraus SOLLTE z. B. hervorgehen, welche Hard- und Software-Komponenten\ - \ f\xFCr den Telearbeitsplatz ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 - ref_id: OPS.1.2.4.A10.3 - description: Die Anforderungen an den jeweiligen Telearbeitsplatz SOLLTEN mit - den IT-Verantwortlichen abgestimmt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 - ref_id: OPS.1.2.4.A10.4 - description: Es SOLLTE immer festgestellt und dokumentiert werden, welchen Schutzbedarf - die am Telearbeitsplatz verarbeiteten Informationen haben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.2.5 - name: Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A1 - name: Planung des Einsatzes der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 - ref_id: OPS.1.2.5.A1.1 - description: Der Einsatz der Fernwartung MUSS an die Institution angepasst werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 - ref_id: OPS.1.2.5.A1.2 - description: Die Fernwartung MUSS hinsichtlich technischer und organisatorischer - Aspekte bedarfsgerecht geplant werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 - ref_id: OPS.1.2.5.A1.3 - description: "Dabei MUSS mindestens ber\xFCcksichtigt werden, welche IT-Systeme\ - \ ferngewartet werden sollen und wer daf\xFCr zust\xE4ndig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A2 - name: Sicherer Verbindungsaufbau bei der Fernwartung von Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2 - ref_id: OPS.1.2.5.A2.1 - description: Wird per Fernwartung auf Desktop-Umgebungen von Clients zugegriffen, - MUSS die Fernwartungssoftware so konfiguriert sein, dass sie eine Verbindung - erst nach expliziter Zustimmung der Benutzenden aufbaut. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A3 - name: Absicherung der Schnittstellen zur Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - ref_id: OPS.1.2.5.A3.1 - description: "Die m\xF6glichen Zug\xE4nge und Kommunikationsverbindungen f\xFC\ - r die Fernwartung M\xDCSSEN auf das notwendige Ma\xDF beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - ref_id: OPS.1.2.5.A3.2 - description: "Alle Fernwartungsverbindungen M\xDCSSEN nach dem Fernzugriff getrennt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - ref_id: OPS.1.2.5.A3.3 - description: "Es MUSS sichergestellt werden, dass Fernwartungssoftware nur auf\ - \ IT-Systemen installiert ist, auf denen sie ben\xF6tigt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - ref_id: OPS.1.2.5.A3.4 - description: "Fernwartungsverbindungen \xFCber nicht vertrauensw\xFCrdige Netze\ - \ M\xDCSSEN verschl\xFCsselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 - ref_id: OPS.1.2.5.A3.5 - description: "Alle anderen Fernwartungsverbindungen SOLLTEN verschl\xFCsselt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A5 - name: Einsatz von Online-Diensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 - ref_id: OPS.1.2.5.A5.1 - description: "Die Institution SOLLTE festlegen, unter welchen Umst\xE4nden Online-Dienste\ - \ zur Fernwartung genutzt werden d\xFCrfen, bei denen die Verbindung \xFC\ - ber einen externen Server hergestellt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 - ref_id: OPS.1.2.5.A5.2 - description: "Der Einsatz solcher Dienste SOLLTE generell auf m\xF6glichst wenige\ - \ F\xE4lle beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 - ref_id: OPS.1.2.5.A5.3 - description: Die IT-Systeme SOLLTEN keine automatisierten Verbindungen zum Online-Dienst - aufbauen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 - ref_id: OPS.1.2.5.A5.4 - description: "Es SOLLTE sichergestellt werden, dass der eingesetzte Online-Dienst\ - \ die \xFCbertragenen Informationen Ende-zu-Ende-verschl\xFCsselt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A6 - name: "Erstellung einer Richtlinie f\xFCr die Fernwartung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 - ref_id: OPS.1.2.5.A6.1 - description: Die Institution SOLLTE eine Richtlinie zur Fernwartung erstellen, - in der alle relevanten Regelungen zur Fernwartung dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 - ref_id: OPS.1.2.5.A6.2 - description: "Die Richtlinie SOLLTE allen Zust\xE4ndigen bekannt sein, die an\ - \ der Konzeption, dem Aufbau und dem Betrieb der Fernwartung beteiligt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A7 - name: Dokumentation bei der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 - ref_id: OPS.1.2.5.A7.1 - description: Die Fernwartung SOLLTE geeignet dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 - ref_id: OPS.1.2.5.A7.2 - description: "Aus der Dokumentation SOLLTE hervorgehen, welche Fernwartungszug\xE4\ - nge existieren und ob diese aktiviert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 - ref_id: OPS.1.2.5.A7.3 - description: "Die Dokumente SOLLTEN an geeigneten Orten und vor unberechtigtem\ - \ Zugriff gesch\xFCtzt abgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 - ref_id: OPS.1.2.5.A7.4 - description: "Die Dokumente SOLLTEN im Rahmen des Notfallmanagements zur Verf\xFC\ - gung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A8 - name: Sichere Protokolle bei der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 - ref_id: OPS.1.2.5.A8.1 - description: Nur als sicher eingestufte Kommunikationsprotokolle SOLLTEN eingesetzt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 - ref_id: OPS.1.2.5.A8.2 - description: "Daf\xFCr SOLLTEN sichere kryptografische Verfahren verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 - ref_id: OPS.1.2.5.A8.3 - description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ - ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 - ref_id: OPS.1.2.5.A8.4 - description: "Wird auf die Fernwartungszug\xE4nge von IT-Systemen im internen\ - \ Netz \xFCber ein \xF6ffentliches Datennetz zugegriffen, SOLLTE ein abgesichertes\ - \ Virtuelles Privates Netz (VPN) genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A9 - name: Auswahl und Beschaffung geeigneter Fernwartungswerkzeuge - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 - ref_id: OPS.1.2.5.A9.1 - description: Die Auswahl geeigneter Fernwartungswerkzeuge SOLLTE sich aus den - betrieblichen, sicherheitstechnischen und datenschutzrechtlichen Anforderungen - der Institution ergeben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 - ref_id: OPS.1.2.5.A9.2 - description: Alle Beschaffungsentscheidungen SOLLTEN mit den System- und Anwendungsverantwortlichen - sowie dem oder der Informationssicherheitsbeauftragten abgestimmt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A10 - name: Umgang mit Fernwartungswerkzeugen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - ref_id: OPS.1.2.5.A10.1 - description: "Es SOLLTEN organisatorische Verwaltungsprozesse zum Umgang mit\ - \ den ausgew\xE4hlten Fernwartungswerkzeugen etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - ref_id: OPS.1.2.5.A10.2 - description: "Es SOLLTE eine Bedienungsanleitung f\xFCr den Umgang mit den Fernwartungswerkzeugen\ - \ vorliegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - ref_id: OPS.1.2.5.A10.3 - description: "Erg\xE4nzend zu den allgemeinen Schulungsma\xDFnahmen SOLLTEN\ - \ Musterabl\xE4ufe f\xFCr die passive und die aktive Fernwartung erstellt\ - \ und kommuniziert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - ref_id: OPS.1.2.5.A10.4 - description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ - \ der IT-Betrieb besonders im Umgang mit den Fernwartungswerkzeugen sensibilisiert\ - \ und geschult werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 - ref_id: OPS.1.2.5.A10.5 - description: "Es SOLLTE ein Ansprechpartner oder eine Ansprechpartnerin f\xFC\ - r alle fachlichen Fragen zu den Fernwartungswerkzeugen benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A14 - name: Dedizierte Clients und Konten bei der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 - ref_id: OPS.1.2.5.A14.1 - description: "Zur Fernwartung SOLLTEN IT-Systeme eingesetzt werden, die ausschlie\xDF\ - lich zur Administration von anderen IT-Systemen dienen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 - ref_id: OPS.1.2.5.A14.2 - description: Alle weiteren Funktionen auf diesen IT-Systemen SOLLTEN deaktiviert - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 - ref_id: OPS.1.2.5.A14.3 - description: "Die Netzkommunikation der Administrationssysteme SOLLTE so eingeschr\xE4\ - nkt werden, dass nur Verbindungen zu IT-Systemen m\xF6glich sind, die administriert\ - \ werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 - ref_id: OPS.1.2.5.A14.4 - description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN dedizierte Konten verwendet\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A17 - name: Authentisierungsmechanismen bei der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 - ref_id: OPS.1.2.5.A17.1 - description: "F\xFCr die Fernwartung SOLLTEN Mehr-Faktor-Verfahren zur Authentisierung\ - \ eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 - ref_id: OPS.1.2.5.A17.2 - description: "Die Auswahl der Authentisierungsmethode und die Gr\xFCnde, die\ - \ zu der Auswahl gef\xFChrt haben, SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 - ref_id: OPS.1.2.5.A17.3 - description: "Fernwartungszug\xE4nge SOLLTEN im Identit\xE4ts- und Berechtigungsmanagement\ - \ der Institution ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A19 - name: Fernwartung durch Dritte - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.1 - description: "Wird die Fernwartung von Externen durchgef\xFChrt, SOLLTEN alle\ - \ Fernwartungsaktivit\xE4ten von internen Mitarbeitenden beobachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.2 - description: "Alle Fernwartungsvorg\xE4nge durch Dritte SOLLTEN aufgezeichnet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.3 - description: "Mit externem Wartungspersonal M\xDCSSEN vertragliche Regelungen\ - \ \xFCber die Sicherheit der betroffenen IT-Systeme und Informationen geschlossen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.4 - description: Die Pflichten und Kompetenzen des externen Wartungspersonals SOLLTEN - in den vertraglichen Regelungen festgehalten werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.5 - description: "Sollten Dienstleistende mehrere Kunden und Kundinnen fernwarten,\ - \ MUSS gew\xE4hrleistet sein, dass die Netze der Kunden und Kundinnen nicht\ - \ miteinander verbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 - ref_id: OPS.1.2.5.A19.6 - description: "Die Fernwartungsschnittstellen SOLLTEN so konfiguriert sein, dass\ - \ es Dienstleistenden nur m\xF6glich ist, auf die IT-Systeme und Netzsegmente\ - \ zuzugreifen, die f\xFCr seine Arbeit ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A20 - name: Betrieb der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 - ref_id: OPS.1.2.5.A20.1 - description: "Ein Meldeprozess f\xFCr Support- und Fernwartungsanliegen SOLLTE\ - \ etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 - ref_id: OPS.1.2.5.A20.2 - description: Es SOLLTEN Mechanismen zur Erkennung und Abwehr von hochvolumigen - Angriffen, TCP-State-Exhaustion-Angriffen und Angriffen auf Applikationsebene - implementiert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 - ref_id: OPS.1.2.5.A20.3 - description: "Alle Fernwartungsvorg\xE4nge SOLLTEN protokolliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A21 - name: "Erstellung eines Notfallplans f\xFCr den Ausfall der Fernwartung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 - ref_id: OPS.1.2.5.A21.1 - description: "Es SOLLTE ein Konzept entwickelt werden, wie die Folgen eines\ - \ Ausfalls von Fernwartungskomponenten minimiert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 - ref_id: OPS.1.2.5.A21.2 - description: Dieses SOLLTE festhalten, wie im Falle eines Ausfalls zu reagieren - ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 - ref_id: OPS.1.2.5.A21.3 - description: "Durch den Notfallplan SOLLTE sichergestellt sein, dass St\xF6\ - rungen, Sch\xE4den und Folgesch\xE4den minimiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 - ref_id: OPS.1.2.5.A21.4 - description: "Au\xDFerdem SOLLTE festgelegt werden, wie eine zeitnahe Wiederherstellung\ - \ des Normalbetriebs erfolgen kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A22 - name: Redundante Kommunikationsverbindungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 - ref_id: OPS.1.2.5.A22.1 - description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN redundante Kommunikationsverbindungen\ - \ eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 - ref_id: OPS.1.2.5.A22.2 - description: Die Institution SOLLTE Anbindungen zum Out-Of-Band-Management vorhalten. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A24 - name: Absicherung integrierter Fernwartungssysteme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - ref_id: OPS.1.2.5.A24.1 - description: "Bei der Beschaffung von neuen IT-Systemen SOLLTE gepr\xFCft werden,\ - \ ob diese IT-Systeme oder einzelne Komponenten der IT-Systeme \xFCber Funktionen\ - \ zur Fernwartung verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - ref_id: OPS.1.2.5.A24.2 - description: Werden diese Funktionen nicht verwendet, SOLLTEN sie deaktiviert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - ref_id: OPS.1.2.5.A24.3 - description: "Die Funktionen SOLLTEN ebenfalls deaktiviert werden, wenn sie\ - \ durch bekannte Sicherheitsl\xFCcken gef\xE4hrdet sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - ref_id: OPS.1.2.5.A24.4 - description: "Werden Fernwartungsfunktionen verwendet, die in die Firmware einzelner\ - \ Komponenten integriert sind, SOLLTEN deren Funktionen und der Zugriff darauf\ - \ so weit wie m\xF6glich eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 - ref_id: OPS.1.2.5.A24.5 - description: Die Fernwartungsfunktionen SOLLTEN nur aus einem getrennten Managementnetz - erreichbar sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 - ref_id: OPS.1.2.5.A25 - name: Entkopplung der Kommunikation bei der Fernwartung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 - ref_id: OPS.1.2.5.A25.1 - description: "Direkte Fernwartungszugriffe von einem Fernwartungs-Client au\xDF\ - erhalb der Managementnetze auf ein IT-System SOLLTEN vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 - ref_id: OPS.1.2.5.A25.2 - description: Ist ein solcher Zugriff notwendig, SOLLTE die Kommunikation entkoppelt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 - ref_id: OPS.1.2.5.A25.3 - description: Dazu SOLLTEN Sprungserver verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 - ref_id: OPS.1.2.5.A25.4 - description: "Der Zugriff auf Sprungserver SOLLTE nur von vertrauensw\xFCrdigen\ - \ IT-Systemen aus m\xF6glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.1.2.6 - name: NTP-Zeitsynchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A1 - name: Planung des NTP- Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.1 - description: Der IT-Betrieb MUSS planen, wo und wie NTP eingesetzt wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.2 - description: "Dies SOLLTE vollst\xE4ndig dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.3 - description: Dabei MUSS ermittelt werden, welche Anwendungen auf eine genaue - Zeitinformation angewiesen sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.4 - description: "Die Anforderungen des Informationsverbunds hinsichtlich genauer\ - \ Zeit der IT-Systeme M\xDCSSEN definiert und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.5 - description: Der IT-Betrieb MUSS definieren, welche NTP-Server von welchen NTP-Clients - genutzt werden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 - ref_id: OPS.1.2.6.A1.6 - description: Es MUSS festgelegt werden, ob NTP-Server im Client-Server- oder - im Broadcast-Modus arbeiten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A2 - name: Sichere Nutzung fremder Zeitquellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 - ref_id: OPS.1.2.6.A2.1 - description: "Falls Zeitinformationen von einem NTP-Server au\xDFerhalb des\ - \ Netzes der Institution bezogen werden, dann MUSS der IT-Betrieb beurteilen,\ - \ ob der NTP-Server hinreichend verl\xE4sslich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 - ref_id: OPS.1.2.6.A2.2 - description: "Der IT-Betrieb MUSS sicherstellen, dass nur als verl\xE4sslich\ - \ eingestufte NTP-Server verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 - ref_id: OPS.1.2.6.A2.3 - description: Der IT-Betrieb MUSS die Nutzungsregeln des NTP-Servers kennen und - beachten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A3 - name: Sichere Konfiguration von NTP-Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 - ref_id: OPS.1.2.6.A3.1 - description: "Der IT-Betrieb MUSS den NTP-Server so konfigurieren, dass Clients\ - \ nur dann Einstellungen des NTP-Servers ver\xE4ndern k\xF6nnen, wenn dies\ - \ explizit vorgesehen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 - ref_id: OPS.1.2.6.A3.2 - description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass nur vertrauensw\xFC\ - rdige Clients Status-Informationen abfragen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 - ref_id: OPS.1.2.6.A3.3 - description: "Falls die internen NTP-Server der Institution nicht selbst hinreichend\ - \ genaue Zeitquellen nutzen, dann MUSS der IT-Betrieb diese NTP-Server so\ - \ konfigurieren, dass sie regelm\xE4\xDFig genaue Zeitinformationen von externen\ - \ NTP-Servern abfragen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A4 - name: "Nichtber\xFCcksichtigung unaufgeforderter Zeitinformationen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4 - ref_id: OPS.1.2.6.A4.1 - description: Der IT-Betrieb MUSS alle NTP-Clients so konfigurieren, dass sie - Zeitinformationen verwerfen, die sie unaufgefordert von anderen IT-Systemen - erhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A5 - name: "Nutzung des Client-Server-Modus f\xFCr NTP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 - ref_id: OPS.1.2.6.A5.1 - description: Der IT-Betrieb SOLLTE alle IT-Systeme so konfigurieren, dass sie - den NTP-Dienst im Client-Server-Modus nutzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 - ref_id: OPS.1.2.6.A5.2 - description: NTP-Server SOLLTEN Zeitinformationen nur dann an Clients versenden, - wenn diese aktiv anfragen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A6 - name: "\xDCberwachung von IT-Systemen mit NTP-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.1 - description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit, die Kapazit\xE4t und\ - \ die Systemzeit der internen NTP-Server \xFCberwachen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.2 - description: 'Der IT-Betrieb SOLLTE IT-Systeme, die ihre Zeit per NTP synchronisieren, - so konfigurieren, dass sie folgende Ereignisse protokollieren:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.3 - description: "\u2022 unerwartete Neustarts des IT-Systems," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.4 - description: "\u2022 unerwartete Neustarts des NTP-Dienstes," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.5 - description: "\u2022 Fehler im Zusammenhang mit dem NTP-Dienst sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.6 - description: "\u2022 ungew\xF6hnliche Zeitinformationen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 - ref_id: OPS.1.2.6.A6.7 - description: "Falls der NTP-Server von sich aus regelm\xE4\xDFig Zeitinformationen\ - \ versendet (Broadcast-Modus), dann SOLLTE der IT-Betrieb die NTP-Clients\ - \ daraufhin \xFCberwachen, ob sie ungew\xF6hnliche Zeitinformationen erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A7 - name: Sichere Konfiguration von NTP-Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.1 - description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System - verwenden soll, wenn es neu gestartet wurde. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.2 - description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System - verwenden soll, wenn sein NTP-Dienst neu gestartet wurde. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.3 - description: Der IT-Betrieb SOLLTE festlegen, wie NTP-Clients auf stark abweichende - Zeitinformationen reagieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.4 - description: Insbesondere SOLLTE entschieden werden, ob stark abweichende Zeitinformationen - von NTP-Servern nach einem Systemneustart akzeptiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.5 - description: "Der IT-Betrieb SOLLTE Grenzwerte f\xFCr stark abweichende Zeitinformationen\ - \ festlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 - ref_id: OPS.1.2.6.A7.6 - description: Der IT-Betrieb SOLLTE sicherstellen, dass NTP-Clients auch dann - noch ausreichende Zeitinformationen erhalten, wenn sie von einem NTP-Server - aufgefordert werden, weniger oder gar keine Anfragen zu senden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A8 - name: Einsatz sicherer Protokolle zur Zeitsynchronisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 - ref_id: OPS.1.2.6.A8.1 - description: "Der IT-Betrieb SOLLTE pr\xFCfen, ob sichere Protokolle zur Zeitsynchronisation\ - \ eingesetzt werden k\xF6nnen (z. B. Network Time Security (NTS))." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 - ref_id: OPS.1.2.6.A8.2 - description: "Falls dies m\xF6glich ist, SOLLTEN sichere Protokolle eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A9 - name: "Verf\xFCgbarkeit ausreichend vieler genauer Zeitquellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 - ref_id: OPS.1.2.6.A9.1 - description: "Falls korrekte Systemzeiten von erheblicher Bedeutung sind, dann\ - \ SOLLTE eine Institution \xFCber mehrere Stratum-1-NTP-Server in ihrem Netz\ - \ verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 - ref_id: OPS.1.2.6.A9.2 - description: Die IT-Systeme des Informationsverbunds mit NTP-Dienst SOLLTEN - die Stratum-1-NTP-Server direkt oder indirekt als Zeitreferenz nutzen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 - ref_id: OPS.1.2.6.A9.3 - description: "Die Straum-1-Server SOLLTEN jeweils \xFCber verschiedene Zeitquellen\ - \ verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A10 - name: "Ausschlie\xDFlich interne NTP-Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10 - ref_id: OPS.1.2.6.A10.1 - description: "Jedes IT-System des Informationsverbunds mit NTP-Dienst SOLLTE\ - \ Zeitinformationen ausschlie\xDFlich von NTP-Servern innerhalb des Netzes\ - \ der Institution beziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A11 - name: Redundante NTP-Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11 - ref_id: OPS.1.2.6.A11.1 - description: "IT-Systeme, bei denen die Genauigkeit der Systemzeit von erheblicher\ - \ Bedeutung ist, SOLLTEN Zeitinformationen von mindestens vier unabh\xE4ngigen\ - \ NTP-Servern beziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 - ref_id: OPS.1.2.6.A12 - name: "NTP-Server mit authentifizierten Ausk\xFCnften" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 - ref_id: OPS.1.2.6.A12.1 - description: "NTP-Server SOLLTEN sich bei der Kommunikation gegen\xFCber Clients\ - \ authentisieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 - ref_id: OPS.1.2.6.A12.2 - description: "Dies SOLLTE auch f\xFCr die Server gelten, von denen der NTP-Server\ - \ seinerseits Zeitinformationen erh\xE4lt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 - ref_id: OPS.1.2.6.A12.3 - description: Die NTP-Clients SOLLTEN nur authentifizierte NTP-Daten akzeptieren. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.2.2 - name: Cloud-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A1 - name: "Erstellung einer Strategie f\xFCr die Cloud-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.1 - description: "Eine Strategie f\xFCr die Cloud-Nutzung MUSS erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.2 - description: "Darin M\xDCSSEN Ziele, Chancen und Risiken definiert werden, die\ - \ die Institution mit der Cloud-Nutzung verbindet." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.3 - description: "Zudem M\xDCSSEN die rechtlichen und organisatorischen Rahmenbedingungen\ - \ sowie die technischen Anforderungen untersucht werden, die sich aus der\ - \ Nutzung von Cloud-Diensten ergeben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.4 - description: "Die Ergebnisse dieser Untersuchung M\xDCSSEN in einer Machbarkeitsstudie\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.5 - description: "Es MUSS festgelegt werden, welche Dienste in welchem Bereitstellungsmodell\ - \ zuk\xFCnftig von Cloud-Diensteanbietenden bezogen werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.6 - description: "Zudem MUSS sichergestellt werden, dass bereits in der Planungsphase\ - \ zur Cloud-Nutzung alle grundlegenden technischen und organisatorischen Sicherheitsaspekte\ - \ ausreichend ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.7 - description: "F\xFCr den geplanten Cloud-Dienst SOLLTE eine grobe individuelle\ - \ Sicherheitsanalyse durchgef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.8 - description: "Diese SOLLTE wiederholt werden, wenn sich technische und organisatorische\ - \ Rahmenbedingungen wesentlich ver\xE4ndern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 - ref_id: OPS.2.2.A1.9 - description: "F\xFCr gr\xF6\xDFere Cloud-Projekte SOLLTE zudem eine Roadmap\ - \ erarbeitet werden, die festlegt, wann und wie ein Cloud-Dienst eingef\xFC\ - hrt wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A2 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 - ref_id: OPS.2.2.A2.1 - description: "Auf Basis der Strategie f\xFCr die Cloud-Nutzung MUSS eine Sicherheitsrichtlinie\ - \ f\xFCr die Cloud-Nutzung erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 - ref_id: OPS.2.2.A2.2 - description: Sie MUSS konkrete Sicherheitsvorgaben beinhalten, mit denen sich - Cloud-Dienste innerhalb der Institution umsetzen lassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 - ref_id: OPS.2.2.A2.3 - description: "Au\xDFerdem M\xDCSSEN darin spezielle Sicherheitsanforderungen\ - \ an die Cloud-Diensteanbietenden sowie das festgelegte Schutzniveau f\xFC\ - r Cloud-Dienste hinsichtlich Vertraulichkeit, Integrit\xE4t und Verf\xFCgbarkeit\ - \ dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 - ref_id: OPS.2.2.A2.4 - description: "Wenn Cloud-Dienste von internationalen Anbietenden genutzt werden,\ - \ M\xDCSSEN die speziellen l\xE4nderspezifischen Anforderungen und gesetzlichen\ - \ Bestimmungen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A3 - name: "Service-Definition f\xFCr Cloud-Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 - ref_id: OPS.2.2.A3.1 - description: "F\xFCr jeden Cloud-Dienst MUSS eine Service-Definition erarbeitet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 - ref_id: OPS.2.2.A3.2 - description: Zudem SOLLTEN alle geplanten und genutzten Cloud-Dienste dokumentiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A4 - name: Festlegung von Verantwortungsbereichen und Schnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 - ref_id: OPS.2.2.A4.1 - description: "Basierend auf der Service-Definition f\xFCr Cloud-Dienste M\xDC\ - SSEN alle relevanten Schnittstellen und Verantwortlichkeiten f\xFCr die Cloud-Nutzung\ - \ identifiziert und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 - ref_id: OPS.2.2.A4.2 - description: Es MUSS klar erkennbar sein, wie die Verantwortungsbereiche zwischen - Cloud-Diensteanbietenden und der auftraggebenden Institution voneinander abgegrenzt - sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A5 - name: Planung der sicheren Migration zu einem Cloud-Dienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - ref_id: OPS.2.2.A5.1 - description: Bevor zu einem Cloud-Dienst migriert wird, SOLLTE ein Migrationskonzept - erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - ref_id: OPS.2.2.A5.2 - description: "Daf\xFCr SOLLTEN zun\xE4chst organisatorische Regelungen sowie\ - \ die Aufgabenverteilung festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - ref_id: OPS.2.2.A5.3 - description: Zudem SOLLTEN bestehende Betriebsprozesse hinsichtlich der Cloud-Nutzung - identifiziert und angepasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - ref_id: OPS.2.2.A5.4 - description: "Es SOLLTE sichergestellt werden, dass die eigene IT ausreichend\ - \ im Migrationsprozess ber\xFCcksichtigt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 - ref_id: OPS.2.2.A5.5 - description: "Auch SOLLTEN die Zust\xE4ndigen ermitteln, ob die Mitarbeitenden\ - \ auf Seiten der Institution zus\xE4tzlich geschult werden sollten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A6 - name: Planung der sicheren Einbindung von Cloud-Diensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 - ref_id: OPS.2.2.A6.1 - description: "Bevor ein Cloud-Dienst genutzt wird, SOLLTE sorgf\xE4ltig geplant\ - \ werden, wie er in die IT der Institution eingebunden werden soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 - ref_id: OPS.2.2.A6.2 - description: "Hierf\xFCr SOLLTE mindestens gepr\xFCft werden, ob Anpassungen\ - \ der Schnittstellen, der Netzanbindung, des Administrationsmodells sowie\ - \ des Datenmanagementmodells notwendig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 - ref_id: OPS.2.2.A6.3 - description: "Die Ergebnisse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A7 - name: "Erstellung eines Sicherheitskonzeptes f\xFCr die Cloud-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7 - ref_id: OPS.2.2.A7.1 - description: "Auf Grundlage der identifizierten Sicherheitsanforderungen (siehe\ - \ OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung)\ - \ SOLLTE ein Sicherheitskonzept f\xFCr die Nutzung von Cloud-Diensten erstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A8 - name: "Sorgf\xE4ltige Auswahl von Cloud-Diensteanbietenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 - ref_id: OPS.2.2.A8.1 - description: "Basierend auf der Service-Definition f\xFCr den Cloud-Dienst SOLLTE\ - \ ein detailliertes Anforderungsprofil f\xFCr Cloud-Diensteanbietende erstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 - ref_id: OPS.2.2.A8.2 - description: Eine Leistungsbeschreibung und ein Lastenheft SOLLTEN erstellt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 - ref_id: OPS.2.2.A8.3 - description: "F\xFCr die Bewertung von Cloud-Diensteanbietenden SOLLTEN auch\ - \ erg\xE4nzende Informationsquellen herangezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 - ref_id: OPS.2.2.A8.4 - description: "Ebenso SOLLTEN verf\xFCgbare Service-Beschreibungen der Cloud-Diensteanbietenden\ - \ sorgf\xE4ltig gepr\xFCft und hinterfragt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A9 - name: Vertragsgestaltung mit den Cloud-Diensteanbietenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.1 - description: Die vertraglichen Regelungen zwischen der auftraggebenden Institution - und den Cloud-Diensteanbietenden SOLLTEN in Art, Umfang und Detaillierungsgrad - dem Schutzbedarf der Informationen angepasst sein, die im Zusammenhang mit - der Cloud-Nutzung stehen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.2 - description: Es SOLLTE geregelt werden, an welchem Standort die Cloud-Diensteanbietenden - ihre Leistung erbringen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.3 - description: "Zus\xE4tzlich SOLLTEN Eskalationsstufen und Kommunikationswege\ - \ zwischen der Institution und den Cloud-Diensteanbietenden definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.4 - description: "Auch SOLLTE vereinbart werden, wie die Daten der Institution sicher\ - \ zu l\xF6schen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.5 - description: "Ebenso SOLLTEN K\xFCndigungsregelungen schriftlich fixiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 - ref_id: OPS.2.2.A9.6 - description: "Die Cloud-Diensteanbietenden SOLLTEN alle Subunternehmen offenlegen,\ - \ die sie f\xFCr den Cloud-Dienst ben\xF6tigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A10 - name: Sichere Migration zu einem Cloud-Dienst - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - ref_id: OPS.2.2.A10.1 - description: Die Migration zu einem Cloud-Dienst SOLLTE auf Basis des erstellten - Migrationskonzeptes erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - ref_id: OPS.2.2.A10.2 - description: "W\xE4hrend der Migration SOLLTE \xFCberpr\xFCft werden, ob das\ - \ Sicherheitskonzept f\xFCr die Cloud-Nutzung an potenzielle neue Anforderungen\ - \ angepasst werden muss." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - ref_id: OPS.2.2.A10.3 - description: "Auch SOLLTEN alle Notfallvorsorgema\xDFnahmen vollst\xE4ndig und\ - \ aktuell sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - ref_id: OPS.2.2.A10.4 - description: "Die Migration zu einem Cloud-Dienst SOLLTE zun\xE4chst in einem\ - \ Testlauf \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 - ref_id: OPS.2.2.A10.5 - description: "Ist der Cloud-Dienst in den produktiven Betrieb \xFCbergegangen,\ - \ SOLLTE abgeglichen werden, ob die Cloud-Diensteanbietenden die definierten\ - \ Anforderungen der Institution erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A11 - name: "Erstellung eines Notfallkonzeptes f\xFCr einen Cloud-Dienst" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 - ref_id: OPS.2.2.A11.1 - description: "F\xFCr die genutzten Cloud-Dienste SOLLTE ein Notfallkonzept erstellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 - ref_id: OPS.2.2.A11.2 - description: "Es SOLLTE alle notwendigen Angaben zu Zust\xE4ndigkeiten und Kontaktpersonen\ - \ enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 - ref_id: OPS.2.2.A11.3 - description: Zudem SOLLTEN detaillierte Regelungen hinsichtlich der Datensicherung - getroffen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 - ref_id: OPS.2.2.A11.4 - description: Auch Vorgaben zu redundant auszulegenden Management-Tools und Schnittstellensystemen - SOLLTEN festgehalten sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A12 - name: Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 - ref_id: OPS.2.2.A12.1 - description: "Alle f\xFCr die eingesetzten Cloud-Dienste erstellten Dokumentationen\ - \ und Richtlinien SOLLTEN regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 - ref_id: OPS.2.2.A12.2 - description: "Es SOLLTE au\xDFerdem periodisch kontrolliert werden, ob die vertraglich\ - \ zugesicherten Leistungen erbracht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 - ref_id: OPS.2.2.A12.3 - description: "Auch SOLLTEN sich die Cloud-Diensteanbietenden und die Institution\ - \ nach M\xF6glichkeit regelm\xE4\xDFig abstimmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 - ref_id: OPS.2.2.A12.4 - description: "Ebenso SOLLTE geplant und ge\xFCbt werden, wie auf Systemausf\xE4\ - lle zu reagieren ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A13 - name: Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 - ref_id: OPS.2.2.A13.1 - description: "Die Institution SOLLTE sich von den Cloud-Diensteanbietenden regelm\xE4\ - \xDFig nachweisen lassen, dass die vereinbarten Sicherheitsanforderungen erf\xFC\ - llt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 - ref_id: OPS.2.2.A13.2 - description: Der Nachweis SOLLTE auf einem international anerkannten Regelwerk - basieren (z. B. IT-Grundschutz, ISO/IEC 27001, Anforderungskatalog Cloud Computing - (C5), Cloud Controls Matrix der Cloud Security Alliance). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 - ref_id: OPS.2.2.A13.3 - description: "Die Institution SOLLTE pr\xFCfen, ob der Geltungsbereich und Schutzbedarf\ - \ die genutzten Cloud-Dienste erfasst." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 - ref_id: OPS.2.2.A13.4 - description: "Nutzen Cloud-Diensteanbietende Subunternehmen, um die Cloud-Dienste\ - \ zu erbringen, SOLLTEN Cloud-Diensteanbietende der Institution regelm\xE4\ - \xDFig nachweisen, dass diese Subunternehmen die notwendigen Audits durchf\xFC\ - hren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A14 - name: "Geordnete Beendigung eines Cloud-Nutzungs-Verh\xE4ltnisses" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 - ref_id: OPS.2.2.A14.1 - description: "Wenn das Dienstleistungsverh\xE4ltnis mit den Cloud-Diensteanbietenden\ - \ beendet wird, SOLLTE sichergestellt sein, dass dadurch die Gesch\xE4ftst\xE4\ - tigkeit oder die Fachaufgaben der Institution nicht beeintr\xE4chtigt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 - ref_id: OPS.2.2.A14.2 - description: "Die Vertr\xE4ge mit den Cloud-Diensteanbietenden SOLLTEN regeln,\ - \ wie das jeweilige Dienstleistungsverh\xE4ltnis geordnet aufgel\xF6st werden\ - \ kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A15 - name: "Sicherstellung der Portabilit\xE4t von Cloud-Diensten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 - ref_id: OPS.2.2.A15.1 - description: "Die Institution SOLLTE alle Anforderungen definieren, die es erm\xF6\ - glichen, Cloud-Diensteanbietende zu wechseln oder den Cloud-Dienst bzw. die\ - \ Daten in die eigene IT-Infrastruktur zur\xFCckzuholen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 - ref_id: OPS.2.2.A15.2 - description: "Zudem SOLLTE die Institution regelm\xE4\xDFig Portabilit\xE4tstests\ - \ durchf\xFChren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 - ref_id: OPS.2.2.A15.3 - description: "In den Vertr\xE4gen mit den Cloud-Diensteanbietenden SOLLTEN Vorgaben\ - \ festgehalten werden, mit denen sich die notwendige Portabilit\xE4t gew\xE4\ - hrleisten l\xE4sst." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A16 - name: "Durchf\xFChrung eigener Datensicherungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 - ref_id: OPS.2.2.A16.1 - description: "Die Institution SOLLTE pr\xFCfen, ob, zus\xE4tzlich zu den vertraglich\ - \ festgelegten Datensicherungen der Cloud-Diensteanbietenden, eigene Datensicherungen\ - \ erstellt werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 - ref_id: OPS.2.2.A16.2 - description: Zudem SOLLTE sie detaillierte Anforderungen an einen Backup-Service - erstellen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A17 - name: "Einsatz von Verschl\xFCsselung bei Cloud-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 - ref_id: OPS.2.2.A17.1 - description: "Wenn Daten durch Cloud-Diensteanbietende verschl\xFCsselt werden,\ - \ SOLLTE vertraglich geregelt werden, welche Verschl\xFCsselungsmechanismen\ - \ und welche Schl\xFCssell\xE4ngen eingesetzt werden d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 - ref_id: OPS.2.2.A17.2 - description: "Wenn eigene Verschl\xFCsselungsmechanismen genutzt werden, SOLLTE\ - \ ein geeignetes Schl\xFCsselmanagement sichergestellt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 - ref_id: OPS.2.2.A17.3 - description: "Bei der Verschl\xFCsselung SOLLTEN die eventuellen Besonderheiten\ - \ des gew\xE4hlten Cloud-Service-Modells ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A18 - name: Einsatz von Verbunddiensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 - ref_id: OPS.2.2.A18.1 - description: "Es SOLLTE gepr\xFCft werden, ob bei einem Cloud-Nutzungs-Vorhaben\ - \ Verbunddienste (Federation Services) eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 - ref_id: OPS.2.2.A18.2 - description: "Es SOLLTE sichergestellt sein, dass in einem SAML (Security Assertion\ - \ Markup Language)-Ticket nur die erforderlichen Informationen an die Cloud-Diensteanbietenden\ - \ \xFCbertragen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 - ref_id: OPS.2.2.A18.3 - description: "Die Berechtigungen SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft werden,\ - \ sodass nur berechtigten Benutzenden ein SAML-Ticket ausgestellt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 - ref_id: OPS.2.2.A19 - name: "Sicherheits\xFCberpr\xFCfung von Mitarbeitenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 - ref_id: OPS.2.2.A19.1 - description: "Mit externen Cloud-Diensteanbietenden SOLLTE vertraglich vereinbart\ - \ werden, dass in geeigneter Weise \xFCberpr\xFCft wird, ob das eingesetzte\ - \ Personal qualifiziert und vertrauensw\xFCrdig ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 - ref_id: OPS.2.2.A19.2 - description: Dazu SOLLTEN gemeinsam Kriterien festgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.2.3 - name: 'Nutzung von Outsourcing ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A1 - name: "Erstellung von Anforderungsprofilen f\xFCr Prozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 - ref_id: OPS.2.3.A1.1 - description: "Falls keine Business-Impact-Analyse (BIA) vorhanden ist, M\xDC\ - SSEN Anforderungsprofile in Form von Steckbriefen f\xFCr die Prozesse angefertigt\ - \ werden, die potenziell ausgelagert werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 - ref_id: OPS.2.3.A1.2 - description: "Diese Anforderungsprofile M\xDCSSEN die Funktion, verarbeite Daten,\ - \ Schnittstellen sowie eine Bewertung der Informationssicherheit enthalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 - ref_id: OPS.2.3.A1.3 - description: "Insbesondere M\xDCSSEN die Abh\xE4ngigkeiten zwischen den Prozessen\ - \ sowie zu untergeordneten Teilprozessen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 - ref_id: OPS.2.3.A1.4 - description: "Die Anforderungsprofile M\xDCSSEN die Kritikalit\xE4t des jeweiligen\ - \ Prozesses f\xFCr den ordentlichen Gesch\xE4ftsbetrieb abbilden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A2 - name: Verfolgung eines risikoorientierten Ansatzes im Auslagerungsmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 - ref_id: OPS.2.3.A2.1 - description: "F\xFCr Prozesse, die potenziell ausgelagert werden sollen, MUSS\ - \ risikoorientiert betrachtet und entschieden werden, ob diese ausgelagert\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 - ref_id: OPS.2.3.A2.2 - description: "F\xFCr diese Bewertung SOLLTEN die Anforderungsprofile als Grundlage\ - \ genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 - ref_id: OPS.2.3.A2.3 - description: Wenn der Prozess ausgelagert wird, SOLLTE das Resultat im Auslagerungsregister - abgelegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 - ref_id: OPS.2.3.A2.4 - description: "Um \xC4nderungen an Prozessen oder der Gef\xE4hrdungslage zu ber\xFC\ - cksichtigen, M\xDCSSEN in regelm\xE4\xDFigen Abst\xE4nden sowie anlassbezogen\ - \ die ausgelagerten Prozesse erneut risikoorientiert betrachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A3 - name: Festlegung von Eignungsanforderungen an Anbietende von Outsourcing - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.1 - description: "Interne Eignungsanforderungen an potenzielle Anbietende von Outsourcing\ - \ M\xDCSSEN festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.2 - description: "Diese Eignungsanforderungen M\xDCSSEN die erforderlichen Kompetenzen,\ - \ um den Prozess aus Sicht der Informationssicherheit abzusichern, sowie die\ - \ Reputation hinsichtlich der Vertrauensw\xFCrdigkeit und Zuverl\xE4ssigkeit\ - \ ber\xFCcksichtigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.3 - description: "Diese Eignungsanforderungen SOLLTEN auf Basis der Unternehmensstrategie\ - \ (siehe OPS.2.3.A8 Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben)\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.4 - description: "Es MUSS gepr\xFCft werden, ob potenzielle Interessenkonflikte\ - \ vorliegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.5 - description: "Ferner SOLLTEN die Anbietenden von Outsourcing regelm\xE4\xDF\ - ig gegen die Eignungsanforderungen gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 - ref_id: OPS.2.3.A3.6 - description: "Wenn die Anbietenden von Outsourcing nicht die Eignungsanforderungen\ - \ erf\xFCllen, SOLLTEN Handlungsma\xDFnahmen getroffen und in einem Ma\xDF\ - nahmenkatalog festgehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A4 - name: "Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.1 - description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ - SSEN entwickelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.2 - description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit,\ - \ einen Zustimmungsvorbehalt bei Weiterverlagerungen sowie ein Recht auf Pr\xFC\ - fung, Revision und Audit beinhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.3 - description: "Bei der Entwicklung der Grundanforderungen SOLLTEN die Resultate\ - \ der risikoorientierten Betrachtung sowie Eignungsanforderungen an Anbietende\ - \ von Outsourcing mit einflie\xDFen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.4 - description: "Mit den Anbietenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ - rung zum Schutz von sensiblen Daten vereinbart werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.5 - description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ - gen einheitlich umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 - ref_id: OPS.2.3.A4.6 - description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ - \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A5 - name: "Vereinbarung der Mandantenf\xE4higkeit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 - ref_id: OPS.2.3.A5.1 - description: "In einer Vereinbarung zur Mandantenf\xE4higkeit mit den Anbietenden\ - \ von Outsourcing MUSS sichergestellt werden, dass die Daten und Verarbeitungskontexte\ - \ durch den Anbietenden von Outsourcing ausreichend sicher getrennt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 - ref_id: OPS.2.3.A5.2 - description: In dieser Vereinbarung SOLLTE ein Mandantentrennungskonzept von - den Anbietenden von Outsourcing gefordert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 - ref_id: OPS.2.3.A5.3 - description: "Das Mandantentrennungskonzept SOLLTE zwischen mandantenabh\xE4\ - ngigen und mandanten\xFCbergreifenden Daten und Objekten unterscheiden und\ - \ darlegen, mit welchen Mechanismen die Anbietenden von Outsourcing trennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A6 - name: "Festlegung von Sicherheitsanforderungen und Erstellung eines Sicherheitskonzeptes\ - \ f\xFCr das Outsourcing-Vorhaben" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.1 - description: "Mit den Anbietenden von Outsourcing MUSS vertraglich vereinbart\ - \ werden, dass IT-Grundschutz umgesetzt oder mindestens die Anforderungen\ - \ aus den relevanten Bausteinen geeignet erf\xFCllt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.2 - description: "Dar\xFCber hinaus SOLLTE mit den Anbietenden von Outsourcing vereinbart\ - \ werden, dass sie ein Managementsystem f\xFCr Informationssicherheit (ISMS)\ - \ etablieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.3 - description: "Die Nutzenden von Outsourcing M\xDCSSEN f\xFCr jedes Outsourcing-Vorhaben\ - \ ein Sicherheitskonzept basierend auf den sich aus dem IT-Grundschutz ergebenen\ - \ Sicherheitsanforderungen erstellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.4 - description: Dabei MUSS das Sicherheitskonzept der Nutzenden mit den Anbietenden - von Outsourcing abgestimmt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.5 - description: "Ebenso SOLLTE jeder Anbietende ein individuelles Sicherheitskonzept\ - \ f\xFCr das jeweilige Outsourcing-Vorhaben vorlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.6 - description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ - \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.7 - description: "Wenn Risikoanalysen notwendig sind, M\xDCSSEN Vereinbarungen getroffen\ - \ werden, wie die Risikoanalyse gepr\xFCft und gegebenenfalls in das eigene\ - \ Risikomanagement \xFCberf\xFChrt werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 - ref_id: OPS.2.3.A6.8 - description: "Die Nutzenden von Outsourcing oder unabh\xE4ngige Dritte M\xDC\ - SSEN regelm\xE4\xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept wirksam\ - \ ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A7 - name: "Regelungen f\xFCr eine geplante oder ungeplante Beendigung eines Outsourcing-Verh\xE4\ - ltnisses" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 - ref_id: OPS.2.3.A7.1 - description: "F\xFCr geplante sowie ungeplante Beendigungen des Outsourcing-Verh\xE4\ - ltnisses M\xDCSSEN Regelungen getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 - ref_id: OPS.2.3.A7.2 - description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ - \ der Nutzenden vom Anbietenden von Outsourcing zur\xFCckgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 - ref_id: OPS.2.3.A7.3 - description: "Hierbei M\xDCSSEN gesetzliche Vorgaben zur Aufbewahrung von Daten\ - \ beachtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 - ref_id: OPS.2.3.A7.4 - description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ - \ und Zugriffsrechte f\xFCr die Anbietenden von Outsourcing mit der Beendigung\ - \ des Outsourcing-Verh\xE4ltnisses aufgehoben wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A8 - name: "Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.1 - description: "Eine Strategie f\xFCr Outsourcing-Vorhaben SOLLTE erstellt und\ - \ etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.2 - description: In dieser Strategie SOLLTEN die Ziele, Chancen und Risiken der - Outsourcing-Vorhaben beschrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.3 - description: "Die Strategie SOLL der Institution einen Rahmen f\xFCr die Anforderungsprofile,\ - \ die Eignungsanforderung an Anbietende von Outsourcing sowie dem Auslagerungsmanagement\ - \ vorgeben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.4 - description: "Dar\xFCber hinaus SOLLTEN neben den wirtschaftlichen, technischen,\ - \ organisatorischen und rechtlichen Rahmenbedingungen auch die relevanten\ - \ Aspekte der Informationssicherheit ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.5 - description: "Es SOLLTE eine Multi-Sourcing Strategie verfolgt werden, um Engp\xE4\ - sse sowie Abh\xE4ngigkeiten von Anbietenden von Outsourcing zu vermeiden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 - ref_id: OPS.2.3.A8.6 - description: "Die Nutzenden von Outsourcing SOLLTEN ausreichend F\xE4higkeiten,\ - \ Kompetenzen sowie Ressourcen behalten, um einer Abh\xE4ngigkeit gegen\xFC\ - ber den Anbietenden von Outsourcing vorzubeugen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A9 - name: Etablierung einer Richtlinie zur Auslagerung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 - ref_id: OPS.2.3.A9.1 - description: "Auf Basis der Strategie f\xFCr Outsourcing-Vorhaben SOLLTE eine\ - \ Richtlinie f\xFCr den Bezug von Outsourcing-Dienstleistungen erstellt und\ - \ in der Institution etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 - ref_id: OPS.2.3.A9.2 - description: "Diese SOLLTE die allgemeinen Anforderungen basierend auf der Anforderung\ - \ OPS.2.3.A4 Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing\ - \ sowie weitere Aspekte der Informationssicherheit f\xFCr Outsourcing-Vorhaben\ - \ standardisieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 - ref_id: OPS.2.3.A9.3 - description: "Das Test- und Freigabeverfahren f\xFCr Outsourcing-Vorhaben SOLLTE\ - \ in dieser Richtlinie geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 - ref_id: OPS.2.3.A9.4 - description: "Dar\xFCber hinaus SOLLTEN Ma\xDFnahmen ber\xFCcksichtigt sein,\ - \ um Compliance-Risiken bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden\ - \ zu bew\xE4ltigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A10 - name: "Etablierung einer zust\xE4ndigen Person f\xFCr das Auslagerungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.1 - description: "Die verschiedenen Outsourcing-Vorhaben SOLLTEN durch eine zust\xE4\ - ndige Person f\xFCr das Auslagerungsmanagement verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.2 - description: "Die zust\xE4ndige Person SOLLTE ernannt und die Befugnisse festgelegt\ - \ und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.3 - description: "Die zust\xE4ndige Person SOLLTE als Schnittstelle in der Kommunikation\ - \ zwischen den Nutzenden und Anbietenden von Outsourcing eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.4 - description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person Berichte \xFC\ - ber das Outsourcing in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen anfertigen\ - \ und der Institutionsleitung \xFCbergeben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.5 - description: "In der Vertragsgestaltung SOLLTE die zust\xE4ndige Person einbezogen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.6 - description: "Die zust\xE4ndige Person SOLLTE ein angemessenes Kontingent von\ - \ Arbeitstagen f\xFCr die Aufgaben des Auslagerungsmanagements einger\xE4\ - umt bekommen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 - ref_id: OPS.2.3.A10.7 - description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person hinsichtlich\ - \ Informationssicherheit geschult und sensibilisiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A11 - name: "F\xFChrung eines Auslagerungsregisters" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 - ref_id: OPS.2.3.A11.1 - description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ - \ ein Auslagerungsregister erstellen und pflegen, dass die Dokumentation der\ - \ Outsourcing-Prozesse und Vorhaben in der Institution zentralisiert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 - ref_id: OPS.2.3.A11.2 - description: "Dieses SOLLTE auf der Basis der Anforderungsprofile erstellt werden\ - \ und Informationen zu den Anbietenden von Outsourcing, Leistungskennzahlen,\ - \ Kritikalit\xE4t des Prozesses, abgeschlossene Vertr\xE4gen und Vereinbarungen\ - \ sowie \xC4nderungen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 - ref_id: OPS.2.3.A11.3 - description: "\xC4nderungen am Auslagerungsregister SOLLTEN geeignet nachgehalten\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A12 - name: Erstellung von Auslagerungsberichten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 - ref_id: OPS.2.3.A12.1 - description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ - \ regelm\xE4\xDFig interne Auslagerungsberichte auf Basis des Auslagerungsregisters\ - \ erstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 - ref_id: OPS.2.3.A12.2 - description: Diese Auslagerungsberichte SOLLTEN den aktuellen Status des Outsourcing-Vorhabens - mit allgemeinen Problemen und Risiken sowie Aspekte der Informationssicherheit - enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 - ref_id: OPS.2.3.A12.3 - description: Der Auslagerungsbericht SOLLTE der Institutionsleitung vorgelegt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A13 - name: Bereitstellung der erforderlichen Kompetenzen bei der Vertragsgestaltung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 - ref_id: OPS.2.3.A13.1 - description: "Die Vertr\xE4ge SOLLTEN durch verschiedene Vertreter aus unterschiedlichen\ - \ Bereichen gestaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 - ref_id: OPS.2.3.A13.2 - description: "Dabei SOLLTE ein Interessenkonflikt zwischen operativem Gesch\xE4\ - ft und Informationssicherheit vermieden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A14 - name: "Erweiterte Anforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.1 - description: "Mit Anbietenden von Outsourcing SOLLTE vereinbart werden, auf\ - \ welche Bereiche und Dienste die Anbietenden im Netz der Nutzenden von Outsourcing\ - \ zugreifen d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.2 - description: Der Umgang mit anfallenden Metadaten SOLLTE geregelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.3 - description: "Die Nutzenden SOLLTEN Leistungskennzahlen f\xFCr die Anbietenden\ - \ von Outsourcing definieren und im Vertrag festlegen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.4 - description: "F\xFCr den Fall, dass die vereinbarten Leistungskennzahlen unzureichend\ - \ erf\xFCllt werden, SOLLTEN mit den Anbietenden von Outsourcing Konsequenzen,\ - \ wie z. B. Vertragsstrafen, festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.5 - description: "Die Vertr\xE4ge SOLLTEN K\xFCndigungsoptionen, um das Outsourcing-Verh\xE4\ - ltnisses aufzul\xF6sen, enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.6 - description: "Hierbei SOLLTE auch geregelt sein, wie das Eigentum der Nutzenden\ - \ von Outsourcing zur\xFCckgegeben wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 - ref_id: OPS.2.3.A14.7 - description: Im Vertrag SOLLTEN Verantwortlichkeiten hinsichtlich des Notfall- - und Krisenmanagements definiert und benannt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A15 - name: Anbindung an die Netze der Outsourcing-Partner - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - ref_id: OPS.2.3.A15.1 - description: Bevor das Datennetz der Nutzenden an das Datennetz der Anbietenden - von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte - schriftlich vereinbart werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - ref_id: OPS.2.3.A15.2 - description: "Es SOLLTE gepr\xFCft und dokumentiert werden, dass die Vereinbarungen\ - \ f\xFCr die Netzanbindung eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - ref_id: OPS.2.3.A15.3 - description: "Das geforderte Sicherheitsniveau SOLLTE nachweislich bei den Anbietenden\ - \ von Outsourcing umgesetzt und \xFCberpr\xFCft werden, bevor die Netzanbindung\ - \ zu den Nutzenden von Outsourcing aktiviert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - ref_id: OPS.2.3.A15.4 - description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung - getestet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 - ref_id: OPS.2.3.A15.5 - description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE - festgelegt sein, wer informiert und wie eskaliert wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A16 - name: "Pr\xFCfung der Anbietenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 - ref_id: OPS.2.3.A16.1 - description: "Die Anbietenden von Outsourcing SOLLTEN hinsichtlich der vertraglich\ - \ festgelegten Sicherheitsanforderungen \xFCberpr\xFCft und die Resultate\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 - ref_id: OPS.2.3.A16.2 - description: "Die Anbietenden von Outsourcing sind in regelm\xE4\xDFigen Abst\xE4\ - nden und anlassbezogen zu auditieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A17 - name: "Regelungen f\xFCr den Einsatz des Personals von Anbietenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - ref_id: OPS.2.3.A17.1 - description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN schriftlich\ - \ verpflichtet werden, einschl\xE4gige Gesetze, Vorschriften sowie die Regelungen\ - \ der Nutzenden von Outsourcing einzuhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - ref_id: OPS.2.3.A17.2 - description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN geregelt\ - \ in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur Informationssicherheit\ - \ unterrichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - ref_id: OPS.2.3.A17.3 - description: "F\xFCr die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN\ - \ Vertretungsregelungen existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - ref_id: OPS.2.3.A17.4 - description: "Es SOLLTE ein geregeltes Verfahren festgelegt werden, das beschreibt,\ - \ wie das Auftragsverh\xE4ltnis mit den Besch\xE4ftigten der Anbietenden von\ - \ Outsourcing beendet wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 - ref_id: OPS.2.3.A17.5 - description: Fremdpersonal der Anbietenden von Outsourcing, das kurzfristig - oder nur einmal eingesetzt wird, SOLLTE wie Besuchende behandelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A18 - name: "\xDCberpr\xFCfung der Vereinbarungen mit Anbietenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 - ref_id: OPS.2.3.A18.1 - description: "Vereinbarungen mit Anbietenden von Outsourcing hinsichtlich der\ - \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ - \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ - \ anlassbezogen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 - ref_id: OPS.2.3.A18.2 - description: Vereinbarungen mit Anbietenden von Outsourcing mit unzureichend - festgelegten Sicherheitsanforderungen SOLLTEN nachgebessert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 - ref_id: OPS.2.3.A18.3 - description: "Die Anbietenden von Outsourcing SOLLTEN dazu verpflichtet werden,\ - \ bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage, die festgelegten Sicherheitsanforderungen\ - \ nachzubessern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A19 - name: "\xDCberpr\xFCfung der Handlungsalternativen hinsichtlich einer geplanten\ - \ oder ungeplanten Beendigung eines Outsourcing-Verh\xE4ltnisses" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 - ref_id: OPS.2.3.A19.1 - description: "Handlungsalternativen SOLLTEN entwickelt werden f\xFCr den Fall\ - \ einer geplanten oder ungeplanten Beendigung des Outsourcing-Verh\xE4ltnisses." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 - ref_id: OPS.2.3.A19.2 - description: "Das Resultat SOLLTE in einem Ma\xDFnahmenkatalog f\xFCr geplante\ - \ und ungeplante Beendigung des Outsourcing-Verh\xE4ltnisses dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 - ref_id: OPS.2.3.A19.3 - description: "Dabei SOLLTEN auch alternative Anbietende von Outsourcing ermittelt\ - \ werden, die \xFCber das notwendige Niveau an Informationssicherheit verf\xFC\ - gen, um den Prozess sicher umzusetzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 - ref_id: OPS.2.3.A19.4 - description: "Dies SOLLTE in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen\ - \ gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A20 - name: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.1 - description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.2 - description: "Dies SOLLTE auf der Basis einer Business-Impact-Analyse basieren\ - \ und die Abh\xE4ngigkeiten der ausgelagerten Prozesse mit den intern verbliebenen\ - \ Prozessen ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.3 - description: "Das Notfallkonzept SOLLTE den Anbietenden von Outsourcing in seiner\ - \ Notfallvorsorge und -bew\xE4ltigung ber\xFCcksichtigen und mit diesem abgestimmt\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.4 - description: "Dabei SOLLTEN die Schnittstellen zu Anbietenden von Outsourcing\ - \ mit Verantwortlichen benannt und besetzt werden, um einen Informationsaustausch\ - \ sowie eine effektive Kollaboration in einer Not- oder Krisensituation zu\ - \ erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.5 - description: "Gemeinsame Not- und Krisenfallpl\xE4ne SOLLTEN f\xFCr eine St\xF6\ - rung oder einen Ausfall der Anbietenden von Outsourcing erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 - ref_id: OPS.2.3.A20.6 - description: "Standardisierte Protokolle und Berichte SOLLTEN zur Meldung von\ - \ Sicherheitsvorf\xE4llen etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A21 - name: "Abschluss von ESCROW-Vertr\xE4gen bei softwarenahen Dienstleistungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 - ref_id: OPS.2.3.A21.1 - description: Wird Software von Anbietenden von Outsourcing bezogen, SOLLTE ein - ESCROW-Vertrag abgeschlossen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 - ref_id: OPS.2.3.A21.2 - description: "Dieser SOLLTE Verwertungs- und Bearbeitungsrechte der Software\ - \ sowie Herausgabef\xE4lle des Quellcodes regeln." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 - ref_id: OPS.2.3.A21.3 - description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wie h\xE4ufig der\ - \ Quellcode hinterlegt und dokumentiert wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 - ref_id: OPS.2.3.A21.4 - description: "Weiterhin SOLLTEN Geheimhaltungspflichten \xFCber den hinterlegten\ - \ Quellcode und die zugeh\xF6rige Dokumentation geregelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A22 - name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 - ref_id: OPS.2.3.A22.1 - description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Anbietenden von\ - \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ - \ Notfallmanagement)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 - ref_id: OPS.2.3.A22.2 - description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ - \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 - ref_id: OPS.2.3.A22.3 - description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ - \ anlassbezogen durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A23 - name: "Einsatz von Verschl\xFCsselungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 - ref_id: OPS.2.3.A23.1 - description: "Sensible Daten SOLLTEN angemessen verschl\xFCsselt werden, wenn\ - \ sie zum Anbietenden von Outsourcing \xFCbertragen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 - ref_id: OPS.2.3.A23.2 - description: "Die abgelegten Daten SOLLTEN durch eine Datenverschl\xFCsselung\ - \ oder eine Verschl\xFCsselung des Speichermediums gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 - ref_id: OPS.2.3.A23.3 - description: "Nach M\xF6glichkeit SOLLTE eine vom BSI gepr\xFCfte und freigegebene\ - \ Verschl\xFCsselungssoftware genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A24 - name: "Sicherheits- und Eignungs\xFCberpr\xFCfung von Mitarbeitenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 - ref_id: OPS.2.3.A24.1 - description: "Mit externen Anbietenden von Outsourcing SOLLTE vertraglich vereinbart\ - \ werden, dass die Vertrauensw\xFCrdigkeit des eingesetzten Personals geeignet\ - \ \xFCberpr\xFCft wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 - ref_id: OPS.2.3.A24.2 - description: Dazu SOLLTEN gemeinsam Kriterien festgelegt und dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 - ref_id: OPS.2.3.A25 - name: "Errichtung und Nutzung einer Sandbox f\xFCr eingehende Daten vom Anbietenden\ - \ von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 - ref_id: OPS.2.3.A25.1 - description: "F\xFCr eingehende Daten vom Anbietenden von Outsourcing SOLLTE\ - \ eine Sandbox eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 - ref_id: OPS.2.3.A25.2 - description: "Hierbei SOLLTEN E-Mail-Anh\xE4nge in der Sandbox standardisiert\ - \ ge\xF6ffnet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 - ref_id: OPS.2.3.A25.3 - description: Updates und Anwendungen eines softwarenahen Anbietenden von Outsourcing - SOLLTEN in der Sandbox initial getestet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops - ref_id: OPS.3.2 - name: 'Anbieten von Outsourcing ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A1 - name: Einhaltung der Schutzziele der Informationssicherheit durch ein Informationssicherheitsmanagement - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 - ref_id: OPS.3.2.A1.1 - description: "Der Schutzbedarf f\xFCr Vertraulichkeit, Integrit\xE4t und Verf\xFC\ - gbarkeit von Nutzenden von Outsourcing MUSS im Outsourcing-Prozess ber\xFC\ - cksichtigen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 - ref_id: OPS.3.2.A1.2 - description: Dabei MUSS sichergestellt werden, dass das von den Nutzenden von - Outsourcing geforderte Minimum an Informationssicherheit eingehalten wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 - ref_id: OPS.3.2.A1.3 - description: "Zudem M\xDCSSEN die geltenden regulatorischen und gesetzlichen\ - \ Aspekte ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A2 - name: "Grundanforderungen an Vertr\xE4ge mit Nutzenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.1 - description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ - SSEN entwickelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.2 - description: "Diese SOLLTEN einheitlich in Vertr\xE4gen umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.3 - description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit\ - \ und Sicherheitsanforderungen der Nutzenden von Outsourcing beinhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.4 - description: "Zudem M\xDCSSEN sie beinhalten, wie mit Weiterverlagerungen durch\ - \ die Anbietenden umgegangen wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.5 - description: "Die Grundanforderungen M\xDCSSEN beinhalten, dass die Nutzenden\ - \ das Recht haben Pr\xFCfungen, Revisionen und Auditierungen durchzuf\xFC\ - hren, um sicherzustellen, dass die vertraglich geregelten Anforderungen an\ - \ die Informationssicherheit eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.6 - description: "Mit den Nutzenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ - rung zum Schutz von sensiblen Daten, Vereinbarungen zum Informationsaustausch\ - \ und Service-Level-Agreements vereinbart werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.7 - description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ - gen einheitlich umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 - ref_id: OPS.3.2.A2.8 - description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ - \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A3 - name: Weitergabe der vertraglich geregelten Bestimmungen mit Nutzenden von Outsourcing - an Sub-Dienstleistende - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 - ref_id: OPS.3.2.A3.1 - description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ - \ verlagert, M\xDCSSEN die vertraglichen Bestimmungen mit den Nutzenden von\ - \ Outsourcing an die Sub-Dienstleistenden weitergegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 - ref_id: OPS.3.2.A3.2 - description: "Dies MUSS in den Vertr\xE4gen mit den Sub-Dienstleistenden entsprechend\ - \ festlegt und durchgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 - ref_id: OPS.3.2.A3.3 - description: "Auf Nachfrage von Nutzenden von Outsourcing M\xDCSSEN diese Vertr\xE4\ - ge vorgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A4 - name: Erstellung eines Mandantentrennungskonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.1 - description: Es MUSS ein Mandantentrennungskonzept erstellt und umgesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.2 - description: Das Mandantentrennungskonzept MUSS sicherstellen, dass Daten und - Verarbeitungskontexte verschiedener Nutzender von Outsourcing ausreichend - sicher getrennt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.3 - description: "Dabei MUSS zwischen mandantenabh\xE4ngigen und mandanten\xFCbergreifenden\ - \ Daten und Objekten unterschieden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.4 - description: Es MUSS dargelegt werden, mit welchen Mechanismen die Anbietenden - von Outsourcing die Mandanten trennen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.5 - description: "Die ben\xF6tigten Mechanismen zur Mandantentrennung M\xDCSSEN\ - \ durch die Anbietenden von Outsourcing ausreichend umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.6 - description: "Das Mandantentrennungskonzept MUSS durch die Anbietenden von Outsourcing\ - \ erstellt und den Nutzenden von Outsourcing zur Verf\xFCgung gestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 - ref_id: OPS.3.2.A4.7 - description: "Dar\xFCber hinaus MUSS es f\xFCr den Schutzbedarf der Daten der\ - \ Nutzenden von Outsourcing eine angemessene Sicherheit bieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A5 - name: "Erstellung eines Sicherheitskonzepts f\xFCr die Outsourcing-Dienstleistung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.1 - description: "Die Anbietenden von Outsourcing M\xDCSSEN f\xFCr ihre Dienstleistungen\ - \ ein Sicherheitskonzept erstellen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.2 - description: "F\xFCr individuelle Outsourcing-Vorhaben M\xDCSSEN zus\xE4tzlich\ - \ spezifische Sicherheitskonzepte erstellt werden, die auf den Sicherheitsanforderungen\ - \ der Nutzenden von Outsourcing basieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.3 - description: "Das Sicherheitskonzept f\xFCr das jeweilige Outsourcing-Vorhaben\ - \ SOLLTE jedem und jeder Nutzenden von Outsourcing vorgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.4 - description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ - \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.5 - description: "Anbietende und Nutzende von Outsourcing M\xDCSSEN gemeinsam Sicherheitsziele\ - \ erarbeiten und diese dokumentieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.6 - description: "Es MUSS au\xDFerdem eine gemeinsame Klassifikation f\xFCr alle\ - \ schutzbed\xFCrftigen Informationen erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 - ref_id: OPS.3.2.A5.7 - description: "Dar\xFCber hinaus M\xDCSSEN die Anbietenden von Outsourcing regelm\xE4\ - \xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept umgesetzt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A6 - name: "Regelungen f\xFCr eine geplante und ungeplante Beendigung eines Outsourcing-Verh\xE4\ - ltnisses" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - ref_id: OPS.3.2.A6.1 - description: "Es M\xDCSSEN Regelungen getroffen werden, wie verfahren wird,\ - \ wenn Outsourcing-Verh\xE4ltnisse geplant oder ungeplant beendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - ref_id: OPS.3.2.A6.2 - description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ - \ der Nutzenden von den Anbietenden von Outsourcing zur\xFCckgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - ref_id: OPS.3.2.A6.3 - description: "Anschlie\xDFend M\xDCSSEN die verbleibenden Datenbest\xE4nde der\ - \ Nutzenden von Outsourcing nach Ablauf der gesetzlichen Vorgaben zur Datenaufbewahrung\ - \ sicher gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - ref_id: OPS.3.2.A6.4 - description: Dies MUSS durch die Anbietenden von Outsourcing dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 - ref_id: OPS.3.2.A6.5 - description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ - \ und Zugriffsrechte f\xFCr die Nutzenden von Outsourcing aufgehoben wurden,\ - \ nachdem das Outsourcing-Verh\xE4ltnis beendet wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A7 - name: Bereitstellung der ausgelagerten Dienstleistung durch multiple Sub-Dienstleistende - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 - ref_id: OPS.3.2.A7.1 - description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ - \ verlagert, SOLLTEN die Anbietenden von Outsourcing mehrere qualifizierte\ - \ Sub-Dienstleistende zur Verf\xFCgung haben, falls Sub-Dienstleistende ausfallen\ - \ oder k\xFCndigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 - ref_id: OPS.3.2.A7.2 - description: Dies SOLLTE gemeinsam mit den Nutzenden von Outsourcing dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A8 - name: "Erstellung einer Richtlinie f\xFCr die Outsourcing-Dienstleistungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 - ref_id: OPS.3.2.A8.1 - description: "Es SOLLTE eine Richtlinie f\xFCr das Anbieten von Outsourcing-Dienstleistungen\ - \ erstellt und in der Institution etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 - ref_id: OPS.3.2.A8.2 - description: Diese SOLLTE das Test- und Freigabeverfahren regeln. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 - ref_id: OPS.3.2.A8.3 - description: "Dabei SOLLTE die Weiterverlagerung an Sub-Dienstleistende ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 - ref_id: OPS.3.2.A8.4 - description: "Die Richtlinie SOLLTE Ma\xDFnahmen ber\xFCcksichtigen, um Compliance-Risiken\ - \ bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden zu bew\xE4\ - ltigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A9 - name: "\xDCberpr\xFCfung der Vereinbarung mit Nutzenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 - ref_id: OPS.3.2.A9.1 - description: "Vereinbarungen mit Nutzenden von Outsourcing hinsichtlich der\ - \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ - \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ - \ anlassbezogen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 - ref_id: OPS.3.2.A9.2 - description: Vereinbarungen mit Nutzenden von Outsourcing mit unzureichend festgelegten - Sicherheitsanforderungen SOLLTEN nachgebessert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 - ref_id: OPS.3.2.A9.3 - description: "Bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage SOLLTEN die\ - \ festgelegten Sicherheitsanforderungen nachgebessert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 - ref_id: OPS.3.2.A9.4 - description: "Alle \xC4nderungen SOLLTEN durch die Anbietenden von Outsourcing\ - \ dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A10 - name: Etablierung eines sicheren Kommunikationskanals und Festlegung der Kommunikationspartner - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - ref_id: OPS.3.2.A10.1 - description: Die Anbietenden von Outsourcing SOLLTEN einen sicheren Kommunikationskanal - zu den Nutzenden von Outsourcing einrichten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - ref_id: OPS.3.2.A10.2 - description: "Es SOLLTE dokumentiert sein, welche Informationen \xFCber diesen\ - \ Kommunikationskanal an den Outsourcing-Partner \xFCbermittelt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - ref_id: OPS.3.2.A10.3 - description: "Dabei SOLLTE sichergestellt werden, dass an den jeweiligen Enden\ - \ des Kommunikationskanals entsprechend Zust\xE4ndige benannt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - ref_id: OPS.3.2.A10.4 - description: "Dabei SOLLTE regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFC\ - ft werden, ob diese Personen noch in ihrer Funktion als dedizierte Kommunikationspartner\ - \ besch\xE4ftigt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 - ref_id: OPS.3.2.A10.5 - description: Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen - Kriterien welcher Kommunikationspartner welche Informationen erhalten darf. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A11 - name: Etablierung eines Notfallkonzepts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 - ref_id: OPS.3.2.A11.1 - description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 - ref_id: OPS.3.2.A11.2 - description: "In diesem Notfallkonzept SOLLTEN Nutzende von Outsourcing sowie\ - \ Sub-Dienstleistende ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A12 - name: "Durchf\xFChrung einer risikoorientierten Betrachtung von Prozessen, Anwendungen\ - \ und IT-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 - ref_id: OPS.3.2.A12.1 - description: "Werden Prozesse, Anwendungen oder IT-Systeme neu aufgebaut und\ - \ Kunden bereitgestellt, SOLLTEN diese regelm\xE4\xDFig und anlassbezogen\ - \ risikoorientiert betrachtet und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 - ref_id: OPS.3.2.A12.2 - description: "Aus den sich daraus ergebenen Ergebnissen SOLLTEN geeignete Ma\xDF\ - nahmen festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 - ref_id: OPS.3.2.A12.3 - description: "Dar\xFCber hinaus SOLLTEN die Resultate dazu verwendet werden,\ - \ um das Informationssicherheitsmanagement weiter zu verbessern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A13 - name: Anbindung an die Netze der Outsourcing-Partner - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - ref_id: OPS.3.2.A13.1 - description: Bevor das Datennetz der Anbietenden an das Datennetz der Nutzenden - von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte - schriftlich vereinbart werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - ref_id: OPS.3.2.A13.2 - description: "Bevor beide Netze verbunden werden, SOLLTEN sie auf bekannte Sicherheitsl\xFC\ - cken analysiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - ref_id: OPS.3.2.A13.3 - description: "Es SOLLTE gepr\xFCft werden, ob die Vereinbarungen f\xFCr die\ - \ Netzanbindung eingehalten werden und das geforderte Sicherheitsniveau nachweislich\ - \ erreicht wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - ref_id: OPS.3.2.A13.4 - description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung - getestet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 - ref_id: OPS.3.2.A13.5 - description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE - festgelegt sein, wer informiert und wie eskaliert wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A14 - name: "\xDCberwachung der Prozesse, Anwendungen und IT-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14 - ref_id: OPS.3.2.A14.1 - description: "Die f\xFCr Kunden eingesetzten Prozesse, Anwendungen und IT-Systeme\ - \ SOLLTEN kontinuierlich \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A15 - name: "Berichterstattung gegen\xFCber den Nutzenden von Outsourcing" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 - ref_id: OPS.3.2.A15.1 - description: "Die Anbietenden von Outsourcing SOLLTEN den Nutzenden von Outsourcing\ - \ in festgelegten Abst\xE4nden Berichte \xFCber den ausgelagerten Prozess\ - \ bereitstellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 - ref_id: OPS.3.2.A15.2 - description: "Es SOLLTE ein Bericht an die Nutzenden von Outsourcing versendet\ - \ werden, wenn \xC4nderungen am Prozess durch die Anbietenden von Outsourcing\ - \ oder Sub-Dienstleistenden stattfanden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 - ref_id: OPS.3.2.A15.3 - description: Dazu SOLLTEN standardisierte Protokolle zur Berichterstattung etabliert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A16 - name: "Transparenz \xFCber die Outsourcing-Kette der ausgelagerten Kundenprozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - ref_id: OPS.3.2.A16.1 - description: "Die Anbietenden von Outsourcing SOLLTEN ein Auslagerungsregister\ - \ f\xFCr die in Kundenprozessen eingesetzten Sub-Dienstleistenden f\xFChren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - ref_id: OPS.3.2.A16.2 - description: "Dieses SOLLTE Informationen zu den Sub-Dienstleistenden, Leistungskennzahlen,\ - \ Kritikalit\xE4t der Prozesse, abgeschlossenen Vertr\xE4gen und Vereinbarung\ - \ sowie \xC4nderungen enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - ref_id: OPS.3.2.A16.3 - description: "\xC4nderungen am Auslagerungsregister SOLLTEN nachgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - ref_id: OPS.3.2.A16.4 - description: Das Auslagerungsregister SOLLTE auch die Weiterverlagerungen durch - die Sub-Dienstleistenden behandeln. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 - ref_id: OPS.3.2.A16.5 - description: "Die Anbietenden von Outsourcing SOLLTEN das Auslagerungsregister\ - \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A17 - name: Zutritts-, Zugangs- und Zugriffskontrolle - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 - ref_id: OPS.3.2.A17.1 - description: "Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN sowohl\ - \ f\xFCr das Personal der Anbietenden von Outsourcing als auch f\xFCr das\ - \ Personal der Nutzenden von Outsourcing geregelt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 - ref_id: OPS.3.2.A17.2 - description: "Ebenfalls SOLLTEN Zutritts-, Zugangs- und Zugriffsberechtigungen\ - \ f\xFCr Auditoren und andere Pr\xFCfer festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 - ref_id: OPS.3.2.A17.3 - description: "Dabei SOLLTEN nur so viele Rechte vergeben werden, wie f\xFCr\ - \ die T\xE4tigkeit notwendig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A18 - name: "Regelungen f\xFCr den Einsatz von Sub-Dienstleistenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 - ref_id: OPS.3.2.A18.1 - description: "Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ - \ SOLLTEN in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur\ - \ Informationssicherheit der Anbietenden von Outsourcing unterrichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 - ref_id: OPS.3.2.A18.2 - description: "Soweit es gefordert ist, SOLLTEN das Personal der Anbietenden\ - \ von Outsourcing sowie der Sub-Dienstleistenden nach Vorgaben der Nutzenden\ - \ von Outsourcing \xFCberpr\xFCft werden, z. B. durch ein F\xFChrungszeugnis." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 - ref_id: OPS.3.2.A18.3 - description: "Das Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ - \ SOLLTEN schriftlich dazu verpflichtet werden, einschl\xE4gige Gesetze und\ - \ Vorschriften, Vertraulichkeitsvereinbarungen sowie interne Regelungen einzuhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 - ref_id: OPS.3.2.A18.4 - description: Es SOLLTEN Vertretungsregelungen in allen Bereichen existieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A19 - name: "Sicherheits\xFCberpr\xFCfung von Besch\xE4ftigten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 - ref_id: OPS.3.2.A19.1 - description: "Die Vertrauensw\xFCrdigkeit des Personals der Anbietenden von\ - \ Outsourcing SOLLTE durch geeignete Nachweise \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 - ref_id: OPS.3.2.A19.2 - description: Es SOLLTEN mit den Nutzenden von Outsourcing vertragliche Kriterien - vereinbart werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A20 - name: "Verschl\xFCsselte Daten\xFCbertragung und -speicherung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 - ref_id: OPS.3.2.A20.1 - description: "F\xFCr die \xDCbertragung von Daten von und zu den Nutzenden von\ - \ Outsourcing sowie die Speicherung SOLLTE mit den Nutzenden von Outsourcing\ - \ eine sicheres Verschl\xFCsselungsverfahren festgelegt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 - ref_id: OPS.3.2.A20.2 - description: "Dabei SOLLTE sich die eingesetzte Verschl\xFCsselungsmethode am\ - \ Schutzbedarf der Daten orientieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 - ref_id: OPS.3.2.A20.3 - description: "Die Verschl\xFCsselungsmethode SOLLTE regelm\xE4\xDFig und anlassbezogen\ - \ auf ihre Funktionsf\xE4higkeit hin \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 - ref_id: OPS.3.2.A21 - name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 - ref_id: OPS.3.2.A21.1 - description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Nutzenden von\ - \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ - \ Notfallmanagement)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 - ref_id: OPS.3.2.A21.2 - description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ - \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 - ref_id: OPS.3.2.A21.3 - description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ - \ anlassbezogen durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - assessable: false - depth: 1 - ref_id: ORP - name: Organisation und Personal - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - ref_id: ORP.1 - name: Organisation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A1 - name: Festlegung von Verantwortlichkeiten und Regelungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 - ref_id: ORP.1.A1.1 - description: "Innerhalb einer Institution M\xDCSSEN alle relevanten Aufgaben\ - \ und Funktionen klar definiert und voneinander abgegrenzt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 - ref_id: ORP.1.A1.2 - description: "Es M\xDCSSEN verbindliche Regelungen f\xFCr die Informationssicherheit\ - \ f\xFCr die verschiedenen betrieblichen Aspekte \xFCbergreifend festgelegt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 - ref_id: ORP.1.A1.3 - description: "Die Organisationsstrukturen sowie verbindliche Regelungen M\xDC\ - SSEN anlassbezogen \xFCberarbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 - ref_id: ORP.1.A1.4 - description: "Die \xC4nderungen M\xDCSSEN allen Mitarbeitenden bekannt gegeben\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A2 - name: "Zuweisung der Zust\xE4ndigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 - ref_id: ORP.1.A2.1 - description: "F\xFCr alle Gesch\xE4ftsprozesse, Anwendungen, IT-Systeme, R\xE4\ - ume und Geb\xE4ude sowie Kommunikationsverbindungen MUSS festgelegt werden,\ - \ wer f\xFCr diese und deren Sicherheit zust\xE4ndig ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 - ref_id: ORP.1.A2.2 - description: "Alle Mitarbeitenden M\xDCSSEN dar\xFCber informiert sein, insbesondere\ - \ wof\xFCr sie zust\xE4ndig sind und welche damit verbundenen Aufgaben sie\ - \ wahrnehmen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A3 - name: Beaufsichtigung oder Begleitung von Fremdpersonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 - ref_id: ORP.1.A3.1 - description: "Institutionsfremde Personen M\xDCSSEN von Mitarbeitenden zu den\ - \ R\xE4umen begleitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 - ref_id: ORP.1.A3.2 - description: "Die Mitarbeitenden der Institution M\xDCSSEN institutionsfremde\ - \ Personen in sensiblen Bereichen beaufsichtigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 - ref_id: ORP.1.A3.3 - description: "Die Mitarbeitenden SOLLTEN dazu angehalten werden, institutionsfremde\ - \ Personen in den R\xE4umen der Institution nicht unbeaufsichtigt zu lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A4 - name: Funktionstrennung zwischen unvereinbaren Aufgaben - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 - ref_id: ORP.1.A4.1 - description: "Die Aufgaben und die hierf\xFCr erforderlichen Rollen und Funktionen\ - \ M\xDCSSEN so strukturiert sein, dass unvereinbare Aufgaben wie operative\ - \ und kontrollierende Funktionen auf verschiedene Personen verteilt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 - ref_id: ORP.1.A4.2 - description: "F\xFCr unvereinbare Funktionen MUSS eine Funktionstrennung festgelegt\ - \ und dokumentiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 - ref_id: ORP.1.A4.3 - description: "Auch Vertreter M\xDCSSEN der Funktionstrennung unterliegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A8 - name: "Betriebsmittel- und Ger\xE4teverwaltung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 - ref_id: ORP.1.A8.1 - description: "Alle Ger\xE4te und Betriebsmittel, die Einfluss auf die Informationssicherheit\ - \ haben und die zur Aufgabenerf\xFCllung und zur Einhaltung der Sicherheitsanforderungen\ - \ erforderlich sind, SOLLTEN in ausreichender Menge vorhanden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 - ref_id: ORP.1.A8.2 - description: "Es SOLLTE geeignete Pr\xFCf- und Genehmigungsverfahren vor Einsatz\ - \ der Ger\xE4te und Betriebsmittel geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 - ref_id: ORP.1.A8.3 - description: "Ger\xE4te und Betriebsmittel SOLLTEN in geeigneten Bestandsverzeichnissen\ - \ aufgelistet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 - ref_id: ORP.1.A8.4 - description: "Um den Missbrauch von Daten zu verhindern, SOLLTE die zuverl\xE4\ - ssige L\xF6schung oder Vernichtung von Ger\xE4ten und Betriebsmitteln geregelt\ - \ sein (siehe hierzu CON.6 L\xF6schen und Vernichten)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A13 - name: "Sicherheit bei Umz\xFCgen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 - ref_id: ORP.1.A13.1 - description: "Vor einem Umzug SOLLTEN fr\xFChzeitig Sicherheitsrichtlinien erarbeitet\ - \ bzw. aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 - ref_id: ORP.1.A13.2 - description: "Alle Mitarbeitenden SOLLTEN \xFCber die vor, w\xE4hrend und nach\ - \ dem Umzug relevanten Sicherheitsma\xDFnahmen informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 - ref_id: ORP.1.A13.3 - description: "Nach dem Umzug SOLLTE \xFCberpr\xFCft werden, ob das transportierte\ - \ Umzugsgut vollst\xE4ndig und unbesch\xE4digt bzw. unver\xE4ndert angekommen\ - \ ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A15 - name: Ansprechperson zu Informationssicherheitsfragen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 - ref_id: ORP.1.A15.1 - description: "In jeder Institution MUSS es Ansprechpersonen f\xFCr Sicherheitsfragen\ - \ geben, die sowohl scheinbar einfache wie auch komplexe oder technische Fragen\ - \ beantworten k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 - ref_id: ORP.1.A15.2 - description: "Die Ansprechpersonen M\xDCSSEN allen Mitarbeitenden der Institution\ - \ bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 - ref_id: ORP.1.A15.3 - description: "Diesbez\xFCgliche Informationen M\xDCSSEN in der Institution f\xFC\ - r alle verf\xFCgbar und leicht zug\xE4nglich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A16 - name: Richtlinie zur sicheren IT-Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.1 - description: "Es SOLLTE eine Richtlinie erstellt werden, in der f\xFCr alle\ - \ Mitarbeitenden transparent beschrieben wird, welche Rahmenbedingungen bei\ - \ der IT-Nutzung eingehalten werden m\xFCssen und welche Sicherheitsma\xDF\ - nahmen zu ergreifen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.2 - description: 'Die Richtlinie SOLLTE folgende Punkte abdecken:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.3 - description: "\u2022 Sicherheitsziele der Institution," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.4 - description: "\u2022 wichtige Begriffe," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.5 - description: "\u2022 Aufgaben und Rollen mit Bezug zur Informationssicherheit," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.6 - description: "\u2022 Ansprechperson zu Fragen der Informationssicherheit sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.7 - description: "\u2022 von den Mitarbeitenden umzusetzende und einzuhaltende Sicherheitsma\xDF\ - nahmen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.8 - description: Die Richtlinie SOLLTE allen Benutzenden zur Kenntnis gegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.9 - description: "Jeder neue Benutzende SOLLTE die Kenntnisnahme und Beachtung der\ - \ Richtlinie schriftlich best\xE4tigen, bevor er die Informationstechnik nutzen\ - \ darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.10 - description: "Benutzende SOLLTEN die Richtlinie regelm\xE4\xDFig oder nach gr\xF6\ - \xDFeren \xC4nderungen erneut best\xE4tigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 - ref_id: ORP.1.A16.11 - description: "Die Richtlinie sollte zum Nachlesen f\xFCr alle Mitarbeitenden\ - \ frei zug\xE4nglich abgelegt werden, beispielsweise im Intranet." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 - ref_id: ORP.1.A17 - name: "Mitf\xFChrverbot von Mobiltelefonen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 - ref_id: ORP.1.A17.1 - description: "Mobiltelefone SOLLTEN NICHT zu vertraulichen Besprechungen und\ - \ Gespr\xE4chen mitgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 - ref_id: ORP.1.A17.2 - description: "Falls erforderlich, SOLLTE dies durch Mobilfunk-Detektoren \xFC\ - berpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - ref_id: ORP.2 - name: Personal - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A1 - name: Geregelte Einarbeitung neuer Mitarbeitender - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 - ref_id: ORP.2.A1.1 - description: "Die Personalabteilung sowie die Vorgesetzten M\xDCSSEN daf\xFC\ - r sorgen, dass Mitarbeitende zu Beginn ihrer Besch\xE4ftigung in ihre neuen\ - \ Aufgaben eingearbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 - ref_id: ORP.2.A1.2 - description: "Die Mitarbeitenden M\xDCSSEN \xFCber bestehende Regelungen, Handlungsanweisungen\ - \ und Verfahrensweisen informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 - ref_id: ORP.2.A1.3 - description: "Eine Checkliste und ein direkter Ansprechpartner oder Ansprechpartnerin\ - \ (\u201EPate oder Patin\u201C) kann hierbei hilfreich sein und SOLLTE etabliert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A2 - name: Geregelte Verfahrensweise beim Weggang von Mitarbeitenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.1 - description: Verlassen Mitarbeitende die Institution, MUSS der oder die Nachfolgende - rechtzeitig eingewiesen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.2 - description: Dies SOLLTE idealerweise durch den oder die ausscheidenden Mitarbeitenden - erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.3 - description: "Ist eine direkte \xDCbergabe nicht m\xF6glich, MUSS von den ausscheidenden\ - \ Mitarbeitenden eine ausf\xFChrliche Dokumentation angefertigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.4 - description: "Au\xDFerdem M\xDCSSEN von ausscheidenden Mitarbeitenden alle im\ - \ Rahmen ihrer T\xE4tigkeit erhaltenen Unterlagen, Schl\xFCssel und Ger\xE4\ - te sowie Ausweise und Zutrittsberechtigungen eingezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.5 - description: Vor der Verabschiedung MUSS noch einmal auf Verschwiegenheitsverpflichtungen - hingewiesen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.6 - description: Es SOLLTE besonders darauf geachtet werden, dass keine Interessenkonflikte - auftreten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.7 - description: Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden, - SOLLTEN Konkurrenzverbote und Karenzzeiten vereinbart werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.8 - description: "Weiterhin M\xDCSSEN Notfall- und andere Ablaufpl\xE4ne aktualisiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.9 - description: "Alle betroffenen Stellen innerhalb der Institution, wie z. B.\ - \ das Sicherheitspersonal oder die IT-Abteilung, M\xDCSSEN \xFCber das Ausscheiden\ - \ des oder der Mitarbeitenden informiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.10 - description: Damit alle verbundenen Aufgaben, die beim Ausscheiden des oder - der Mitarbeitenden anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste - angelegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 - ref_id: ORP.2.A2.11 - description: Zudem SOLLTE es einen festen Ansprechpartner oder Ansprechpartnerin - der Personalabteilung geben, der den Weggang von Mitarbeitenden begleitet. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A3 - name: Festlegung von Vertretungsregelungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.1 - description: "Die Vorgesetzten M\xDCSSEN daf\xFCr sorgen, dass im laufenden\ - \ Betrieb Vertretungsregelungen umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.2 - description: "Daf\xFCr MUSS sichergestellt werden, dass es f\xFCr alle wesentlichen\ - \ Gesch\xE4ftsprozesse und Aufgaben praktikable Vertretungsregelungen gibt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.3 - description: Bei diesen Regelungen MUSS der Aufgabenumfang der Vertretung im - Vorfeld klar definiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.4 - description: "Es MUSS sichergestellt werden, dass die Vertretung \xFCber das\ - \ daf\xFCr n\xF6tige Wissen verf\xFCgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.5 - description: "Ist dies nicht der Fall, MUSS \xFCberpr\xFCft werden, wie der\ - \ Vertretenden zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens-\ - \ oder Projektstand ausreichend zu dokumentieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 - ref_id: ORP.2.A3.6 - description: "Ist es im Ausnahmefall nicht m\xF6glich, f\xFCr einzelne Mitarbeitende\ - \ einen kompetenten Vertretenden zu benennen oder zu schulen, MUSS fr\xFC\ - hzeitig entschieden werden, ob externes Personal daf\xFCr hinzugezogen werden\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A4 - name: "Festlegung von Regelungen f\xFCr den Einsatz von Fremdpersonal" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - ref_id: ORP.2.A4.1 - description: "Wird externes Personal besch\xE4ftigt, MUSS dieses wie alle eigenen\ - \ Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften\ - \ und interne Regelungen einzuhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - ref_id: ORP.2.A4.2 - description: Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS - in sicherheitsrelevanten Bereichen beaufsichtigt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - ref_id: ORP.2.A4.3 - description: "Bei l\xE4ngerfristig besch\xE4ftigtem Fremdpersonal MUSS dieses\ - \ wie die eigenen Mitarbeitenden in seine Aufgaben eingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - ref_id: ORP.2.A4.4 - description: "Auch f\xFCr diese Mitarbeitende MUSS eine Vertretungsregelung\ - \ eingef\xFChrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 - ref_id: ORP.2.A4.5 - description: "Verl\xE4sst das Fremdpersonal die Institution, M\xDCSSEN Arbeitsergebnisse\ - \ wie bei eigenem Personal geregelt \xFCbergeben und eventuell ausgeh\xE4\ - ndigte Zugangsberechtigungen zur\xFCckgegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A5 - name: "Vertraulichkeitsvereinbarungen f\xFCr den Einsatz von Fremdpersonal" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 - ref_id: ORP.2.A5.1 - description: "Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen\ - \ erhalten, M\xDCSSEN mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher\ - \ Form geschlossen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 - ref_id: ORP.2.A5.2 - description: "In diesen Vertraulichkeitsvereinbarungen M\xDCSSEN alle wichtigen\ - \ Aspekte zum Schutz von institutionsinternen Informationen ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A7 - name: "\xDCberpr\xFCfung der Vertrauensw\xFCrdigkeit von Mitarbeitenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 - ref_id: ORP.2.A7.1 - description: "Neue Mitarbeitende SOLLTEN auf ihre Vertrauensw\xFCrdigkeit hin\ - \ \xFCberpr\xFCft werden, bevor sie eingestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 - ref_id: ORP.2.A7.2 - description: "Soweit m\xF6glich, SOLLTEN alle an der Personalauswahl Beteiligten\ - \ kontrollieren, ob die Angaben der Bewerbenden, die relevant f\xFCr die Einsch\xE4\ - tzung ihrer Vertrauensw\xFCrdigkeit sind, glaubhaft sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 - ref_id: ORP.2.A7.3 - description: "Insbesondere SOLLTE sorgf\xE4ltig gepr\xFCft werden, ob der vorgelegte\ - \ Lebenslauf korrekt, plausibel und vollst\xE4ndig ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 - ref_id: ORP.2.A7.4 - description: "Dabei SOLLTEN auff\xE4llig erscheinende Angaben \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A13 - name: "Sicherheits\xFCberpr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 - ref_id: ORP.2.A13.1 - description: "Im Hochsicherheitsbereich SOLLTE eine zus\xE4tzliche Sicherheits\xFC\ - berpr\xFCfung zus\xE4tzlich zur grundlegenden \xDCberpr\xFCfung der Vertrauensw\xFC\ - rdigkeit von Mitarbeitenden durchgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 - ref_id: ORP.2.A13.2 - description: "Arbeiten Mitarbeitende mit nach dem Geheimschutz klassifizierten\ - \ Verschlusssachen, SOLLTEN sich die entsprechenden Mitarbeitenden einer Sicherheits\xFC\ - berpr\xFCfung nach dem Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 - ref_id: ORP.2.A13.3 - description: "Diesbez\xFCglich SOLLTE der oder die Informationssicherheitsbeauftragte\ - \ den Geheimschutzbeauftragten oder die Geheimschutzbeauftragte bzw. Sicherheitsbevollm\xE4\ - chtigten oder Sicherheitsbevollm\xE4chtigte der Institution einbeziehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A14 - name: "Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - ref_id: ORP.2.A14.1 - description: "Alle Mitarbeitenden M\xDCSSEN dazu verpflichtet werden, geltende\ - \ Gesetze, Vorschriften und interne Regelungen einzuhalten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - ref_id: ORP.2.A14.2 - description: "Den Mitarbeitenden MUSS der rechtliche Rahmen ihre T\xE4tigkeit\ - \ bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - ref_id: ORP.2.A14.3 - description: "Die Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden M\xDCSSEN\ - \ in geeigneter Weise dokumentiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - ref_id: ORP.2.A14.4 - description: "Au\xDFerdem M\xDCSSEN alle Mitarbeitenden darauf hingewiesen werden,\ - \ dass alle w\xE4hrend der Arbeit erhaltenen Informationen ausschlie\xDFlich\ - \ zum internen Gebrauch bestimmt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 - ref_id: ORP.2.A14.5 - description: "Den Mitarbeitenden MUSS bewusst gemacht werden, die Informationssicherheit\ - \ der Institution auch au\xDFerhalb der Arbeitszeit und au\xDFerhalb des Betriebsgel\xE4\ - ndes zu sch\xFCtzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 - ref_id: ORP.2.A15 - name: Qualifikation des Personals - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.1 - description: "Mitarbeitende M\xDCSSEN regelm\xE4\xDFig geschult bzw. weitergebildet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.2 - description: In allen Bereichen MUSS sichergestellt werden, dass kein Mitarbeitende - mit veralteten Wissensstand arbeitet. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.3 - description: "Weiterhin SOLLTE den Mitarbeitenden w\xE4hrend ihrer Besch\xE4\ - ftigung die M\xF6glichkeit gegeben werden, sich im Rahmen ihres T\xE4tigkeitsfeldes\ - \ weiterzubilden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.4 - description: "Werden Stellen besetzt, M\xDCSSEN die erforderlichen Qualifikationen\ - \ und F\xE4higkeiten genau formuliert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.5 - description: "Anschlie\xDFend SOLLTE gepr\xFCft werden, ob diese bei den Bewerbenden\ - \ f\xFCr die Stelle tats\xE4chlich vorhanden sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 - ref_id: ORP.2.A15.6 - description: "Es MUSS sichergestellt sein, dass Stellen nur von Mitarbeitenden\ - \ besetzt werden, f\xFCr die sie qualifiziert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - ref_id: ORP.3 - name: Sensibilisierung und Schulung zur Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A1 - name: "Sensibilisierung der Institutionsleitung f\xFCr Informationssicherheit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.1 - description: "Die Institutionsleitung MUSS ausreichend f\xFCr Sicherheitsfragen\ - \ sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.2 - description: "Die Sicherheitskampagnen und Schulungsma\xDFnahmen M\xDCSSEN von\ - \ der Institutionsleitung unterst\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.3 - description: "Vor dem Beginn eines Sensibilisierungs- und Schulungsprogramms\ - \ zur Informationssicherheit MUSS die Unterst\xFCtzung der Institutionsleitung\ - \ eingeholt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.4 - description: "Alle Vorgesetzten M\xDCSSEN die Informationssicherheit unterst\xFC\ - tzen, indem sie mit gutem Beispiel vorangehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.5 - description: "F\xFChrungskr\xE4fte M\xDCSSEN die Sicherheitsvorgaben umsetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 - ref_id: ORP.3.A1.6 - description: "Hier\xFCber hinaus M\xDCSSEN sie ihre Mitarbeitenden auf deren\ - \ Einhaltung hinweisen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A3 - name: Einweisung des Personals in den sicheren Umgang mit IT - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 - ref_id: ORP.3.A3.1 - description: "Alle Mitarbeitenden und externen Benutzenden M\xDCSSEN in den\ - \ sicheren Umgang mit IT-, ICS- und IoT-Komponenten eingewiesen und sensibilisiert\ - \ werden, soweit dies f\xFCr ihre Arbeitszusammenh\xE4nge relevant ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 - ref_id: ORP.3.A3.2 - description: "Daf\xFCr M\xDCSSEN verbindliche, verst\xE4ndliche und aktuelle\ - \ Richtlinien zur Nutzung der jeweiligen Komponenten zur Verf\xFCgung stehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 - ref_id: ORP.3.A3.3 - description: Werden IT-, ICS- oder IoT-Systeme oder -Dienste in einer Weise - benutzt, die den Interessen der Institution widersprechen, MUSS dies kommuniziert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A4 - name: Konzeption und Planung eines Sensibilisierungs- und Schulungsprogramms - zur Informationssicherheit - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.1 - description: Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit - SOLLTEN sich an den jeweiligen Zielgruppen orientieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.2 - description: "Dazu SOLLTE eine Zielgruppenanalyse durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.3 - description: "Hierbei SOLLTEN Schulungsma\xDFnahmen auf die speziellen Anforderungen\ - \ und unterschiedlichen Hintergr\xFCnde fokussiert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.4 - description: Es SOLLTE ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm - zur Informationssicherheit erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.5 - description: "Dieses Schulungsprogramm SOLLTE den Mitarbeitenden alle Informationen\ - \ und F\xE4higkeiten vermitteln, die erforderlich sind, um in der Institution\ - \ geltende Sicherheitsregelungen und -ma\xDFnahmen umsetzen zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 - ref_id: ORP.3.A4.6 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A6 - name: "Durchf\xFChrung von Sensibilisierungen und Schulungen zur Informationssicherheit" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6 - ref_id: ORP.3.A6.1 - description: Alle Mitarbeitenden SOLLTEN entsprechend ihren Aufgaben und Verantwortlichkeiten - zu Informationssicherheitsthemen geschult werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A7 - name: Schulung zur Vorgehensweise nach IT-Grundschutz - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - ref_id: ORP.3.A7.1 - description: Informationssicherheitsbeauftragte SOLLTEN mit dem IT-Grundschutz - vertraut sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - ref_id: ORP.3.A7.2 - description: Wurde ein Schulungsbedarf identifiziert, SOLLTE eine geeignete - IT-Grundschutz-Schulung geplant werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - ref_id: ORP.3.A7.3 - description: "F\xFCr die Planung einer Schulung SOLLTE der Online-Kurs des BSI\ - \ zum IT-Grundschutz ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - ref_id: ORP.3.A7.4 - description: "Innerhalb der Schulung SOLLTE die Vorgehensweise anhand praxisnaher\ - \ Beispiele ge\xFCbt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 - ref_id: ORP.3.A7.5 - description: "Es SOLLTE gepr\xFCft werden, ob der oder die Informationssicherheitsbeauftragte\ - \ sich zu einem BSI IT-Grundschutz-Praktiker qualifizieren lassen sollten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A8 - name: Messung und Auswertung des Lernerfolgs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 - ref_id: ORP.3.A8.1 - description: Die Lernerfolge im Bereich Informationssicherheit SOLLTEN zielgruppenbezogen - gemessen und ausgewertet werden, um festzustellen, inwieweit die in den Sensibilisierungs- - und Schulungsprogrammen zur Informationssicherheit beschriebenen Ziele erreicht - sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 - ref_id: ORP.3.A8.2 - description: "Die Messungen SOLLTEN sowohl quantitative als auch qualitative\ - \ Aspekte der Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit\ - \ ber\xFCcksichtigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 - ref_id: ORP.3.A8.3 - description: "Die Ergebnisse SOLLTEN bei der Verbesserung des Sensibilisierungs-\ - \ und Schulungsangebots zur Informationssicherheit in geeigneter Weise einflie\xDF\ - en." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 - ref_id: ORP.3.A8.4 - description: "Der oder die Informationssicherheitsbeauftragte SOLLTE sich regelm\xE4\ - \xDFig mit der Personalabteilung und den anderen f\xFCr die Sicherheit relevanten\ - \ Ansprechpartnern (Datenschutz, Gesundheits- und Arbeitsschutz, Brandschutz\ - \ etc.) \xFCber die Effizienz der Aus- und Weiterbildung austauschen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 - ref_id: ORP.3.A9 - name: Spezielle Schulung von exponierten Personen und Institutionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9 - ref_id: ORP.3.A9.1 - description: "Besonders exponierte Personen SOLLTEN vertiefende Schulungen in\ - \ Hinblick auf m\xF6gliche Gef\xE4hrdungen sowie geeignete Verhaltensweisen\ - \ und Vorsichtsma\xDFnahmen erhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - ref_id: ORP.4 - name: "Identit\xE4ts- und Berechtigungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A1 - name: "Regelung f\xFCr die Einrichtung und L\xF6schung von Benutzenden und Benutzendengruppen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - ref_id: ORP.4.A1.1 - description: "Es MUSS geregelt werden, wie Benutzendenkennungen und -gruppen\ - \ einzurichten und zu l\xF6schen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - ref_id: ORP.4.A1.2 - description: "Jede Benutzendenkennung MUSS eindeutig einer Person zugeordnet\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - ref_id: ORP.4.A1.3 - description: "Benutzendenkennungen, die l\xE4ngere Zeit inaktiv sind, SOLLTEN\ - \ deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - ref_id: ORP.4.A1.4 - description: "Alle Benutzenden und Benutzendengruppen D\xDCRFEN NUR \xFCber\ - \ separate administrative Rollen eingerichtet und gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 - ref_id: ORP.4.A1.5 - description: "Nicht ben\xF6tigte Benutzendenkennungen, wie z. B. standardm\xE4\ - \xDFig eingerichtete Gastkonten oder Standard-Administrierendenkennungen,\ - \ M\xDCSSEN geeignet deaktiviert oder gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A2 - name: "Einrichtung, \xC4nderung und Entzug von Berechtigungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - ref_id: ORP.4.A2.1 - description: "Benutzendenkennungen und Berechtigungen D\xDCRFEN NUR aufgrund\ - \ des tats\xE4chlichen Bedarfs und der Notwendigkeit zur Aufgabenerf\xFCllung\ - \ vergeben werden (Prinzip der geringsten Berechtigungen, englisch Least Privileges\ - \ und Erforderlichkeitsprinzip, englisch Need-to-know)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - ref_id: ORP.4.A2.2 - description: "Bei personellen Ver\xE4nderungen M\xDCSSEN die nicht mehr ben\xF6\ - tigten Benutzendenkennungen und Berechtigungen entfernt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - ref_id: ORP.4.A2.3 - description: "Beantragen Mitarbeitende Berechtigungen, die \xFCber den Standard\ - \ hinausgehen, D\xDCRFEN diese NUR nach zus\xE4tzlicher Begr\xFCndung und\ - \ Pr\xFCfung vergeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - ref_id: ORP.4.A2.4 - description: "Zugriffsberechtigungen auf Systemverzeichnisse und -dateien SOLLTEN\ - \ restriktiv eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 - ref_id: ORP.4.A2.5 - description: "Alle Berechtigungen M\xDCSSEN \xFCber separate administrative\ - \ Rollen eingerichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A3 - name: Dokumentation der Benutzendenkennungen und Rechteprofile - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - ref_id: ORP.4.A3.1 - description: Es MUSS dokumentiert werden, welche Benutzendenkennungen, angelegte - Benutzendengruppen und Rechteprofile zugelassen und angelegt wurden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - ref_id: ORP.4.A3.2 - description: "Die Dokumentation der zugelassenen Benutzendenkennungen, angelegten\ - \ Benutzendengruppen und Rechteprofile MUSS regelm\xE4\xDFig daraufhin \xFC\ - berpr\xFCft werden, ob sie den tats\xE4chlichen Stand der Rechtevergabe widerspiegelt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - ref_id: ORP.4.A3.3 - description: "Dabei MUSS auch gepr\xFCft werden, ob die Rechtevergabe noch den\ - \ Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzenden entspricht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - ref_id: ORP.4.A3.4 - description: "Die Dokumentation MUSS vor unberechtigtem Zugriff gesch\xFCtzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 - ref_id: ORP.4.A3.5 - description: Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren - einbezogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A4 - name: Aufgabenverteilung und Funktionstrennung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4 - ref_id: ORP.4.A4.1 - description: "Die von der Institution definierten unvereinbaren Aufgaben und\ - \ Funktionen (siehe Baustein ORP.1 Organisation) M\xDCSSEN durch das Identit\xE4\ - ts- und Berechtigungsmanagement getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A5 - name: Vergabe von Zutrittsberechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - ref_id: ORP.4.A5.1 - description: Es MUSS festgelegt werden, welche Zutrittsberechtigungen an welche - Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - ref_id: ORP.4.A5.2 - description: Die Ausgabe bzw. der Entzug von verwendeten Zutrittsmittel wie - Chipkarten MUSS dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - ref_id: ORP.4.A5.3 - description: "Wenn Zutrittsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - ref_id: ORP.4.A5.4 - description: "Die Zutrittsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ - \ den Zutrittsmitteln geschult werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 - ref_id: ORP.4.A5.5 - description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ - bergehend gesperrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A6 - name: Vergabe von Zugangsberechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - ref_id: ORP.4.A6.1 - description: Es MUSS festgelegt werden, welche Zugangsberechtigungen an welche - Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - ref_id: ORP.4.A6.2 - description: Werden Zugangsmittel wie Chipkarten verwendet, so MUSS die Ausgabe - bzw. der Entzug dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - ref_id: ORP.4.A6.3 - description: "Wenn Zugangsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - ref_id: ORP.4.A6.4 - description: "Die Zugangsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ - \ den Zugangsmitteln geschult werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 - ref_id: ORP.4.A6.5 - description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ - bergehend gesperrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A7 - name: Vergabe von Zugriffsrechten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 - ref_id: ORP.4.A7.1 - description: Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen - im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 - ref_id: ORP.4.A7.2 - description: Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, - so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 - ref_id: ORP.4.A7.3 - description: "Die Anwendenden SOLLTEN f\xFCr den korrekten Umgang mit Chipkarten\ - \ oder Token geschult werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 - ref_id: ORP.4.A7.4 - description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ - bergehend gesperrt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A8 - name: Regelung des Passwortgebrauchs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.1 - description: "Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe\ - \ auch ORP.4.A22 Regelung zur Passwortqualit\xE4t und ORP.4.A23 Regelung f\xFC\ - r passwortverarbeitende Anwendungen und IT-Systeme)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.2 - description: "Dabei MUSS gepr\xFCft werden, ob Passw\xF6rter als alleiniges\ - \ Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale\ - \ bzw. -verfahren zus\xE4tzlich zu oder anstelle von Passw\xF6rtern verwendet\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.3 - description: "Passw\xF6rter D\xDCRFEN NICHT mehrfach verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.4 - description: "F\xFCr jedes IT-System bzw. jede Anwendung MUSS ein eigenst\xE4\ - ndiges Passwort verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.5 - description: "Passw\xF6rter, die leicht zu erraten sind oder in g\xE4ngigen\ - \ Passwortlisten gef\xFChrt werden, D\xDCRFEN NICHT verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.6 - description: "Passw\xF6rter M\xDCSSEN geheim gehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.7 - description: "Sie D\xDCRFEN NUR den Benutzenden pers\xF6nlich bekannt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.8 - description: "Passw\xF6rter D\xDCRFEN NUR unbeobachtet eingegeben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.9 - description: "Passw\xF6rter D\xDCRFEN NICHT auf programmierbaren Funktionstasten\ - \ von Tastaturen oder M\xE4usen gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.10 - description: "Ein Passwort DARF NUR f\xFCr eine Hinterlegung f\xFCr einen Notfall\ - \ schriftlich fixiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.11 - description: Es MUSS dann sicher aufbewahrt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.12 - description: "Die Nutzung eines Passwort-Managers SOLLTE gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.13 - description: "Bei Passwort-Managern mit Funktionen oder Plug-ins, mit denen\ - \ Passw\xF6rter \xFCber Onlinedienste Dritter synchronisiert oder anderweitig\ - \ an Dritte \xFCbertragen werden, M\xDCSSEN diese Funktionen und Plug-ins\ - \ deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 - ref_id: ORP.4.A8.14 - description: Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen - bekannt geworden ist oder der Verdacht dazu besteht. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A9 - name: Identifikation und Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 - ref_id: ORP.4.A9.1 - description: Der Zugriff auf alle IT-Systeme und Dienste MUSS durch eine angemessene - Identifikation und Authentisierung der zugreifenden Benutzenden, Dienste oder - IT-Systeme abgesichert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 - ref_id: ORP.4.A9.2 - description: "Vorkonfigurierte Authentisierungsmittel M\xDCSSEN vor dem produktiven\ - \ Einsatz ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A10 - name: Schutz von Benutzendenkennungen mit weitreichenden Berechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10 - ref_id: ORP.4.A10.1 - description: "Benutzendenkennungen mit weitreichenden Berechtigungen SOLLTEN\ - \ mit einer Mehr-Faktor-Authentisierung, z. B. mit kryptografischen Zertifikaten,\ - \ Chipkarten oder Token, gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A11 - name: "Zur\xFCcksetzen von Passw\xF6rtern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 - ref_id: ORP.4.A11.1 - description: "F\xFCr das Zur\xFCcksetzen von Passw\xF6rtern SOLLTE ein angemessenes\ - \ sicheres Verfahren definiert und umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 - ref_id: ORP.4.A11.2 - description: "Die Mitarbeitenden des IT-Betriebs, die Passw\xF6rter zur\xFC\ - cksetzen k\xF6nnen, SOLLTEN entsprechend geschult werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 - ref_id: ORP.4.A11.3 - description: "Bei h\xF6herem Schutzbedarf des Passwortes SOLLTE eine Strategie\ - \ definiert werden, falls Mitarbeitende des IT-Betriebs aufgrund fehlender\ - \ sicherer M\xF6glichkeiten der \xDCbermittlung des Passwortes die Verantwortung\ - \ nicht \xFCbernehmen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A12 - name: "Entwicklung eines Authentisierungskonzeptes f\xFCr IT-Systeme und Anwendungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 - ref_id: ORP.4.A12.1 - description: Es SOLLTE ein Authentisierungskonzept erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 - ref_id: ORP.4.A12.2 - description: "Darin SOLLTE f\xFCr jedes IT-System und jede Anwendung definiert\ - \ werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung\ - \ gestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 - ref_id: ORP.4.A12.3 - description: "Authentisierungsinformationen M\xDCSSEN kryptografisch sicher\ - \ gespeichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 - ref_id: ORP.4.A12.4 - description: "Authentisierungsinformationen D\xDCRFEN NICHT unverschl\xFCsselt\ - \ \xFCber unsichere Netze \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A13 - name: Geeignete Auswahl von Authentisierungsmechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - ref_id: ORP.4.A13.1 - description: Es SOLLTEN dem Schutzbedarf angemessene Identifikations- und Authentisierungsmechanismen - verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - ref_id: ORP.4.A13.2 - description: "Authentisierungsdaten SOLLTEN durch das IT-System bzw. die IT-Anwendungen\ - \ bei der Verarbeitung jederzeit gegen Aussp\xE4hung, Ver\xE4nderung und Zerst\xF6\ - rung gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - ref_id: ORP.4.A13.3 - description: "Das IT-System bzw. die IT-Anwendung SOLLTE nach jedem erfolglosen\ - \ Authentisierungsversuch weitere Anmeldeversuche zunehmend verz\xF6gern (Time\ - \ Delay)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - ref_id: ORP.4.A13.4 - description: "Die Gesamtdauer eines Anmeldeversuchs SOLLTE begrenzt werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 - ref_id: ORP.4.A13.5 - description: "Nach \xDCberschreitung der vorgegebenen Anzahl erfolgloser Authentisierungsversuche\ - \ SOLLTE das IT-System bzw. die IT-Anwendung die Benutzendenkennung sperren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A14 - name: Kontrolle der Wirksamkeit der Benutzendentrennung am IT-System bzw. an - der Anwendung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 - ref_id: ORP.4.A14.1 - description: "In angemessenen Zeitabst\xE4nden SOLLTE \xFCberpr\xFCft werden,\ - \ ob die Benutzenden von IT-Systemen bzw. Anwendungen sich regelm\xE4\xDF\ - ig nach Aufgabenerf\xFCllung abmelden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 - ref_id: ORP.4.A14.2 - description: Ebenso SOLLTE kontrolliert werden, dass nicht mehrere Benutzende - unter der gleichen Kennung arbeiten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A15 - name: "Vorgehensweise und Konzeption der Prozesse beim Identit\xE4ts- und Berechtigungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.1 - description: "F\xFCr das Identit\xE4ts- und Berechtigungsmanagement SOLLTEN\ - \ folgenden Prozesse definiert und umgesetzt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.2 - description: "\u2022 Richtlinien verwalten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.3 - description: "\u2022 Identit\xE4tsprofile verwalten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.4 - description: "\u2022 Benutzendenkennungen verwalten," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.5 - description: "\u2022 Berechtigungsprofile verwalten sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 - ref_id: ORP.4.A15.6 - description: "\u2022 Rollen verwalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A16 - name: "Richtlinien f\xFCr die Zugriffs- und Zugangskontrolle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 - ref_id: ORP.4.A16.1 - description: "Es SOLLTE eine Richtlinie f\xFCr die Zugriffs- und Zugangskontrolle\ - \ von IT-Systemen, IT-Komponenten und Datennetzen erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 - ref_id: ORP.4.A16.2 - description: Es SOLLTEN Standard-Rechteprofile benutzt werden, die den Funktionen - und Aufgaben der Mitarbeitenden entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 - ref_id: ORP.4.A16.3 - description: "F\xFCr jedes IT-System und jede IT-Anwendung SOLLTE eine schriftliche\ - \ Zugriffsregelung existieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A17 - name: "Geeignete Auswahl von Identit\xE4ts- und Berechtigungsmanagement-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 - ref_id: ORP.4.A17.1 - description: "Beim Einsatz eines Identit\xE4ts- und Berechtigungsmanagement-Systems\ - \ SOLLTE dieses f\xFCr die Institution und deren jeweilige Gesch\xE4ftsprozesse,\ - \ Organisationsstrukturen und Abl\xE4ufe sowie deren Schutzbedarf geeignet\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 - ref_id: ORP.4.A17.2 - description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE die\ - \ in der Institution vorhandenen Vorgaben zum Umgang mit Identit\xE4ten und\ - \ Berechtigungen abbilden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 - ref_id: ORP.4.A17.3 - description: "Das ausgew\xE4hlte Identit\xE4ts- und Berechtigungsmanagement-System\ - \ SOLLTE den Grundsatz der Funktionstrennung unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 - ref_id: ORP.4.A17.4 - description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE angemessen\ - \ vor Angriffen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A18 - name: Einsatz eines zentralen Authentisierungsdienstes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 - ref_id: ORP.4.A18.1 - description: "Um ein zentrales Identit\xE4ts- und Berechtigungsmanagement aufzubauen,\ - \ SOLLTE ein zentraler netzbasierter Authentisierungsdienst eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 - ref_id: ORP.4.A18.2 - description: "Der Einsatz eines zentralen netzbasierten Authentisierungsdienstes\ - \ SOLLTE sorgf\xE4ltig geplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 - ref_id: ORP.4.A18.3 - description: "Dazu SOLLTEN die Sicherheitsanforderungen dokumentiert werden,\ - \ die f\xFCr die Auswahl eines solchen Dienstes relevant sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A19 - name: Einweisung aller Mitarbeitenden in den Umgang mit Authentisierungsverfahren - und -mechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 - ref_id: ORP.4.A19.1 - description: Alle Mitarbeitende SOLLTEN in den korrekten Umgang mit dem Authentisierungsverfahren - eingewiesen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 - ref_id: ORP.4.A19.2 - description: "Es SOLLTE verst\xE4ndliche Richtlinien f\xFCr den Umgang mit Authentisierungsverfahren\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 - ref_id: ORP.4.A19.3 - description: "Die Mitarbeitenden SOLLTEN \xFCber relevante Regelungen informiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A20 - name: "Notfallvorsorge f\xFCr das Identit\xE4ts- und Berechtigungsmanagement-System" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 - ref_id: ORP.4.A20.1 - description: "Es SOLLTE gepr\xFCft werden, inwieweit ein ausgefallenes Identit\xE4\ - ts- und Berechtigungsmanagement-System sicherheitskritisch f\xFCr die Gesch\xE4\ - ftsprozesse ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 - ref_id: ORP.4.A20.2 - description: "Es SOLLTEN Vorkehrungen getroffen werden, um bei einem ausgefallenen\ - \ Identit\xE4ts- und Berechtigungsmanagement-System weiterhin arbeitsf\xE4\ - hig zu sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 - ref_id: ORP.4.A20.3 - description: "Insbesondere SOLLTE das im Notfallkonzept vorgesehene Berechtigungskonzept\ - \ weiterhin anwendbar sein, wenn das Identit\xE4ts- und Berechtigungsmanagement-System\ - \ ausgefallen ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A21 - name: Mehr-Faktor-Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21 - ref_id: ORP.4.A21.1 - description: Es SOLLTE eine sichere Mehr-Faktor-Authentisierung, z. B. mit kryptografischen - Zertifikaten, Chipkarten oder Token, zur Authentisierung verwendet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A22 - name: "Regelung zur Passwortqualit\xE4t" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 - ref_id: ORP.4.A22.1 - description: "In Abh\xE4ngigkeit von Einsatzzweck und Schutzbedarf M\xDCSSEN\ - \ sichere Passw\xF6rter geeigneter Qualit\xE4t gew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 - ref_id: ORP.4.A22.2 - description: Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten - ist. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 - ref_id: ORP.4.A22.3 - description: "Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende\ - \ in der Lage sind, das Passwort mit vertretbarem Aufwand regelm\xE4\xDFig\ - \ zu verwenden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A23 - name: "Regelung f\xFCr passwortverarbeitende Anwendungen und IT-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.1 - description: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund - zum Wechsel des Passworts auffordern. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.2 - description: Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.3 - description: "Es M\xDCSSEN Ma\xDFnahmen ergriffen werden, um die Kompromittierung\ - \ von Passw\xF6rtern zu erkennen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.4 - description: "Ist dies nicht m\xF6glich, so SOLLTE gepr\xFCft werden, ob die\ - \ Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden\ - \ k\xF6nnen und Passw\xF6rter in gewissen Abst\xE4nden gewechselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.5 - description: "Standardpassw\xF6rter M\xDCSSEN durch ausreichend starke Passw\xF6\ - rter ersetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.6 - description: "Vordefinierte Kennungen M\xDCSSEN ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.7 - description: "Es SOLLTE sichergestellt werden, dass die m\xF6gliche Passwortl\xE4\ - nge auch im vollen Umfang von verarbeitenden IT-Systemen gepr\xFCft wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.8 - description: "Nach einem Passwortwechsel D\xDCRFEN alte Passw\xF6rter NICHT\ - \ mehr genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.9 - description: "Passw\xF6rter M\xDCSSEN so sicher wie m\xF6glich gespeichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.10 - description: "Bei Kennungen f\xFCr technische Konten, Dienstkonten, Schnittstellen\ - \ oder Vergleichbares SOLLTE ein Passwortwechsel sorgf\xE4ltig geplant und\ - \ gegebenenfalls mit den Anwendungsverantwortlichen abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.11 - description: "Bei der Authentisierung in vernetzten Systemen D\xDCRFEN Passw\xF6\ - rter NICHT unverschl\xFCsselt \xFCber unsichere Netze \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.12 - description: "Wenn Passw\xF6rter in einem Intranet \xFCbertragen werden, SOLLTEN\ - \ sie verschl\xFCsselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 - ref_id: ORP.4.A23.13 - description: Bei erfolglosen Anmeldeversuchen SOLLTEN die passwortverarbeitenden - Anwendungen oder die IT-Systeme keinen Hinweis darauf geben, ob Passwort oder - Kennung falsch sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 - ref_id: ORP.4.A24 - name: "Vier-Augen-Prinzip f\xFCr administrative T\xE4tigkeiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 - ref_id: ORP.4.A24.1 - description: "Administrative T\xE4tigkeiten SOLLTEN nur durch zwei Personen\ - \ durchgef\xFChrt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 - ref_id: ORP.4.A24.2 - description: Dazu SOLLTEN bei Mehr-Faktor-Authentisierung die Faktoren auf die - zwei Personen verteilt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 - ref_id: ORP.4.A24.3 - description: "Bei der Nutzung von Passw\xF6rtern SOLLTEN diese in zwei Teile\ - \ zerlegt werden und jede der zwei Personen enth\xE4lt einen Teil." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp - ref_id: ORP.5 - name: Compliance Management (Anforderungsmanagement) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - ref_id: ORP.5.A1 - name: Identifikation der Rahmenbedingungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 - ref_id: ORP.5.A1.1 - description: "Alle gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen\ - \ auf das Informationssicherheitsmanagement M\xDCSSEN identifiziert und dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 - ref_id: ORP.5.A1.2 - description: "Die f\xFCr die einzelnen Bereiche der Institution relevanten gesetzlichen,\ - \ vertraglichen und sonstigen Vorgaben SOLLTEN in einer strukturierten \xDC\ - bersicht herausgearbeitet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 - ref_id: ORP.5.A1.3 - description: Die Dokumentation MUSS auf dem aktuellen Stand gehalten werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - ref_id: ORP.5.A2 - name: Beachtung der Rahmenbedingungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - ref_id: ORP.5.A2.1 - description: "Die als sicherheitsrelevant identifizierten Anforderungen M\xDC\ - SSEN bei der Planung und Konzeption von Gesch\xE4ftsprozessen, Anwendungen\ - \ und IT-Systemen oder bei der Beschaffung neuer Komponenten einflie\xDFen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - ref_id: ORP.5.A2.2 - description: "F\xFChrungskr\xE4fte, die eine rechtliche Verantwortung f\xFC\ - r die Institution tragen, M\xDCSSEN f\xFCr die Einhaltung der gesetzlichen,\ - \ vertraglichen und sonstigen Vorgaben sorgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - ref_id: ORP.5.A2.3 - description: "Die Verantwortlichkeiten und Zust\xE4ndigkeiten f\xFCr die Einhaltung\ - \ dieser Vorgaben M\xDCSSEN festgelegt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - ref_id: ORP.5.A2.4 - description: "Es M\xDCSSEN geeignete Ma\xDFnahmen identifiziert und umgesetzt\ - \ werden, um Verst\xF6\xDFe gegen relevante Anforderungen zu vermeiden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 - ref_id: ORP.5.A2.5 - description: "Wenn solche Verst\xF6\xDFe erkannt werden, M\xDCSSEN sachgerechte\ - \ Korrekturma\xDFnahmen ergriffen werden, um die Abweichungen zu beheben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - ref_id: ORP.5.A4 - name: Konzeption und Organisation des Compliance Managements - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - ref_id: ORP.5.A4.1 - description: In der Institution SOLLTE ein Prozess aufgebaut werden, um alle - relevanten gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen - auf das Informationssicherheitsmanagement zu identifizieren. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - ref_id: ORP.5.A4.2 - description: "Es SOLLTEN geeignete Prozesse und Organisationsstrukturen aufgebaut\ - \ werden, um basierend auf der Identifikation und Beachtung der rechtlichen\ - \ Rahmenbedingungen, den \xDCberblick \xFCber die verschiedenen rechtlichen\ - \ Anforderungen an die einzelnen Bereiche der Institution zu gew\xE4hrleisten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - ref_id: ORP.5.A4.3 - description: "Daf\xFCr SOLLTEN Zust\xE4ndige f\xFCr das Compliance Management\ - \ festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - ref_id: ORP.5.A4.4 - description: "Compliance-Beauftragte und Informationssicherheitsbeauftragte\ - \ SOLLTEN sich regelm\xE4\xDFig austauschen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 - ref_id: ORP.5.A4.5 - description: "Sie SOLLTEN gemeinsam Sicherheitsanforderungen ins Compliance\ - \ Management integrieren, sicherheitsrelevante Anforderungen in Sicherheitsma\xDF\ - nahmen \xFCberf\xFChren und deren Umsetzung kontrollieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - ref_id: ORP.5.A5 - name: Ausnahmegenehmigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - ref_id: ORP.5.A5.1 - description: "Ist es in Einzelf\xE4llen erforderlich, von getroffenen Regelungen\ - \ abzuweichen, SOLLTE die Ausnahme begr\xFCndet und durch eine autorisierte\ - \ Stelle nach einer Risikoabsch\xE4tzung genehmigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - ref_id: ORP.5.A5.2 - description: "Es SOLLTE ein Genehmigungsverfahren f\xFCr Ausnahmegenehmigungen\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - ref_id: ORP.5.A5.3 - description: "Es SOLLTE eine \xDCbersicht \xFCber alle erteilten Ausnahmegenehmigungen\ - \ erstellt und gepflegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - ref_id: ORP.5.A5.4 - description: "Ein entsprechendes Verfahren f\xFCr die Dokumentation und ein\ - \ \xDCberpr\xFCfungsprozess SOLLTE etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 - ref_id: ORP.5.A5.5 - description: Alle Ausnahmegenehmigungen SOLLTEN befristet sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 - ref_id: ORP.5.A8 - name: "Regelm\xE4\xDFige \xDCberpr\xFCfungen des Compliance Managements" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 - ref_id: ORP.5.A8.1 - description: "Es SOLLTE ein Verfahren etabliert sein, wie das Compliance Management\ - \ und die sich daraus ergebenden Anforderungen und Ma\xDFnahmen regelm\xE4\ - \xDFig auf ihre Effizienz und Effektivit\xE4t \xFCberpr\xFCft werden (siehe\ - \ auch DER.3.1 Audits und Revisionen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 - ref_id: ORP.5.A8.2 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ - \ und die Prozesse des Compliance Managements angemessen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - assessable: false - depth: 1 - ref_id: SYS - name: IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.1 - name: Allgemeiner Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A1 - name: Zugriffsschutz und Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.1 - description: "Physische Server M\xDCSSEN an Orten betrieben werden, zu denen\ - \ nur berechtigte Personen Zutritt haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.2 - description: "Physische Server M\xDCSSEN daher in Rechenzentren, Serverr\xE4\ - umen oder abschlie\xDFbaren Serverschr\xE4nken aufgestellt beziehungsweise\ - \ eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht\ - \ INF Infrastruktur)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.3 - description: Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen - der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen - begrenzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.4 - description: "Server D\xDCRFEN NICHT als Arbeitsplatzrechner genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.5 - description: "Server D\xDCRFEN NICHT zur Erledigung von Aufgaben und T\xE4tigkeiten\ - \ verwendet werden, die grunds\xE4tzlich auf einem Client-System aus- und\ - \ durchgef\xFChrt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.6 - description: "Insbesondere D\xDCRFEN vorhandene Anwendungen, wie Webbrowser,\ - \ auf dem Server NICHT f\xFCr das Abrufen von Informationen aus dem Internet\ - \ oder das Herunterladen von Software, Treibern und Updates verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 - ref_id: SYS.1.1.A1.7 - description: "Als Arbeitsplatz genutzte IT-Systeme D\xDCRFEN NICHT als Server\ - \ genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A2 - name: Authentisierung an Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 - ref_id: SYS.1.1.A2.1 - description: "F\xFCr die Anmeldung von Benutzenden und Diensten am Server M\xDC\ - SSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der\ - \ Server angemessen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 - ref_id: SYS.1.1.A2.2 - description: "Dies SOLLTE in besonderem Ma\xDFe f\xFCr administrative Zug\xE4\ - nge ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 - ref_id: SYS.1.1.A2.3 - description: "Soweit m\xF6glich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste\ - \ zur\xFCckgegriffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A5 - name: Schutz von Schnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 - ref_id: SYS.1.1.A5.1 - description: "Es MUSS gew\xE4hrleistet werden, dass nur daf\xFCr vorgesehene\ - \ Wechselspeicher und sonstige Ger\xE4te an die Server angeschlossen werden\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 - ref_id: SYS.1.1.A5.2 - description: "Alle Schnittstellen, die nicht verwendet werden, M\xDCSSEN deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A6 - name: "Deaktivierung nicht ben\xF6tigter Dienste" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - ref_id: SYS.1.1.A6.1 - description: "Alle nicht ben\xF6tigten Serverrollen, Features und Funktionen,\ - \ sonstige Software und Dienste M\xDCSSEN deaktiviert oder deinstalliert werden,\ - \ vor allem Netzdienste." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - ref_id: SYS.1.1.A6.2 - description: "Auch alle nicht ben\xF6tigten Funktionen in der Firmware M\xDC\ - SSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - ref_id: SYS.1.1.A6.3 - description: "Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei\ - \ als Orientierung ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - ref_id: SYS.1.1.A6.4 - description: "Auf Servern SOLLTE der Speicherplatz f\xFCr die einzelnen Benutzenden,\ - \ aber auch f\xFCr Anwendungen, geeignet beschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 - ref_id: SYS.1.1.A6.5 - description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ - \ dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung\ - \ f\xFCr die Server gew\xE4hlt wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A9 - name: Einsatz von Virenschutz-Programmen auf Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 - ref_id: SYS.1.1.A9.1 - description: "Abh\xE4ngig vom installierten Betriebssystem, den bereitgestellten\ - \ Diensten und von anderen vorhandenen Schutzmechanismen des Servers MUSS\ - \ gepr\xFCft werden, ob Viren-Schutzprogramme eingesetzt werden sollen und\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 - ref_id: SYS.1.1.A9.2 - description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein Virenschutz\ - \ notwendig ist, aus den betreffenden Betriebssystem-Bausteinen des IT-Grundschutz-Kompendiums\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A10 - name: Protokollierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.1 - description: "Generell M\xDCSSEN alle sicherheitsrelevanten Systemereignisse\ - \ protokolliert werden, dazu geh\xF6ren mindestens:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.2 - description: "\u2022 Systemstarts und Reboots," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.3 - description: "\u2022 erfolgreiche und erfolglose Anmeldungen am IT-System (Betriebssystem\ - \ und Anwendungssoftware)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.4 - description: "\u2022 fehlgeschlagene Berechtigungspr\xFCfungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.5 - description: "\u2022 blockierte Datenstr\xF6me (Verst\xF6\xDFe gegen ACLs oder\ - \ Firewallregeln)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.6 - description: "\u2022 Einrichtung oder \xC4nderungen von Benutzenden, Gruppen\ - \ und Berechtigungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.7 - description: "\u2022 sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte,\ - \ \xDCberschreitung von Kapazit\xE4tsgrenzen) sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 - ref_id: SYS.1.1.A10.8 - description: "\u2022 Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A11 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 - ref_id: SYS.1.1.A11.1 - description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution - SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie - konkretisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 - ref_id: SYS.1.1.A11.2 - description: "Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen,\ - \ die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt\ - \ und Grundlage f\xFCr deren Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 - ref_id: SYS.1.1.A11.3 - description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ - \ regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 - ref_id: SYS.1.1.A11.4 - description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A12 - name: Planung des Server-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.1 - description: Jedes Server-System SOLLTE geeignet geplant werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.2 - description: "Dabei SOLLTEN mindestens folgende Punkte ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.3 - description: "\u2022 Auswahl der Plattform (Hardware oder virtualisierte Ressourcen),\ - \ des Betriebssystems und der Anwendungssoftware," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.4 - description: "\u2022 Dimensionierung der Hardware (Leistung, Speicher, Bandbreite\ - \ etc.)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.5 - description: "\u2022 Art und Anzahl der Kommunikationsschnittstellen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.6 - description: "\u2022 Leistungsaufnahme, W\xE4rmelast, Platzbedarf und Bauform," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.7 - description: "\u2022 administrative Zug\xE4nge (siehe SYS.1.1.A5 Schutz von\ - \ Schnittstellen)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.8 - description: "\u2022 Zugriffe von Benutzenden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.9 - description: "\u2022 Protokollierung (siehe SYS.1.1.A10 Protokollierung)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.10 - description: "\u2022 Aktualisierung von Betriebssystem und Anwendungen sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.11 - description: "\u2022 Einbindung ins System- und Netzmanagement, in die Datensicherung\ - \ und die Schutzsysteme (Virenschutz, IDS etc.)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 - ref_id: SYS.1.1.A12.12 - description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ - \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ - \ nachvollzogen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A13 - name: Beschaffung von Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13 - ref_id: SYS.1.1.A13.1 - description: "Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste\ - \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A15 - name: Unterbrechungsfreie und stabile Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15 - ref_id: SYS.1.1.A15.1 - description: Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung - (USV) angeschlossen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A16 - name: Sichere Installation und Grundkonfiguration von Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.1 - description: "Der vollst\xE4ndige Installations- und Konfigurationsvorgang SOLLTE\ - \ soweit wie m\xF6glich innerhalb einer gesonderten und von Produktivsystemen\ - \ abgetrennten Installationsumgebung vorgenommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.2 - description: Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme - des Servers bereits vorgenommen sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.3 - description: "Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch\ - \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.4 - description: "Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste\ - \ und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht ben\xF6tigter Dienste)\ - \ SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie f\xFCr Server\ - \ (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie f\xFCr Server)\ - \ konfiguriert, getestet und regelm\xE4\xDFig inhaltlich \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.5 - description: "Dabei SOLLTE der Server unter Ber\xFCcksichtigung der Empfehlungen\ - \ des Betriebssystemherstellers und des voreingestellten Standardverhaltens\ - \ konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz\ - \ oder der Organisation widerspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.6 - description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.7 - description: "Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch\ - \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ - \ wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 - ref_id: SYS.1.1.A16.8 - description: "Sofern der Server eine Verbindung in das Internet ben\xF6tigt\ - \ oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet\ - \ verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A19 - name: Einrichtung lokaler Paketfilter - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 - ref_id: SYS.1.1.A19.1 - description: "Vorhandene lokale Paketfilter SOLLTEN \xFCber ein Regelwerk so\ - \ ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf\ - \ die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie\ - \ Ports und Schnittstellen beschr\xE4nkt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 - ref_id: SYS.1.1.A19.2 - description: "Die Identit\xE4t von Remote-Systemen und die Integrit\xE4t der\ - \ Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A21 - name: "Betriebsdokumentation f\xFCr Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - ref_id: SYS.1.1.A21.1 - description: "Betriebliche Aufgaben, die an einem Server durchgef\xFChrt werden,\ - \ SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - ref_id: SYS.1.1.A21.2 - description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ - nderungen nachvollziehbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - ref_id: SYS.1.1.A21.3 - description: Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten - einzubauen, SOLLTEN dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - ref_id: SYS.1.1.A21.4 - description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 - ref_id: SYS.1.1.A21.5 - description: "Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust\ - \ gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A22 - name: Einbindung in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 - ref_id: SYS.1.1.A22.1 - description: "Der Server SOLLTE im Notfallmanagementprozess ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 - ref_id: SYS.1.1.A22.2 - description: "Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt\ - \ und geeignete Notfallma\xDFnahmen umgesetzt werden, z. B. indem Wiederanlaufpl\xE4\ - ne erstellt oder Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A23 - name: "System\xFCberwachung und Monitoring von Servern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 - ref_id: SYS.1.1.A23.1 - description: "Das Server-System SOLLTE in ein geeignetes System\xFCberwachungs-\ - \ oder Monitoringkonzept eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 - ref_id: SYS.1.1.A23.2 - description: "Der Systemzustand sowie die Funktionsf\xE4higkeit des Servers\ - \ und der darauf betriebenen Dienste SOLLTEN laufend \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 - ref_id: SYS.1.1.A23.3 - description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ - \ SOLLTEN an das Betriebspersonal gemeldet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A24 - name: "Sicherheitspr\xFCfungen f\xFCr Server" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 - ref_id: SYS.1.1.A24.1 - description: "Server SOLLTEN regelm\xE4\xDFigen Sicherheitstests unterzogen\ - \ werden, die \xFCberpr\xFCfen, ob alle Sicherheitsvorgaben eingehalten werden\ - \ und gegebenenfalls vorhandene Schwachstellen identifizieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 - ref_id: SYS.1.1.A24.2 - description: "Diese Sicherheitspr\xFCfungen SOLLTEN insbesondere auf Servern\ - \ mit externen Schnittstellen durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 - ref_id: SYS.1.1.A24.3 - description: "Um mittelbare Angriffe \xFCber infizierte IT-Systeme im eigenen\ - \ Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen\ - \ entsprechend \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 - ref_id: SYS.1.1.A24.4 - description: "Es SOLLTE gepr\xFCft werden, ob die Sicherheitspr\xFCfungen automatisiert,\ - \ z. B. mittels geeigneter Skripte, realisiert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A25 - name: "Geregelte Au\xDFerbetriebnahme eines Servers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - ref_id: SYS.1.1.A25.1 - description: "Bei der Au\xDFerbetriebnahme eines Servers SOLLTE sichergestellt\ - \ werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datentr\xE4\ - gern gespeichert sind, verloren gehen und dass keine schutzbed\xFCrftigen\ - \ Daten zur\xFCckbleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - ref_id: SYS.1.1.A25.2 - description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ - \ auf dem Server gespeichert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - ref_id: SYS.1.1.A25.3 - description: "Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene\ - \ Dienste durch einen anderen Server \xFCbernommen werden, wenn dies erforderlich\ - \ ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - ref_id: SYS.1.1.A25.4 - description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ - erbetriebnahme eines Servers abgearbeitet werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 - ref_id: SYS.1.1.A25.5 - description: "Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung,\ - \ Migration von Diensten und dem anschlie\xDFenden sicheren L\xF6schen aller\ - \ Daten umfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A27 - name: Hostbasierte Angriffserkennung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 - ref_id: SYS.1.1.A27.1 - description: "Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection\ - \ Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden,\ - \ um das Systemverhalten auf Anomalien und Missbrauch hin zu \xFCberwachen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 - ref_id: SYS.1.1.A27.2 - description: "Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgew\xE4\ - hlt, konfiguriert und ausf\xFChrlich getestet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 - ref_id: SYS.1.1.A27.3 - description: Bei einer Angriffserkennung SOLLTE das Betriebspersonal in geeigneter - Weise alarmiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 - ref_id: SYS.1.1.A27.4 - description: "\xDCber Betriebssystem-Mechanismen oder geeignete Zusatzprodukte\ - \ SOLLTEN Ver\xE4nderungen an Systemdateien und Konfigurationseinstellungen\ - \ \xFCberpr\xFCft, eingeschr\xE4nkt und gemeldet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A28 - name: "Steigerung der Verf\xFCgbarkeit durch Redundanz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 - ref_id: SYS.1.1.A28.1 - description: "Server mit hohen Verf\xFCgbarkeitsanforderungen SOLLTEN gegen\ - \ Ausf\xE4lle in geeigneter Weise gesch\xFCtzt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 - ref_id: SYS.1.1.A28.2 - description: "Hierzu SOLLTEN mindestens geeignete Redundanzen verf\xFCgbar sein\ - \ sowie Wartungsvertr\xE4ge mit den Lieferanten abgeschlossen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 - ref_id: SYS.1.1.A28.3 - description: "Es SOLLTE gepr\xFCft werden, ob bei sehr hohen Anforderungen Hochverf\xFC\ - gbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls \xFCber\ - \ verschiedene Standorte hinweg, erforderlich sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A30 - name: Ein Dienst pro Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30 - ref_id: SYS.1.1.A30.1 - description: "Abh\xE4ngig von der Bedrohungslage und dem Schutzbedarf der Dienste\ - \ SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A31 - name: "Einsatz von Ausf\xFChrungskontrolle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 - ref_id: SYS.1.1.A31.1 - description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ - \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 - ref_id: SYS.1.1.A31.2 - description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 - ref_id: SYS.1.1.A31.3 - description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ - \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A33 - name: Aktive Verwaltung der Wurzelzertifikate - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 - ref_id: SYS.1.1.A33.1 - description: "Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert\ - \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Servers notwendig\ - \ sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 - ref_id: SYS.1.1.A33.2 - description: "Auf dem Server SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ - \ und vorab dokumentierten Wurzelzertifikate enthalten sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 - ref_id: SYS.1.1.A33.3 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ - \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 - ref_id: SYS.1.1.A33.4 - description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ - \ in die Pr\xFCfung einbezogen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A34 - name: "Festplattenverschl\xFCsselung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - ref_id: SYS.1.1.A34.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTEN die Datentr\xE4ger des Servers\ - \ mit einem als sicher geltenden Produkt oder Verfahren verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - ref_id: SYS.1.1.A34.2 - description: "Dies SOLLTE auch f\xFCr virtuelle Maschinen mit produktiven Daten\ - \ gelten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - ref_id: SYS.1.1.A34.3 - description: "Es SOLLTE nicht nur ein TPM allein als Schl\xFCsselschutz dienen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - ref_id: SYS.1.1.A34.4 - description: Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren - Ort gespeichert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 - ref_id: SYS.1.1.A34.5 - description: Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE - eine Full Volume oder Full Disk Encryption erfolgen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A35 - name: Erstellung und Pflege eines Betriebshandbuchs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.1 - description: Es SOLLTE ein Betriebshandbuch erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.2 - description: Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und - Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.3 - description: "F\xFCr jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch\ - \ geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.4 - description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.5 - description: "Das Betriebshandbuch SOLLTE vor unberechtigtem Zugriff gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 - ref_id: SYS.1.1.A35.6 - description: "Das Betriebshandbuch SOLLTE in Notf\xE4llen zur Verf\xFCgung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A36 - name: Absicherung des Bootvorgangs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 - ref_id: SYS.1.1.A36.1 - description: "Bootloader und Betriebssystem-Kern SOLLTEN durch selbstkontrolliertes\ - \ Schl\xFCsselmaterial signiert beim Systemstart in einer vertrauensw\xFC\ - rdigen Kette gepr\xFCft werden (Secure Boot)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 - ref_id: SYS.1.1.A36.2 - description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A37 - name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 - ref_id: SYS.1.1.A37.1 - description: "Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder\ - \ andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem\ - \ auf besonders sch\xFCtzenswerte Dateien zu verhindern, SOLLTEN Anwendungen\ - \ und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikats\xFC\ - berpr\xFCfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen\ - \ Anwendungen und Betriebssystemkomponenten gegen\xFCber isoliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 - ref_id: SYS.1.1.A37.2 - description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ - cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ - \ und B\xFCrokommunikations-Anwendungen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A38 - name: "H\xE4rtung des Host-Systems mittels Read-Only-Dateisystem" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38 - ref_id: SYS.1.1.A38.1 - description: "Die Integrit\xE4t des Host-Systems SOLLTE durch ein Read-Only-Dateisystem\ - \ sichergestellt werden (Immutable OS)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 - ref_id: SYS.1.1.A39 - name: Zentrale Verwaltung der Sicherheitsrichtlinien von Servern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 - ref_id: SYS.1.1.A39.1 - description: Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen - Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend - dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend - konfiguriert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 - ref_id: SYS.1.1.A39.2 - description: "Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert,\ - \ begr\xFCndet und mit dem Sicherheitsmanagement abgestimmt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.2.2 - name: Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A1 - name: Planung von Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.1 - description: "Der Einsatz von Windows Server 2012 MUSS vor der Installation\ - \ sorgf\xE4ltig geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.2 - description: "Die Anforderungen an die Hardware M\xDCSSEN vor der Beschaffung\ - \ gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.3 - description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ - r eine geeignete Edition des Windows Server 2012 getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.4 - description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ - \ M\xDCSSEN dabei spezifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.5 - description: "Die Nutzung von ins Betriebssystem integrierten Cloud-Diensten\ - \ MUSS grunds\xE4tzlich abgewogen und geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 - ref_id: SYS.1.2.2.A1.6 - description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ - \ auf dem Server blockiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A2 - name: Sichere Installation von Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 - ref_id: SYS.1.2.2.A2.1 - description: "Es D\xDCRFEN KEINE anderen als die ben\xF6tigten Serverrollen\ - \ und Features bzw. Funktionen installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 - ref_id: SYS.1.2.2.A2.2 - description: Wenn es vom Funktionsumfang her ausreichend ist, MUSS die Server-Core-Variante - installiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 - ref_id: SYS.1.2.2.A2.3 - description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ - \ nicht gen\xFCgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 - ref_id: SYS.1.2.2.A2.4 - description: "Der Server MUSS bereits w\xE4hrend der Installation auf einen\ - \ aktuellen Patch-Stand gebracht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A3 - name: Sichere Administration von Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 - ref_id: SYS.1.2.2.A3.1 - description: "Alle Administrierenden, die f\xFCr das Server-System zust\xE4\ - ndig sind, M\xDCSSEN in den sicherheitsrelevanten Aspekten der Administration\ - \ von Windows Server 2012 geschult sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 - ref_id: SYS.1.2.2.A3.2 - description: "Webbrowser auf dem Server D\xDCRFEN NICHT zum Surfen im Web verwendet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A4 - name: Sichere Konfiguration von Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 - ref_id: SYS.1.2.2.A4.1 - description: "Mehrere wesentliche Funktionen bzw. Rollen SOLLTEN NICHT durch\ - \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 - ref_id: SYS.1.2.2.A4.2 - description: "Vor Inbetriebnahme SOLLTE das System grundlegend geh\xE4rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 - ref_id: SYS.1.2.2.A4.3 - description: "Daf\xFCr SOLLTEN funktionsspezifische und institutionsweite Sicherheitsvorlagen\ - \ erstellt und gepflegt werden, die auf die Server ausgerollt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 - ref_id: SYS.1.2.2.A4.4 - description: Der Internet Explorer SOLLTE auf dem Server nur in der Enhanced - Security Configuration und im Enhanced Protected Mode genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A5 - name: Schutz vor Schadsoftware auf Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 - ref_id: SYS.1.2.2.A5.1 - description: "Au\xDFer bei IT-Systemen mit Windows Server 2012, die als Stand-alone-Ger\xE4\ - t ohne Netzanschluss und Wechselmedien betrieben werden, SOLLTE vor dem ersten\ - \ Verbinden mit dem Netz oder Wechselmedien ein Virenschutzprogramm installiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 - ref_id: SYS.1.2.2.A5.2 - description: "Im Konzept zum Schutz vor Schadsoftware SOLLTE vorgesehen werden,\ - \ dass regelm\xE4\xDFig alle Festplatten vollst\xE4ndig gescannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 - ref_id: SYS.1.2.2.A5.3 - description: "Es SOLLTEN Alarme f\xFCr Virenfunde konfiguriert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A6 - name: Sichere Authentisierung und Autorisierung in Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - ref_id: SYS.1.2.2.A6.1 - description: "In Windows Server 2012 R2 SOLLTEN alle Konten von Benutzenden\ - \ Mitglied der Sicherheitsgruppe \u201EGesch\xFCtzte Nutzer\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - ref_id: SYS.1.2.2.A6.2 - description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ - \ \u201EGesch\xFCtzte Nutzer\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - ref_id: SYS.1.2.2.A6.3 - description: "Dienste-Konten in Windows Server 2012 SOLLTEN Mitglied der Gruppe\ - \ \u201EManaged Service Account\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - ref_id: SYS.1.2.2.A6.4 - description: Der PPL-Schutz des Local Credential Store LSA SOLLTE aktiviert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 - ref_id: SYS.1.2.2.A6.5 - description: Der Einsatz dynamischer Zugriffsregeln auf Ressourcen SOLLTE bevorzugt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A8 - name: "Schutz der Systemintegrit\xE4t" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8 - ref_id: SYS.1.2.2.A8.1 - description: "AppLocker SOLLTE aktiviert und m\xF6glichst strikt konfiguriert\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A11 - name: Angriffserkennung bei Windows Server 2012 - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 - ref_id: SYS.1.2.2.A11.1 - description: Sicherheitsrelevante Ereignisse in Windows Server 2012 SOLLTEN - an einem zentralen Punkt gesammelt und ausgewertet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 - ref_id: SYS.1.2.2.A11.2 - description: "Verschl\xFCsselte Partitionen SOLLTEN nach einer definierten Anzahl\ - \ von Entschl\xFCsselungsversuchen gesperrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A12 - name: "Redundanz und Hochverf\xFCgbarkeit bei Windows Server 2012" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 - ref_id: SYS.1.2.2.A12.1 - description: "Es SOLLTE gepr\xFCft werden, welche Verf\xFCgbarkeitsanforderungen\ - \ durch Betriebssystemfunktionen wie Distributed File System (DFS), ReFS,\ - \ Failover Cluster und Network Load Balancing bzw. NIC-Teaming (LBFO) erf\xFC\ - llt oder unterst\xFCtzt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 - ref_id: SYS.1.2.2.A12.2 - description: "F\xFCr Au\xDFenstellen SOLLTE BranchCache aktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 - ref_id: SYS.1.2.2.A14 - name: "Herunterfahren verschl\xFCsselter Server und virtueller Maschinen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 - ref_id: SYS.1.2.2.A14.1 - description: "Um verschl\xFCsselte Daten zu sch\xFCtzen, SOLLTEN nicht ben\xF6\ - tigte Server (inklusive virtuelle Maschinen) immer heruntergefahren werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 - ref_id: SYS.1.2.2.A14.2 - description: "Dies SOLLTE m\xF6glichst automatisiert erfolgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 - ref_id: SYS.1.2.2.A14.3 - description: "Die Entschl\xFCsselung der Daten SOLLTE einen interaktiven Schritt\ - \ erfordern oder zumindest im Sicherheitsprotokoll festgehalten werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.2.3 - name: 'Windows Server ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A1 - name: Planung von Windows Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 - ref_id: SYS.1.2.3.A1.1 - description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ - r eine geeignete Edition von Windows Server getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 - ref_id: SYS.1.2.3.A1.2 - description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ - \ M\xDCSSEN dabei spezifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 - ref_id: SYS.1.2.3.A1.3 - description: "Die Nutzung von mitgelieferten Cloud-Diensten im Betriebssystem\ - \ MUSS grunds\xE4tzlich abgewogen und gr\xFCndlich geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 - ref_id: SYS.1.2.3.A1.4 - description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ - \ auf dem Server blockiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A2 - name: Sichere Installation von Windows Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 - ref_id: SYS.1.2.3.A2.1 - description: Wenn vom Funktionsumfang her ausreichend, MUSS die Server-Core-Variante - installiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 - ref_id: SYS.1.2.3.A2.2 - description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ - \ nicht gen\xFCgt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A3 - name: Telemetrie- und Nutzungsdaten unter Windows Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 - ref_id: SYS.1.2.3.A3.1 - description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ - \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) auf dem Windows\ - \ Server konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 - ref_id: SYS.1.2.3.A3.2 - description: "Wenn diese Einstellung nicht wirksam umgesetzt wird, dann MUSS\ - \ durch geeignete Ma\xDFnahmen, etwa auf Netzebene, sichergestellt werden,\ - \ dass die Daten nicht an den Hersteller \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A4 - name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4 - ref_id: SYS.1.2.3.A4.1 - description: "Ma\xDFnahmen zum Schutz vor Exploits SOLLTEN f\xFCr alle Programme\ - \ und Dienste aktiviert werden, die den Exploit-Schutz von Windows (vgl. Verweis\ - \ in Kapitel 4.1 Wissenswertes) unterst\xFCtzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A5 - name: Sichere Authentisierung und Autorisierung in Windows Server - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 - ref_id: SYS.1.2.3.A5.1 - description: "In Windows Server SOLLTEN alle Konten von Benutzenden Mitglied\ - \ der Sicherheitsgruppe \u201EProtected Users\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 - ref_id: SYS.1.2.3.A5.2 - description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ - \ \u201EProtected Users\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 - ref_id: SYS.1.2.3.A5.3 - description: "Dienste-Konten in Windows Server SOLLTEN Mitglied der Gruppe \u201E\ - Managed Service Account\u201C sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A6 - name: "Sicherheit beim Fernzugriff \xFCber RDP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.1 - description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ - \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.2 - description: "Die Gruppe der Berechtigten und IT-Systeme f\xFCr den Remote-Desktopzugriff\ - \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.3 - description: "Es SOLLTEN Mechanismen des Betriebssystems ber\xFCcksichtigt werden,\ - \ um die \xFCbertragenen Anmeldeinformationen zu sch\xFCtzen (z. B. Remote\ - \ Credential Guard oder RestrictedAdmin)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.4 - description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ - \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.5 - description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ - \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ - \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.6 - description: "\u2022 die Verwendung der Zwischenablage," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.7 - description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.8 - description: "\u2022 die Nutzung der Dateiablagen, von weiteren Ger\xE4ten und\ - \ Ressourcen, wie z. B. Smartcard-Leseger\xE4ten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.9 - description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN - den internen Vorgaben der Institution entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 - ref_id: SYS.1.2.3.A6.10 - description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ - \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A7 - name: Verwendung der Windows PowerShell - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.1 - description: "Die PowerShell-Ausf\xFChrung SOLLTE zentral protokolliert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.2 - description: "Die erzeugten Protokolle SOLLTEN geeignet \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.3 - description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ - \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ - \ dass unsignierte Skripte (versehentlich) ausgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.4 - description: "\xC4ltere Windows PowerShell-Versionen SOLLTEN deaktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.5 - description: "Der Einsatz des PowerShell Constrained Language Mode SOLLTE gepr\xFC\ - ft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 - ref_id: SYS.1.2.3.A7.6 - description: "Zur Einschr\xE4nkung der Windows PowerShell SOLLTE bei Windows\ - \ Server mithilfe von Just Enough Administration (JEA) eine rollenbasierte\ - \ Administration implementiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 - ref_id: SYS.1.2.3.A8 - name: Nutzung des Virtual Secure Mode (VSM) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8 - ref_id: SYS.1.2.3.A8.1 - description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ - \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ - \ eingeschr\xE4nkt oder erschwert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.3 - name: Server unter Linux und Unix - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A2 - name: "Sorgf\xE4ltige Vergabe von IDs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - ref_id: SYS.1.3.A2.1 - description: Jeder Login-Name, jede User-ID (UID) und jede Gruppen-ID (GID) - DARF NUR einmal vorkommen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - ref_id: SYS.1.3.A2.2 - description: Jedes Konto von Benutzenden MUSS Mitglied mindestens einer Gruppe - sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - ref_id: SYS.1.3.A2.3 - description: Jede in der Datei /etc/passwd vorkommende GID MUSS in der Datei - /etc/group definiert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - ref_id: SYS.1.3.A2.4 - description: Jede Gruppe SOLLTE nur die Konten enthalten, die unbedingt notwendig - sind. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 - ref_id: SYS.1.3.A2.5 - description: "Bei vernetzten Systemen MUSS au\xDFerdem darauf geachtet werden,\ - \ dass die Vergabe von Benutzenden- und Gruppennamen, UID und GID im Systemverbund\ - \ konsistent erfolgt, wenn beim system\xFCbergreifenden Zugriff die M\xF6\ - glichkeit besteht, dass gleiche UIDs bzw. GIDs auf den Systemen unterschiedlichen\ - \ Benutzenden- bzw. Gruppennamen zugeordnet werden k\xF6nnten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A3 - name: Kein automatisches Einbinden von Wechsellaufwerken - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3 - ref_id: SYS.1.3.A3.1 - description: "Wechseldatentr\xE4ger wie z. B. USB-Sticks oder CDs/DVDs D\xDC\ - RFEN NICHT automatisch eingebunden werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A4 - name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 - ref_id: SYS.1.3.A4.1 - description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, - MUSS ASLR und DEP/NX im Kernel aktiviert und von den Anwendungen genutzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 - ref_id: SYS.1.3.A4.2 - description: "Sicherheitsfunktionen des Kernels und der Standardbibliotheken,\ - \ wie z. B. Heap- und Stackschutz, D\xDCRFEN NICHT deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A5 - name: Sichere Installation von Software-Paketen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - ref_id: SYS.1.3.A5.1 - description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ - \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ - \ und \xFCbersetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - ref_id: SYS.1.3.A5.2 - description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ - \ in das Wurzeldateisystem des Betriebssystems installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - ref_id: SYS.1.3.A5.3 - description: "Wird die Software aus dem Quelltext \xFCbersetzt, SOLLTEN die\ - \ gew\xE4hlten Parameter geeignet dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - ref_id: SYS.1.3.A5.4 - description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ - \ und reproduzierbar kompiliert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 - ref_id: SYS.1.3.A5.5 - description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A6 - name: Verwaltung von Benutzenden und Gruppen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 - ref_id: SYS.1.3.A6.1 - description: Zur Verwaltung von Benutzenden und Gruppen SOLLTEN die entsprechenden - Verwaltungswerkzeuge genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 - ref_id: SYS.1.3.A6.2 - description: Von einer direkten Bearbeitung der Konfigurationsdateien /etc/passwd, - /etc/shadow, /etc/group und /etc/sudoers SOLLTE abgesehen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A8 - name: "Verschl\xFCsselter Zugriff \xFCber Secure Shell" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 - ref_id: SYS.1.3.A8.1 - description: "Um eine verschl\xFCsselte und authentisierte, interaktive Verbindung\ - \ zwischen zwei IT-Systemen aufzubauen, SOLLTE ausschlie\xDFlich Secure Shell\ - \ (SSH) verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 - ref_id: SYS.1.3.A8.2 - description: "Alle anderen Protokolle, deren Funktionalit\xE4t durch Secure\ - \ Shell abgedeckt wird, SOLLTEN vollst\xE4ndig abgeschaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 - ref_id: SYS.1.3.A8.3 - description: "F\xFCr die Authentifizierung SOLLTEN vorrangig Zertifikate anstatt\ - \ eines Passworts verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A10 - name: Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 - ref_id: SYS.1.3.A10.1 - description: "Dienste und Anwendungen SOLLTEN mit einer individuellen Sicherheitsarchitektur\ - \ gesch\xFCtzt werden (z. B. mit AppArmor oder SELinux)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 - ref_id: SYS.1.3.A10.2 - description: "Auch chroot-Umgebungen sowie LXC- oder Docker-Container SOLLTEN\ - \ dabei ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 - ref_id: SYS.1.3.A10.3 - description: Es SOLLTE sichergestellt sein, dass mitgelieferte Standardprofile - bzw. -regeln aktiviert sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A14 - name: "Verhinderung des Aussp\xE4hens von Informationen \xFCber das System und\ - \ \xFCber Benutzende" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 - ref_id: SYS.1.3.A14.1 - description: "Die Ausgabe von Informationen \xFCber das Betriebssystem und der\ - \ Zugriff auf Protokoll- und Konfigurationsdateien SOLLTE f\xFCr Benutzende\ - \ auf das notwendige Ma\xDF beschr\xE4nkt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 - ref_id: SYS.1.3.A14.2 - description: "Au\xDFerdem SOLLTEN bei Befehlsaufrufen keine vertraulichen Informationen\ - \ als Parameter \xFCbergeben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A16 - name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 - ref_id: SYS.1.3.A16.1 - description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ - \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 - ref_id: SYS.1.3.A16.2 - description: "Die Standardprofile bzw. -regeln von z. B. SELinux, AppArmor SOLLTEN\ - \ manuell \xFCberpr\xFCft und unter Umst\xE4nden an die eigenen Sicherheitsrichtlinien\ - \ angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 - ref_id: SYS.1.3.A16.3 - description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 - ref_id: SYS.1.3.A17 - name: "Zus\xE4tzlicher Schutz des Kernels" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17 - ref_id: SYS.1.3.A17.1 - description: "Es SOLLTEN speziell geh\xE4rtete Kernels (z. B. grsecurity, PaX)\ - \ und geeignete Schutzma\xDFnahmen wie Speicherschutz oder Dateisystemabsicherung\ - \ umgesetzt werden, die eine Ausnutzung von Schwachstellen und die Ausbreitung\ - \ im Betriebssystem verhindern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.5 - name: Virtualisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A2 - name: Sicherer Einsatz virtueller IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.1 - description: Jede Person, die virtuelle IT-Systeme administriert, MUSS wissen, - wie sich eine Virtualisierung auf die betriebenen IT-Systeme und Anwendungen - auswirkt. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.2 - description: "Die Zugriffsrechte f\xFCr Administrierende auf virtuelle IT-Systeme\ - \ M\xDCSSEN auf das tats\xE4chlich notwendige Ma\xDF reduziert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.3 - description: "Es MUSS gew\xE4hrleistet sein, dass die f\xFCr die virtuellen\ - \ IT-Systeme notwendigen Netzverbindungen in der virtuellen Infrastruktur\ - \ verf\xFCgbar sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.4 - description: "Auch MUSS gepr\xFCft werden, ob die Anforderungen an die Isolation\ - \ und Kapselung der virtuellen IT-Systeme sowie der darauf betriebenen Anwendungen\ - \ hinreichend erf\xFCllt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.5 - description: "Weiterhin M\xDCSSEN die eingesetzten virtuellen IT-Systeme den\ - \ Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 - ref_id: SYS.1.5.A2.6 - description: "Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme\ - \ \xFCberwacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A3 - name: Sichere Konfiguration virtueller IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - ref_id: SYS.1.5.A3.1 - description: "Gast-Systeme D\xDCRFEN NICHT auf Ger\xE4te und Schnittstellen\ - \ des Virtualisierungsservers zugreifen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - ref_id: SYS.1.5.A3.2 - description: Ist eine solche Verbindung jedoch notwendig, MUSS diese exklusiv - zugeteilt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - ref_id: SYS.1.5.A3.3 - description: "Sie DARF NUR f\xFCr die notwendige Dauer von den Administrierenden\ - \ des Host-Systems hergestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - ref_id: SYS.1.5.A3.4 - description: "Daf\xFCr M\xDCSSEN verbindliche Regelungen festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 - ref_id: SYS.1.5.A3.5 - description: "Virtuelle IT-Systeme SOLLTEN nach den Sicherheitsrichtlinien der\ - \ Institution konfiguriert und gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A4 - name: "Sichere Konfiguration eines Netzes f\xFCr virtuelle Infrastrukturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 - ref_id: SYS.1.5.A4.1 - description: "Es MUSS sichergestellt werden, dass bestehende Sicherheitsmechanismen\ - \ (z. B. Firewalls) und Monitoring-Systeme nicht \xFCber virtuelle Netze umgangen\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 - ref_id: SYS.1.5.A4.2 - description: "Auch MUSS ausgeschlossen sein, dass \xFCber virtuelle IT-Systeme,\ - \ die mit mehreren Netzen verbunden sind, unerw\xFCnschte Netzverbindungen\ - \ aufgebaut werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 - ref_id: SYS.1.5.A4.3 - description: "Netzverbindungen zwischen virtuellen IT-Systemen und physischen\ - \ IT-Systemen sowie f\xFCr virtuelle Firewalls SOLLTEN gem\xE4\xDF den Sicherheitsrichtlinien\ - \ der Institution konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A5 - name: Schutz der Administrationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 - ref_id: SYS.1.5.A5.1 - description: "Alle Administrations- und Management-Zug\xE4nge zum Managementsystem\ - \ und zu den Host-Systemen M\xDCSSEN eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 - ref_id: SYS.1.5.A5.2 - description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ - \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 - ref_id: SYS.1.5.A5.3 - description: "Um die Virtualisierungsserver oder die Managementsysteme zu administrieren\ - \ bzw. zu \xFCberwachen, SOLLTEN als sicher geltende Protokolle eingesetzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 - ref_id: SYS.1.5.A5.4 - description: "Sollte dennoch auf unsichere Protokolle zur\xFCckgegriffen werden,\ - \ MUSS f\xFCr die Administration ein eigenes Administrationsnetz genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A6 - name: Protokollierung in der virtuellen Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 - ref_id: SYS.1.5.A6.1 - description: "Betriebszustand, Auslastung und Netzanbindungen der virtuellen\ - \ Infrastruktur M\xDCSSEN laufend protokolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 - ref_id: SYS.1.5.A6.2 - description: "Werden Kapazit\xE4tsgrenzen erreicht, SOLLTEN virtuelle Maschinen\ - \ verschoben werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 - ref_id: SYS.1.5.A6.3 - description: Zudem SOLLTE eventuell die Hardware erweitert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 - ref_id: SYS.1.5.A6.4 - description: "Auch MUSS \xFCberwacht werden, ob die virtuellen Netze den jeweiligen\ - \ virtuellen IT-Systemen korrekt zugeordnet sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A7 - name: Zeitsynchronisation in virtuellen IT-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7 - ref_id: SYS.1.5.A7.1 - description: Die Systemzeit aller produktiv eingesetzten virtuellen IT-Systeme - MUSS immer synchron sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A8 - name: Planung einer virtuellen Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - ref_id: SYS.1.5.A8.1 - description: Der Aufbau der virtuellen Infrastruktur SOLLTE detailliert geplant - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - ref_id: SYS.1.5.A8.2 - description: "Dabei SOLLTEN die geltenden Regelungen und Richtlinien f\xFCr\ - \ den Betrieb von IT-Systemen, Anwendungen und Netzen (inklusive Speichernetzen)\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - ref_id: SYS.1.5.A8.3 - description: Wenn mehrere virtuelle IT-Systeme auf einem Virtualisierungsserver - betrieben werden, SOLLTEN KEINE Konflikte hinsichtlich des Schutzbedarfs der - IT-Systeme auftreten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - ref_id: SYS.1.5.A8.4 - description: "Weiterhin SOLLTEN die Aufgaben der einzelnen Gruppen, die f\xFC\ - r die Administration zust\xE4ndig sind, festgelegt und klar voneinander abgegrenzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 - ref_id: SYS.1.5.A8.5 - description: "Es SOLLTE auch geregelt werden, wer f\xFCr den Betrieb welcher\ - \ Komponente verantwortlich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A9 - name: "Netzplanung f\xFCr virtuelle Infrastrukturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.1 - description: "Der Aufbau des Netzes f\xFCr virtuelle Infrastrukturen SOLLTE\ - \ detailliert geplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.2 - description: "Auch SOLLTE gepr\xFCft werden, ob f\xFCr bestimmte Virtualisierungsfunktionen\ - \ (wie z. B. die Live-Migration) ein eigenes Netz aufgebaut und genutzt werden\ - \ muss." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.3 - description: "Es SOLLTE geplant werden, welche Netzsegmente aufgebaut werden\ - \ m\xFCssen (z. B. Managementnetz, Speichernetz)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.4 - description: "Es SOLLTE festgelegt werden, wie die Netzsegmente sich sicher\ - \ voneinander trennen und sch\xFCtzen lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.5 - description: "Dabei SOLLTE sichergestellt werden, dass das produktive Netz vom\ - \ Managementnetz getrennt ist (siehe SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur\ - \ \xFCber ein gesondertes Managementnetz)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 - ref_id: SYS.1.5.A9.6 - description: "Auch die Verf\xFCgbarkeitsanforderungen an das Netz SOLLTEN erf\xFC\ - llt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A10 - name: "Einf\xFChrung von Verwaltungsprozessen f\xFCr virtuelle IT-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 - ref_id: SYS.1.5.A10.1 - description: "F\xFCr Virtualisierungsserver und virtuelle IT-Systeme SOLLTEN\ - \ Prozesse f\xFCr die Inbetriebnahme, die Inventarisierung, den Betrieb und\ - \ die Au\xDFerbetriebnahme definiert und etabliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 - ref_id: SYS.1.5.A10.2 - description: "Die Prozesse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 - ref_id: SYS.1.5.A10.3 - description: "Wenn der Einsatz von virtuellen IT-Systemen geplant wird, SOLLTE\ - \ festgelegt werden, welche Virtualisierungsfunktionen die virtuellen IT-Systeme\ - \ benutzen d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 - ref_id: SYS.1.5.A10.4 - description: Test- und Entwicklungsumgebungen SOLLTEN NICHT auf demselben Virtualisierungsserver - betrieben werden wie produktive virtuelle IT-Systeme. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A11 - name: "Administration der Virtualisierungsinfrastruktur \xFCber ein gesondertes\ - \ Managementnetz" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 - ref_id: SYS.1.5.A11.1 - description: "Die Virtualisierungsinfrastruktur SOLLTE ausschlie\xDFlich \xFC\ - ber ein separates Managementnetz administriert werden (siehe NET.1.1 Netzarchitektur\ - \ und -design)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 - ref_id: SYS.1.5.A11.2 - description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ - \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ - \ aktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 - ref_id: SYS.1.5.A11.3 - description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden - (siehe NET.1.2 Netzmanagement). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A12 - name: "Rechte- und Rollenkonzept f\xFCr die Administration einer virtuellen\ - \ Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.1 - description: "Anhand der in der Planung definierten Aufgaben und Rollen (siehe\ - \ SYS.1.5.A8 Planung einer virtuellen Infrastruktur) SOLLTE f\xFCr die Administration\ - \ der virtuellen IT-Systeme und Netze sowie der Virtualisierungsserver und\ - \ der Managementumgebung ein Rechte- und Rollenkonzept erstellt und umgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.2 - description: "Alle Komponenten der virtuellen Infrastruktur SOLLTEN in ein zentrales\ - \ Identit\xE4ts- und Berechtigungsmanagement eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.3 - description: Administrierende von virtuellen Maschinen und Administrierende - der Virtualisierungsumgebung SOLLTEN unterschieden werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.4 - description: Sie SOLLTEN mit unterschiedlichen Zugriffsrechten ausgestattet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.5 - description: "Weiterhin SOLLTE die Managementumgebung virtuelle Maschinen zur\ - \ geeigneten Strukturierung gruppieren k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 - ref_id: SYS.1.5.A12.6 - description: Die Rollen der Administrierenden SOLLTEN entsprechend zugeteilt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A13 - name: "Auswahl geeigneter Hardware f\xFCr Virtualisierungsumgebungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 - ref_id: SYS.1.5.A13.1 - description: "Die verwendete Hardware SOLLTE kompatibel mit der eingesetzten\ - \ Virtualisierungsl\xF6sung sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 - ref_id: SYS.1.5.A13.2 - description: "Dabei SOLLTE darauf geachtet werden, dass das herstellende Unternehmen\ - \ der Virtualisierungsl\xF6sung \xFCber den geplanten Einsatzzeitraum auch\ - \ Support f\xFCr die betriebene Hardware anbietet." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A14 - name: "Einheitliche Konfigurationsstandards f\xFCr virtuelle IT-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 - ref_id: SYS.1.5.A14.1 - description: "F\xFCr die eingesetzten virtuellen IT-Systeme SOLLTEN einheitliche\ - \ Konfigurationsstandards definiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 - ref_id: SYS.1.5.A14.2 - description: Die virtuellen IT-Systeme SOLLTEN nach diesen Standards konfiguriert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 - ref_id: SYS.1.5.A14.3 - description: "Die Konfigurationsstandards SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 - ref_id: SYS.1.5.A14.4 - description: Sie SOLLTEN, falls erforderlich, angepasst werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A15 - name: Betrieb von Gast-Betriebssystemen mit unterschiedlichem Schutzbedarf - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 - ref_id: SYS.1.5.A15.1 - description: Falls virtuelle IT-Systeme mit unterschiedlichem Schutzbedarf gemeinsam - auf einem Virtualisierungsserver betrieben werden, SOLLTE dabei sichergestellt - sein, dass die virtuellen IT-Systeme ausreichend gekapselt und voneinander - isoliert sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 - ref_id: SYS.1.5.A15.2 - description: "Auch SOLLTE dann die Netztrennung in der eingesetzten Virtualisierungsl\xF6\ - sung ausreichend sicher sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 - ref_id: SYS.1.5.A15.3 - description: "Ist das nicht der Fall, SOLLTEN weitergehende Sicherheitsma\xDF\ - nahmen identifiziert und umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A16 - name: Kapselung der virtuellen Maschinen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16 - ref_id: SYS.1.5.A16.1 - description: "Die Funktionen \u201EKopieren\u201C und \u201EEinf\xFCgen\u201C\ - \ von Informationen zwischen virtuellen Maschinen SOLLTEN deaktiviert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A17 - name: "\xDCberwachung des Betriebszustands und der Konfiguration der virtuellen\ - \ Infrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - ref_id: SYS.1.5.A17.1 - description: "Der Betriebszustand der virtuellen Infrastruktur SOLLTE \xFCberwacht\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - ref_id: SYS.1.5.A17.2 - description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob noch ausreichend\ - \ Ressourcen verf\xFCgbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - ref_id: SYS.1.5.A17.3 - description: "Es SOLLTE auch gepr\xFCft werden, ob es eventuell Konflikte bei\ - \ gemeinsam genutzten Ressourcen eines Virtualisierungsservers gibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - ref_id: SYS.1.5.A17.4 - description: "Weiterhin SOLLTEN die Konfigurationsdateien der virtuellen IT-Systeme\ - \ regelm\xE4\xDFig auf unautorisierte \xC4nderungen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 - ref_id: SYS.1.5.A17.5 - description: "Wird die Konfiguration der Virtualisierungsinfrastruktur ge\xE4\ - ndert, SOLLTEN die \xC4nderungen gepr\xFCft und getestet werden, bevor sie\ - \ umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A19 - name: "Regelm\xE4\xDFige Audits der Virtualisierungsinfrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 - ref_id: SYS.1.5.A19.1 - description: "Es SOLLTE regelm\xE4\xDFig auditiert werden, ob der Ist-Zustand\ - \ der virtuellen Infrastruktur dem in der Planung festgelegten Zustand entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 - ref_id: SYS.1.5.A19.2 - description: "Auch SOLLTE regelm\xE4\xDFig auditiert werden, ob die Konfiguration\ - \ der virtuellen Komponenten die vorgegebene Standardkonfiguration einh\xE4\ - lt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 - ref_id: SYS.1.5.A19.3 - description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 - ref_id: SYS.1.5.A19.4 - description: Abweichungen SOLLTEN behoben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A20 - name: "Verwendung von hochverf\xFCgbaren Architekturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 - ref_id: SYS.1.5.A20.1 - description: "Die virtuelle Infrastruktur SOLLTE hochverf\xFCgbar ausgelegt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 - ref_id: SYS.1.5.A20.2 - description: Alle Virtualisierungsserver SOLLTEN in Clustern zusammengeschlossen - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A21 - name: "Sichere Konfiguration virtueller IT-Systeme bei erh\xF6htem Schutzbedarf" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21 - ref_id: SYS.1.5.A21.1 - description: "F\xFCr virtuelle IT-Systeme SOLLTEN \xDCberbuchungsfunktionen\ - \ f\xFCr Ressourcen deaktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A22 - name: "H\xE4rtung des Virtualisierungsservers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 - ref_id: SYS.1.5.A22.1 - description: "Der Virtualisierungsserver SOLLTE geh\xE4rtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 - ref_id: SYS.1.5.A22.2 - description: "Um virtuelle IT-Systeme voreinander und gegen\xFCber dem Virtualisierungsserver\ - \ zus\xE4tzlich zu isolieren und zu kapseln, SOLLTEN Mandatory Access Controls\ - \ (MACs) eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 - ref_id: SYS.1.5.A22.3 - description: "Ebenso SOLLTE das IT-System, auf dem die Management-Software installiert\ - \ ist, geh\xE4rtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A23 - name: "Rechte-Einschr\xE4nkung der virtuellen Maschinen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 - ref_id: SYS.1.5.A23.1 - description: "Alle Schnittstellen und Kommunikationskan\xE4le, die es einem\ - \ virtuellen IT-System erlauben, Informationen \xFCber das Host-System auszulesen\ - \ und abzufragen, SOLLTEN deaktiviert sein oder unterbunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 - ref_id: SYS.1.5.A23.2 - description: "Weiterhin SOLLTE ausschlie\xDFlich der Virtualisierungsserver\ - \ auf seine Ressourcen zugreifen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 - ref_id: SYS.1.5.A23.3 - description: Virtuelle IT-Systeme SOLLTEN NICHT die sogenannten Pages des Arbeitsspeichers - teilen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A24 - name: Deaktivierung von Snapshots virtueller IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24 - ref_id: SYS.1.5.A24.1 - description: "F\xFCr alle virtuellen IT-Systeme SOLLTE die Snapshot-Funktion\ - \ deaktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A25 - name: Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 - ref_id: SYS.1.5.A25.1 - description: "Direkte Zugriffe auf die emulierten Konsolen virtueller IT-Systeme\ - \ SOLLTEN auf ein Mindestma\xDF reduziert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 - ref_id: SYS.1.5.A25.2 - description: "Die virtuellen IT-Systeme SOLLTEN m\xF6glichst \xFCber das Netz\ - \ gesteuert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A26 - name: Einsatz einer PKI - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26 - ref_id: SYS.1.5.A26.1 - description: "F\xFCr die mit Zertifikaten gesch\xFCtzte Kommunikation zwischen\ - \ den Komponenten der IT-Infrastruktur SOLLTE eine Public-Key-Infrastruktur\ - \ (PKI) eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A27 - name: Einsatz zertifizierter Virtualisierungssoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27 - ref_id: SYS.1.5.A27.1 - description: "Es SOLLTE zertifizierte Virtualisierungssoftware der Stufe EAL\ - \ 4 oder h\xF6her eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 - ref_id: SYS.1.5.A28 - name: "Verschl\xFCsselung von virtuellen IT-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28 - ref_id: SYS.1.5.A28.1 - description: "Alle virtuellen IT-Systeme SOLLTEN verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.6 - name: Containerisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A1 - name: Planung des Container-Einsatzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 - ref_id: SYS.1.6.A1.1 - description: "Bevor Container eingesetzt werden, MUSS zun\xE4chst das Ziel des\ - \ Container-Einsatzes (z. B. Skalierung, Verf\xFCgbarkeit, Wegwerf-Container\ - \ zur Sicherheit oder CI/CD) festgelegt werden, damit alle sicherheitsrelevanten\ - \ Aspekte der Installation, des Betriebs und der Au\xDFerbetriebnahme geplant\ - \ werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 - ref_id: SYS.1.6.A1.2 - description: "Bei der Planung SOLLTE auch der Betriebsaufwand ber\xFCcksichtigt\ - \ werden, der durch Container-Einsatz oder Mischbetrieb entsteht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 - ref_id: SYS.1.6.A1.3 - description: Die Planung MUSS angemessen dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A2 - name: Planung der Verwaltung von Containern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 - ref_id: SYS.1.6.A2.1 - description: Die Verwaltung der Container DARF NUR nach einer geeigneten Planung - erfolgen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 - ref_id: SYS.1.6.A2.2 - description: "Diese Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ - \ Au\xDFerbetriebnahme inklusive Betrieb und Updates umfassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 - ref_id: SYS.1.6.A2.3 - description: "Bei der Planung der Verwaltung MUSS ber\xFCcksichtigt werden,\ - \ dass Erstellende eines Containers aufgrund der Auswirkungen auf den Betrieb\ - \ in Teilen wie Administrierende zu betrachten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 - ref_id: SYS.1.6.A2.4 - description: "Start, Stopp und \xDCberwachung der Container MUSS \xFCber die\ - \ eingesetzte Verwaltungssoftware erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A3 - name: Sicherer Einsatz containerisierter IT-Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.1 - description: "Bei containerisierten IT-Systemen MUSS ber\xFCcksichtigt werden,\ - \ wie sich eine Containerisierung auf die betriebenen IT-Systeme und Anwendungen\ - \ auswirkt, dies betrifft insbesondere die Verwaltung und Eignung der Anwendungen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.2 - description: "Es MUSS anhand des Schutzbedarfs der Anwendungen gepr\xFCft werden,\ - \ ob die Anforderungen an die Isolation und Kapselung der containerisierten\ - \ IT-Systeme und der virtuellen Netze sowie der betriebenen Anwendungen hinreichend\ - \ erf\xFCllt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.3 - description: "In diese Pr\xFCfung SOLLTEN die betriebssystemeigenen Mechanismen\ - \ mit einbezogen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.4 - description: "F\xFCr die virtuellen Netze nimmt der Host die Funktion einer\ - \ Netzkomponente wahr, die Bausteine der Teilschichten NET.1 Netze und NET.3\ - \ Netzkomponenten M\xDCSSEN entsprechend ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.5 - description: "Logische und Overlay-Netze M\xDCSSEN ebenfalls betrachtet und\ - \ modelliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.6 - description: "Weiterhin M\xDCSSEN die eingesetzten containerisierten IT-Systeme\ - \ den Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFC\ - gen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 - ref_id: SYS.1.6.A3.7 - description: "Im laufenden Betrieb SOLLTEN die Performance und der Zustand der\ - \ containerisierten IT-Systeme \xFCberwacht werden (sogenannte Health Checks)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A4 - name: Planung der Bereitstellung und Verteilung von Images - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4 - ref_id: SYS.1.6.A4.1 - description: Der Prozess zur Bereitstellung und Verteilung von Images MUSS geplant - und angemessen dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A5 - name: Separierung der Administrations- und Zugangsnetze bei Containern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 - ref_id: SYS.1.6.A5.1 - description: "Die Netze f\xFCr die Administration des Hosts, die Administration\ - \ der Container und deren Zugangsnetze M\xDCSSEN dem Schutzbedarf angemessen\ - \ separiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 - ref_id: SYS.1.6.A5.2 - description: "Grunds\xE4tzlich SOLLTE mindestens die Administration des Hosts\ - \ nur aus dem Administrationsnetz m\xF6glich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 - ref_id: SYS.1.6.A5.3 - description: "Es SOLLTEN nur die f\xFCr den Betrieb notwendigen Kommunikationsbeziehungen\ - \ erlaubt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A6 - name: Verwendung sicherer Images - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.1 - description: "Es MUSS sichergestellt sein, dass s\xE4mtliche verwendeten Images\ - \ nur aus vertrauensw\xFCrdigen Quellen stammen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.2 - description: Es MUSS eindeutig identifizierbar sein, wer das Image erstellt - hat. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.3 - description: "Die Quelle MUSS danach ausgew\xE4hlt werden, dass die im Image\ - \ enthaltene Software regelm\xE4\xDFig auf Sicherheitsprobleme gepr\xFCft\ - \ wird und diese behoben sowie dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.4 - description: Die Quelle MUSS diesen Umgang mit Sicherheitsproblemen zusichern - und einhalten. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.5 - description: "Die verwendete Version von Basis-Images DARF NICHT abgek\xFCndigt\ - \ (\u201Edeprecated\") sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.6 - description: "Es M\xDCSSEN eindeutige Versionsnummern angegeben sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 - ref_id: SYS.1.6.A6.7 - description: "Wenn ein Image mit einer neueren Versionsnummer verf\xFCgbar ist,\ - \ MUSS im Rahmen des Patch- und \xC4nderungsmanagement gepr\xFCft werden,\ - \ ob und wie dieses ausgerollt werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A7 - name: Persistenz von Protokollierungsdaten der Container - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7 - ref_id: SYS.1.6.A7.1 - description: "Die Speicherung der Protokollierungsdaten der Container MUSS au\xDF\ - erhalb des Containers, mindestens auf dem Container-Host, erfolgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A8 - name: Sichere Speicherung von Zugangsdaten bei Containern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.1 - description: "Zugangsdaten M\xDCSSEN so gespeichert und verwaltet werden, dass\ - \ nur berechtigte Personen und Container darauf zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.2 - description: "Insbesondere MUSS sichergestellt sein, dass Zugangsdaten nur an\ - \ besonders gesch\xFCtzten Orten und nicht in den Images liegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.3 - description: "Die von der Verwaltungssoftware des Container-Dienstes bereitgestellten\ - \ Verwaltungsmechanismen f\xFCr Zugangsdaten SOLLTEN eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.4 - description: "Mindestens die folgenden Zugangsdaten M\xDCSSEN sicher gespeichert\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.5 - description: "\u2022 Passw\xF6rter jeglicher Accounts," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.6 - description: "\u2022 API-Keys f\xFCr von der Anwendung genutzte Dienste," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.7 - description: "\u2022 Schl\xFCssel f\xFCr symmetrische Verschl\xFCsselungen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 - ref_id: SYS.1.6.A8.8 - description: "\u2022 private Schl\xFCssel bei Public-Key-Authentisierung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A9 - name: "Eignung f\xFCr Container-Betrieb" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 - ref_id: SYS.1.6.A9.1 - description: "Die Anwendung oder der Dienst, die oder der im Container betrieben\ - \ werden soll, SOLLTE f\xFCr den Container-Betrieb geeignet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 - ref_id: SYS.1.6.A9.2 - description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass Container h\xE4ufiger\ - \ f\xFCr die darin ausgef\xFChrte Anwendung unvorhergesehen beendet werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 - ref_id: SYS.1.6.A9.3 - description: "Die Ergebnisse der Pr\xFCfung nach SYS.1.6.A3 Sicherer Einsatz\ - \ containerisierter IT-Systeme SOLLTE nachvollziehbar dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A10 - name: "Richtlinie f\xFCr Images und Container-Betrieb" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 - ref_id: SYS.1.6.A10.1 - description: Es SOLLTE eine Richtlinie erstellt und angewendet werden, die die - Anforderungen an den Betrieb der Container und die erlaubten Images festlegt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 - ref_id: SYS.1.6.A10.2 - description: Die Richtlinie SOLLTE auch Anforderungen an den Betrieb und die - Bereitstellung der Images enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A11 - name: Nur ein Dienst pro Container - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11 - ref_id: SYS.1.6.A11.1 - description: Jeder Container SOLLTE jeweils nur einen Dienst bereitstellen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A12 - name: Verteilung sicherer Images - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 - ref_id: SYS.1.6.A12.1 - description: "Es SOLLTE angemessen dokumentiert werden, welche Quellen f\xFC\ - r Images als vertrauensw\xFCrdig klassifiziert wurden und warum." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 - ref_id: SYS.1.6.A12.2 - description: "Zus\xE4tzlich SOLLTE der Prozess angemessen dokumentiert werden,\ - \ wie Images bzw. die im Image enthaltenen Softwarebestandteile aus vertrauensw\xFC\ - rdigen Quellen bezogen und schlie\xDFlich f\xFCr den produktiven Betrieb bereitgestellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 - ref_id: SYS.1.6.A12.3 - description: "Die verwendeten Images SOLLTEN \xFCber Metadaten verf\xFCgen,\ - \ die die Funktion und die Historie des Images nachvollziehbar machen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 - ref_id: SYS.1.6.A12.4 - description: "Digitale Signaturen SOLLTEN jedes Image gegen Ver\xE4nderung absichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A13 - name: Freigabe von Images - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13 - ref_id: SYS.1.6.A13.1 - description: "Alle Images f\xFCr den produktiven Betrieb SOLLTEN wie Softwareprodukte\ - \ einen Test- und Freigabeprozess gem\xE4\xDF dem Baustein OPS.1.1.6 Software-Test\ - \ und Freigaben durchlaufen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A14 - name: Aktualisierung von Images - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 - ref_id: SYS.1.6.A14.1 - description: "Bei der Erstellung des Konzeptes f\xFCr das Patch- und \xC4nderungsmanagement\ - \ gem\xE4\xDF OPS.1.1.3 Patch- und \xC4nderungsmanagement SOLLTE entschieden\ - \ werden, wann und wie die Updates der Images bzw. der betriebenen Software\ - \ oder des betriebenen Dienstes ausgerollt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 - ref_id: SYS.1.6.A14.2 - description: "Bei persistenten Containern SOLLTE gepr\xFCft werden, ob in Ausnahmef\xE4\ - llen ein Update des jeweiligen Containers geeigneter ist, als den Container\ - \ vollst\xE4ndig neu zu provisionieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A15 - name: Limitierung der Ressourcen pro Container - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 - ref_id: SYS.1.6.A15.1 - description: "F\xFCr jeden Container SOLLTEN Ressourcen auf dem Host-System,\ - \ wie CPU, fl\xFCchtiger und persistenter Speicher sowie Netzbandbreite, angemessen\ - \ reserviert und limitiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 - ref_id: SYS.1.6.A15.2 - description: "Es SOLLTE definiert und dokumentiert sein, wie das System im Fall\ - \ einer \xDCberschreitung dieser Limitierungen reagiert." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A16 - name: Administrativer Fernzugriff auf Container - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 - ref_id: SYS.1.6.A16.1 - description: Administrative Zugriffe von einem Container auf den Container-Host - und umgekehrt SOLLTEN prinzipiell wie administrative Fernzugriffe betrachtet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 - ref_id: SYS.1.6.A16.2 - description: Aus einem Container SOLLTEN KEINE administrativen Fernzugriffe - auf den Container-Host erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 - ref_id: SYS.1.6.A16.3 - description: "Applikations-Container SOLLTEN keine Fernwartungszug\xE4nge enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 - ref_id: SYS.1.6.A16.4 - description: "Administrative Zugriffe auf Applikations-Container SOLLTEN immer\ - \ \xFCber die Container-Runtime erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A17 - name: "Ausf\xFChrung von Containern ohne Privilegien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 - ref_id: SYS.1.6.A17.1 - description: "Die Container-Runtime und alle instanziierten Container SOLLTEN\ - \ nur von einem nicht-privilegierten System-Account ausgef\xFChrt werden,\ - \ der \xFCber keine erweiterten Rechte f\xFCr den Container-Dienst und das\ - \ Betriebssystem des Host-Systems verf\xFCgt oder diese Rechte erlangen kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 - ref_id: SYS.1.6.A17.2 - description: "Die Container-Runtime SOLLTE durch zus\xE4tzliche Ma\xDFnahmen\ - \ gekapselt werden, etwa durch Verwendung der Virtualisierungserweiterungen\ - \ von CPUs." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 - ref_id: SYS.1.6.A17.3 - description: "Sofern Container ausnahmsweise Aufgaben des Host-Systems \xFC\ - bernehmen sollen, SOLLTEN die Privilegien auf dem Host-System auf das erforderliche\ - \ Minimum begrenzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 - ref_id: SYS.1.6.A17.4 - description: Ausnahmen SOLLTEN angemessen dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A18 - name: Accounts der Anwendungsdienste - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 - ref_id: SYS.1.6.A18.1 - description: Die System-Accounts innerhalb eines Containers SOLLTEN keine Berechtigungen - auf dem Host-System haben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 - ref_id: SYS.1.6.A18.2 - description: "Wo aus betrieblichen Gr\xFCnden diese Berechtigung notwendig ist,\ - \ SOLLTE diese nur f\xFCr unbedingt notwendige Daten und Systemzugriffe gelten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 - ref_id: SYS.1.6.A18.3 - description: "Der Account im Container, der f\xFCr diesen Datenaustausch notwendig\ - \ ist, SOLLTE im Host-System bekannt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A19 - name: Einbinden von Datenspeichern in Container - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 - ref_id: SYS.1.6.A19.1 - description: "Die Container SOLLTEN NUR auf die f\xFCr den Betrieb notwendigen\ - \ Massenspeicher und Verzeichnisse zugreifen k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 - ref_id: SYS.1.6.A19.2 - description: "Nur wenn Berechtigungen ben\xF6tigt werden, SOLLTEN diese explizit\ - \ vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 - ref_id: SYS.1.6.A19.3 - description: "Sofern die Container-Runtime f\xFCr einen Container lokalen Speicher\ - \ einbindet, SOLLTEN die Zugriffsrechte im Dateisystem auf den Service-Account\ - \ des Containers eingeschr\xE4nkt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 - ref_id: SYS.1.6.A19.4 - description: Werden Netzspeicher verwendet, so SOLLTEN die Berechtigungen auf - dem Netzspeicher selbst gesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A20 - name: Absicherung von Konfigurationsdaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 - ref_id: SYS.1.6.A20.1 - description: Die Beschreibung der Container-Konfigurationsdaten SOLLTE versioniert - erfolgen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 - ref_id: SYS.1.6.A20.2 - description: "\xC4nderungen SOLLTEN nachvollziehbar dokumentiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A21 - name: Erweiterte Sicherheitsrichtlinien - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.1 - description: "Erweiterte Richtlinien SOLLTEN die Berechtigungen der Container\ - \ einschr\xE4nken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.2 - description: Mandatory Access Control (MAC) oder eine vergleichbare Technik - SOLLTE diese Richtlinien erzwingen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.3 - description: "Die Richtlinien SOLLTEN mindestens folgende Zugriffe einschr\xE4\ - nken:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.4 - description: "\u2022 eingehende und ausgehende Netzverbindungen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.5 - description: "\u2022 Dateisystem-Zugriffe und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.6 - description: "\u2022 Kernel-Anfragen (Syscalls)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 - ref_id: SYS.1.6.A21.7 - description: "Die Runtime SOLLTE die Container so starten, dass der Kernel des\ - \ Host-Systems alle nicht von der Richtlinie erlaubten Aktivit\xE4ten der\ - \ Container verhindert (z. B. durch die Einrichtung lokaler Paketfilter oder\ - \ durch Entzug von Berechtigungen) oder zumindest Verst\xF6\xDFe geeignet\ - \ meldet." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A22 - name: "Vorsorge f\xFCr Untersuchungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22 - ref_id: SYS.1.6.A22.1 - description: "Um Container im Bedarfsfall f\xFCr eine sp\xE4tere Untersuchung\ - \ verf\xFCgbar zu haben, SOLLTE ein Abbild des Zustands nach festgelegten\ - \ Regeln erstellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A23 - name: "Unver\xE4nderlichkeit der Container" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 - ref_id: SYS.1.6.A23.1 - description: "Container SOLLTEN ihr Dateisystem w\xE4hrend der Laufzeit nicht\ - \ ver\xE4ndern k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 - ref_id: SYS.1.6.A23.2 - description: Dateisysteme SOLLTEN nicht mit Schreibrechten eingebunden sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A24 - name: Hostbasierte Angriffserkennung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.1 - description: "Das Verhalten der Container und der darin betriebenen Anwendungen\ - \ und Dienste SOLLTE \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.2 - description: Abweichungen von einem normalen Verhalten SOLLTEN bemerkt und gemeldet - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.3 - description: "Die Meldungen SOLLTEN im zentralen Prozess zur Behandlung von\ - \ Sicherheitsvorf\xE4llen angemessen behandelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.4 - description: "Das zu \xFCberwachende Verhalten SOLLTE mindestens umfassen:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.5 - description: "\u2022 Netzverbindungen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.6 - description: "\u2022 erstellte Prozesse," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.7 - description: "\u2022 Dateisystem-Zugriffe und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 - ref_id: SYS.1.6.A24.8 - description: "\u2022 Kernel-Anfragen (Syscalls)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A25 - name: "Hochverf\xFCgbarkeit von containerisierten Anwendungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25 - ref_id: SYS.1.6.A25.1 - description: "Bei hohen Verf\xFCgbarkeitsanforderungen der containerisierten\ - \ Anwendungen SOLLTE entschieden werden, auf welcher Ebene die Verf\xFCgbarkeit\ - \ realisiert werden soll (z. B. redundant auf der Ebene des Hosts)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 - ref_id: SYS.1.6.A26 - name: Weitergehende Isolation und Kapselung von Containern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 - ref_id: SYS.1.6.A26.1 - description: "Wird eine weitergehende Isolation und Kapselung von Containern\ - \ ben\xF6tigt, dann SOLLTEN folgende Ma\xDFnahmen nach steigender Wirksamkeit\ - \ gepr\xFCft werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 - ref_id: SYS.1.6.A26.2 - description: "\u2022 feste Zuordnung von Containern zu Container-Hosts," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 - ref_id: SYS.1.6.A26.3 - description: "\u2022 Ausf\xFChrung der einzelnen Container und/oder des Container-Hosts\ - \ mit Hypervisoren," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 - ref_id: SYS.1.6.A26.4 - description: "\u2022 feste Zuordnung eines einzelnen Containers zu einem einzelnen\ - \ Container-Host." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.7 - name: IBM Z - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A1 - name: Einsatz restriktiver z/OS-Kennungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.1 - description: "Berechtigungen mit hoher Autorisierung D\xDCRFEN NUR an Benutzende\ - \ vergeben werden, die diese Rechte f\xFCr ihre T\xE4tigkeiten ben\xF6tigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.2 - description: "Insbesondere die RACF-Attribute SPECIAL, OPERATIONS, AUDITOR und\ - \ die entsprechenden GROUP-Attribute sowie die User-ID 0 unter den Unix System\ - \ Services (USS) M\xDCSSEN restriktiv gehandhabt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.3 - description: "Die Vergabe und der Einsatz dieser Berechtigungen M\xDCSSEN nachvollziehbar\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.4 - description: Die besondere Kennung IBMUSER DARF NUR bei der Neuinstallation - zur Erzeugung von Kennungen mit Attribut SPECIAL benutzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.5 - description: Diese Kennung MUSS danach dauerhaft gesperrt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 - ref_id: SYS.1.7.A1.6 - description: Um zu vermeiden, dass Administrierende sich dauerhaft aussperren, - MUSS ein Notfall-User-Verfahren eingerichtet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A2 - name: Absicherung sicherheitskritischer z/OS-Dienstprogramme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 - ref_id: SYS.1.7.A2.1 - description: "Sicherheitskritische (Dienst-)Programme und Kommandos sowie deren\ - \ Alias-Namen M\xDCSSEN mit Rechten auf entsprechende RACF-Profile so gesch\xFC\ - tzt werden, dass sie nur von den daf\xFCr vorgesehenen und autorisierten Personen\ - \ benutzt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 - ref_id: SYS.1.7.A2.2 - description: "Es MUSS sichergestellt sein, dass (Fremd-)Programme nicht unerlaubt\ - \ installiert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 - ref_id: SYS.1.7.A2.3 - description: "Au\xDFerdem D\xDCRFEN Programme NUR von gesicherten Quellen und\ - \ \xFCber nachvollziehbare Methoden (z. B. SMP/E) installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A3 - name: Wartung von Z-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 - ref_id: SYS.1.7.A3.1 - description: "Die Z-Hardware und -Firmware, das Betriebssystem sowie die verschiedenen\ - \ Programme M\xDCSSEN regelm\xE4\xDFig und bei Bedarf gepflegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 - ref_id: SYS.1.7.A3.2 - description: "Die hierf\xFCr notwendigen Wartungsaktivit\xE4ten M\xDCSSEN geplant\ - \ und in das \xC4nderungsmanagement (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)\ - \ integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 - ref_id: SYS.1.7.A3.3 - description: "Insbesondere D\xDCRFEN Updates durch das herstellende Unternehmen\ - \ NUR unter Kontrolle der Betreibenden durchgef\xFChrt werden, lokal \xFC\ - ber SE (Support Elements) bzw. HMC (Hardware Management Console) oder remote\ - \ \xFCber die RSF (Remote Support Facility)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A4 - name: Schulung des z/OS-Bedienungspersonals - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 - ref_id: SYS.1.7.A4.1 - description: "Administrierende, Bedienende und Pr\xFCfende im z/OS-Bereich M\xDC\ - SSEN entsprechend ihren Aufgaben ausgebildet sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 - ref_id: SYS.1.7.A4.2 - description: "Insbesondere M\xDCSSEN RACF-Administrierende mit dem Sicherheitssystem\ - \ selbst sowie gegebenenfalls mit den weiteren f\xFCr sie relevanten Funktionen\ - \ vertraut sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A5 - name: Einsatz und Sicherung systemnaher z/OS-Terminals - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - ref_id: SYS.1.7.A5.1 - description: "Systemnahe z/OS-Terminals M\xDCSSEN physisch gegen unbefugten\ - \ Zutritt und logisch gegen unbefugten Zugang gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - ref_id: SYS.1.7.A5.2 - description: "Insbesondere die Support-Elemente sowie die HMC-, MCS-, SMCS-,\ - \ Extended MCS- und Monitor-Konsolen M\xDCSSEN dabei ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - ref_id: SYS.1.7.A5.3 - description: "Voreingestellte Passw\xF6rter M\xDCSSEN ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - ref_id: SYS.1.7.A5.4 - description: "Zug\xE4nge \xFCber Webserver und andere Fernzug\xE4nge M\xDCSSEN\ - \ durch Verschl\xFCsselung gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 - ref_id: SYS.1.7.A5.5 - description: "Nicht ben\xF6tigte Webserver und Fernzug\xE4nge M\xDCSSEN deaktiviert\ - \ werden, wenn sie nicht ben\xF6tigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A6 - name: Einsatz und Sicherung der Remote Support Facility - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - ref_id: SYS.1.7.A6.1 - description: Es MUSS entschieden werden, ob und gegebenenfalls wie RSF eingesetzt - wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - ref_id: SYS.1.7.A6.2 - description: Der Einsatz MUSS im Wartungsvertrag vorgesehen und mit dem Hardware-Support - abgestimmt sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - ref_id: SYS.1.7.A6.3 - description: "Es MUSS sichergestellt werden, dass die RSF-Konfiguration nur\ - \ von hierzu autorisierten Personen ge\xE4ndert werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - ref_id: SYS.1.7.A6.4 - description: "Wartungszugriffe f\xFCr Firmware-Modifikationen durch das herstellende\ - \ Unternehmen M\xDCSSEN von Betreibenden explizit freigegeben und nach Beendigung\ - \ wieder deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 - ref_id: SYS.1.7.A6.5 - description: "Die RSF-Kommunikation MUSS \xFCber Proxy-Server und zus\xE4tzlich\ - \ \xFCber gesicherte Verbindungen (wie TLS) stattfinden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A7 - name: Restriktive Autorisierung unter z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 - ref_id: SYS.1.7.A7.1 - description: "Im Rahmen der Grundkonfiguration M\xDCSSEN die Autorisierungsmechanismen\ - \ so konfiguriert werden, dass alle Personen (definierte User-IDs in Gruppen\ - \ gem\xE4\xDF Rolle) nur die Zugriffsm\xF6glichkeiten erhalten, die sie f\xFC\ - r ihre jeweiligen T\xE4tigkeiten ben\xF6tigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 - ref_id: SYS.1.7.A7.2 - description: "Hierf\xFCr M\xDCSSEN insbesondere APF-Autorisierungen (Authorized\ - \ Program Facility), SVCs (SuperVisor Calls), Ressourcen des z/OS-Betriebssystems,\ - \ IPL-Parameter, Parmlib-Definitionen, Started Tasks und JES2/3-Definitionen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A8 - name: Einsatz des z/OS-Sicherheitssystems RACF - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.1 - description: "Der Einsatz von RACF f\xFCr z/OS MUSS sorgf\xE4ltig geplant werden,\ - \ dazu geh\xF6ren auch die Auswahl des Zeichensatzes, die Festlegung von Regeln\ - \ f\xFCr User-ID und Passwort sowie die Aktivierung der KDFAES-Verschl\xFC\ - sselung." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.2 - description: Falls RACF PassTickets verwendet werden, MUSS der Enhanced PassTicket - Algorithmus aktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.3 - description: "Voreingestellte Passw\xF6rter f\xFCr das RVARY-Kommando und f\xFC\ - r neu angelegte User-IDs M\xDCSSEN ge\xE4ndert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.4 - description: "Falls RACF-Exits eingesetzt werden sollen, MUSS deren Einsatz\ - \ begr\xFCndet, dokumentiert und regelm\xE4\xDFig \xFCberwacht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.5 - description: "F\xFCr das Anlegen, Sperren, Freischalten und L\xF6schen von RACF-Kennungen\ - \ M\xDCSSEN geeignete Vorgehensweisen festgelegt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.6 - description: 'Nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche - MUSS eine RACF-Kennung gesperrt werden (Ausnahme: Notfall-User-Verfahren).' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.7 - description: "Kennungen von Benutzenden M\xDCSSEN au\xDFerdem nach l\xE4ngerer\ - \ Inaktivit\xE4t gesperrt werden, Kennungen von Verfahren hingegen nicht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.8 - description: "Dateien, Started Tasks und sicherheitskritische Programme M\xDC\ - SSEN mittels RACF-Profilen gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.9 - description: "Benutzende D\xDCRFEN dar\xFCber NUR die Zugriffsm\xF6glichkeiten\ - \ erhalten, die sie gem\xE4\xDF ihrer Rolle ben\xF6tigen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 - ref_id: SYS.1.7.A8.10 - description: "Es MUSS au\xDFerdem sichergestellt sein, dass Benutzende ihre\ - \ Zugriffsm\xF6glichkeiten nicht unerlaubt erweitern k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A9 - name: "Mandantenf\xE4higkeit unter z/OS" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 - ref_id: SYS.1.7.A9.1 - description: Falls ein z/OS-System von Mandanten genutzt werden soll, MUSS ein - RACF-Konzept zur Mandantentrennung erstellt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 - ref_id: SYS.1.7.A9.2 - description: "Die Daten und Anwendungen der Mandanten M\xDCSSEN durch RACF-Profile\ - \ getrennt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 - ref_id: SYS.1.7.A9.3 - description: "Hohe Berechtigungen im RACF (SPECIAL, OPERATIONS, AUDITOR) und\ - \ \xE4ndernden Zugriff auf Dateien des z/OS-Betriebssystems D\xDCRFEN NUR\ - \ Mitarbeitende der Betreibenden haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 - ref_id: SYS.1.7.A9.4 - description: "Die Wartungsfenster, in denen das z/OS-System nicht zur Verf\xFC\ - gung steht, M\xDCSSEN mit allen Mandanten, die auf dem betroffenen System\ - \ arbeiten, abgestimmt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A11 - name: Schutz der Session-Daten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11 - ref_id: SYS.1.7.A11.1 - description: "Session-Daten f\xFCr die Verbindungen der RACF-Administrierenden\ - \ und m\xF6glichst auch der anderen Mitarbeitenden M\xDCSSEN verschl\xFCsselt\ - \ \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A14 - name: Berichtswesen zum sicheren Betrieb von z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 - ref_id: SYS.1.7.A14.1 - description: "Zur \xDCberwachung aller sicherheitsrelevanten T\xE4tigkeiten\ - \ unter z/OS SOLLTE ein Prozess eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 - ref_id: SYS.1.7.A14.2 - description: "In diesem SOLLTE festgelegt sein, welche Sicherheitsreports regelm\xE4\ - \xDFig erstellt werden, welche Tools und Datenquellen dabei herangezogen werden\ - \ (z. B. System Management Facility) und wie mit Abweichungen von den Vorgaben\ - \ umgegangen wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 - ref_id: SYS.1.7.A14.3 - description: "Die Sicherheitsreports SOLLTEN bei \xDCberpr\xFCfungen als Information\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A16 - name: "\xDCberwachung von z/OS-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - ref_id: SYS.1.7.A16.1 - description: "W\xE4hrend des Betriebs SOLLTE das z/OS-System auf wichtige Meldungen,\ - \ Ereignisse und die Einhaltung von Grenzwerten \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - ref_id: SYS.1.7.A16.2 - description: "Insbesondere Fehlermeldungen auf der HMC-Konsole, WTOR- und wichtige\ - \ WTO-Nachrichten (Write To Operator/with Reply), System Tasks, Sicherheitsverletzungen,\ - \ Kapazit\xE4tsgrenzen sowie die Systemauslastung SOLLTEN ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - ref_id: SYS.1.7.A16.3 - description: "F\xFCr die \xDCberwachung SOLLTEN au\xDFerdem mindestens die MCS-Konsole,\ - \ die System Management Facility, das SYSLOG und die relevanten Protokolldaten\ - \ der Anwendungen herangezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - ref_id: SYS.1.7.A16.4 - description: "Es SOLLTE gew\xE4hrleistet sein, dass alle wichtigen Meldungen\ - \ zeitnah erkannt werden und, falls notwendig, in geeigneter Weise darauf\ - \ reagiert wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 - ref_id: SYS.1.7.A16.5 - description: Systemnachrichten SOLLTEN dabei so gefiltert werden, dass nur die - wichtigen Nachrichten dargestellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A17 - name: "Synchronisierung von z/OS-Passw\xF6rtern und RACF-Kommandos" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 - ref_id: SYS.1.7.A17.1 - description: "Falls z/OS-Passw\xF6rter oder RACF-Kommandos \xFCber mehrere z/OS-Systeme\ - \ automatisch synchronisiert werden sollen, SOLLTEN die jeweiligen Systeme\ - \ m\xF6glichst weitgehend standardisiert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 - ref_id: SYS.1.7.A17.2 - description: "Die Sperrung von Kennungen durch Fehleingaben von Passw\xF6rtern\ - \ SOLLTE NICHT synchronisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 - ref_id: SYS.1.7.A17.3 - description: "Das Risiko durch Synchronisation sicherheitskritischer RACF-Kommandos\ - \ SOLLTE ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 - ref_id: SYS.1.7.A17.4 - description: "Die Verwaltungsfunktion des Synchronisationsprogramms SOLLTE nur\ - \ autorisierten Mitarbeitenden im Rahmen ihrer T\xE4tigkeit zur Verf\xFCgung\ - \ stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A18 - name: "Rollenkonzept f\xFCr z/OS-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 - ref_id: SYS.1.7.A18.1 - description: "Mindestens f\xFCr die Systemverwaltung von z/OS-Systemen SOLLTE\ - \ ein Rollenkonzept eingef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 - ref_id: SYS.1.7.A18.2 - description: "F\xFCr alle wichtigen Rollen der Systemverwaltung SOLLTEN au\xDF\ - erdem Stellvertretungsregelungen vorhanden sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 - ref_id: SYS.1.7.A18.3 - description: Die RACF-Attribute SPECIAL, OPERATIONS und AUDITOR SOLLTEN verschiedenen - Personen zugeordnet werden (Rollentrennung). - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A19 - name: Absicherung von z/OS-Transaktionsmonitoren - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 - ref_id: SYS.1.7.A19.1 - description: Falls Transaktionsmonitore oder Datenbanken unter z/OS eingesetzt - werden, wie beispielsweise IMS, CICS oder Db2, SOLLTEN diese mittels RACF - abgesichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 - ref_id: SYS.1.7.A19.2 - description: "Dies gilt auch f\xFCr die zugeh\xF6rigen System-Kommandos und\ - \ -Dateien." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 - ref_id: SYS.1.7.A19.3 - description: Interne Sicherheitsmechanismen der Transaktionsmonitore und Datenbanken - SOLLTEN hingegen nur dort angewandt werden, wo es keine entsprechenden RACF-Funktionen - gibt. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 - ref_id: SYS.1.7.A19.4 - description: "Benutzende und Administrierende SOLLTEN nur die Zugriffsrechte\ - \ erhalten, die sie f\xFCr ihre jeweilige T\xE4tigkeit ben\xF6tigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A20 - name: Stilllegung von z/OS-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 - ref_id: SYS.1.7.A20.1 - description: "Bei der Stilllegung von z/OS-Systemen SOLLTEN andere z/OS-Systeme,\ - \ Verb\xFCnde und Verwaltungssysteme so angepasst werden, dass sie nicht mehr\ - \ auf das stillgelegte System verweisen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 - ref_id: SYS.1.7.A20.2 - description: "Auch die Auswirkungen auf die Software-Lizenzen SOLLTEN ber\xFC\ - cksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 - ref_id: SYS.1.7.A20.3 - description: "Datentr\xE4ger, die vertrauliche Daten enthalten, SOLLTEN so gel\xF6\ - scht werden, dass ihr Inhalt nicht mehr reproduziert werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 - ref_id: SYS.1.7.A20.4 - description: "F\xFCr den Fall, dass defekte Datentr\xE4ger durch das herstellende\ - \ Unternehmen ausgetauscht werden, SOLLTE vertraglich vereinbart sein, dass\ - \ diese Festplatten sicher vernichtet oder so gel\xF6scht werden, dass ihr\ - \ Inhalt nicht mehr reproduziert werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A21 - name: Absicherung des Startvorgangs von z/OS-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - ref_id: SYS.1.7.A21.1 - description: "Die f\xFCr den Startvorgang eines z/OS-Systems notwendigen Parameter\ - \ SOLLTEN dokumentiert und dem Operating-Personal bekannt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - ref_id: SYS.1.7.A21.2 - description: "Au\xDFerdem SOLLTEN die erforderlichen Hardware-Konfigurationen\ - \ vorliegen, wie die IOCDS-Datei (Input/Output Configuration Data Set) und\ - \ die LPARs (Logical Partitions)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - ref_id: SYS.1.7.A21.3 - description: "Eine z/OS-Master-Konsole und eine Backup-Konsole SOLLTEN definiert\ - \ sein, um Nachrichten kontrollieren zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - ref_id: SYS.1.7.A21.4 - description: "Nach dem Startvorgang SOLLTE anhand einer Pr\xFCfliste kontrolliert\ - \ werden, ob der Systemstatus den Soll-Vorgaben entspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 - ref_id: SYS.1.7.A21.5 - description: "Dar\xFCber hinaus SOLLTE eine Fallback-Konfiguration vorgehalten\ - \ werden, mit der das System vor der letzten \xC4nderung erfolgreich gestartet\ - \ worden ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A22 - name: Absicherung der Betriebsfunktionen von z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 - ref_id: SYS.1.7.A22.1 - description: "Alle die Produktion beeinflussenden Wartungsarbeiten sowie dynamische\ - \ und sonstige \xC4nderungen SOLLTEN nur im Rahmen des \xC4nderungsmanagements\ - \ durchgef\xFChrt werden (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 - ref_id: SYS.1.7.A22.2 - description: "SDSF (System Display and Search Facility) und \xE4hnliche Funktionen\ - \ sowie die Priorit\xE4ten-Steuerung f\xFCr Jobs SOLLTEN mittels RACF vor\ - \ unberechtigtem Zugriff gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 - ref_id: SYS.1.7.A22.3 - description: "z/OS-System-Kommandos und besonders sicherheitsrelevante Befehle\ - \ f\xFCr dynamische \xC4nderungen SOLLTEN \xFCber RACF gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 - ref_id: SYS.1.7.A22.4 - description: "Bei der dynamischen Definition von Hardware SOLLTE sichergestellt\ - \ werden, dass eine Ressource im Wirkbetrieb nicht mehreren Einzelsystemen\ - \ au\xDFerhalb eines Parallel Sysplex zugeordnet wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A23 - name: Absicherung von z/VM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.1 - description: Falls z/VM eingesetzt wird, SOLLTE das Produkt in das Patch-Management - integriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.2 - description: "Alle voreingestellten Passw\xF6rter SOLLTEN ge\xE4ndert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.3 - description: "Die Rolle des z/VM-Systemadministrierenden SOLLTE nur an Personen\ - \ vergeben werden, die diese Berechtigungen ben\xF6tigen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.4 - description: "Die Sicherheitsadministration von z/VM SOLLTE \xFCber RACF f\xFC\ - r z/VM erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.5 - description: "Passw\xF6rter von realen Usern und Guest-Usern SOLLTEN mittels\ - \ RACF f\xFCr z/VM verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.6 - description: "Die sicherheitskritischen Systemkommandos von z/VM SOLLTEN \xFC\ - ber RACF gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.7 - description: "Unter z/VM definierte virtuelle Maschinen SOLLTEN nur die f\xFC\ - r die jeweiligen Aufgaben notwendigen Ressourcen erhalten und strikt voneinander\ - \ getrennt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.8 - description: "Unter z/VM SOLLTEN nur die ben\xF6tigten Dienste gestartet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 - ref_id: SYS.1.7.A23.9 - description: "Wenn \xDCberpr\xFCfungen durchgef\xFChrt werden, SOLLTEN die Journaling-Funktion\ - \ von z/VM und die Audit-Funktionen von RACF eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A24 - name: "Datentr\xE4gerverwaltung unter z/OS-Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.1 - description: "Dateien, Programme und Funktionen zur Verwaltung von Datentr\xE4\ - gern sowie die Datentr\xE4ger selbst (Festplatten und B\xE4nder) einschlie\xDF\ - lich Master-Katalog SOLLTEN mittels RACF-Profilen gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.2 - description: "Es SOLLTEN Sicherungskopien aller wichtigen Dateien zur Verf\xFC\ - gung stehen, die in einer Notfallsituation zur\xFCckgespielt werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.3 - description: "Die Zuordnung von Datentr\xE4gern zu den Z-Systemen SOLLTE nachvollziehbar\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.4 - description: "Es SOLLTE gew\xE4hrleistet werden, dass je nach Volumen und Zeitfenster\ - \ gen\xFCgend Bandstationen zur Verf\xFCgung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.5 - description: Beim Einsatz des HSM (Hierarchical Storage Manager) SOLLTE festgelegt - werden, welche Festplatten gesichert werden sollen und wie die Sicherung erfolgen - soll. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 - ref_id: SYS.1.7.A24.6 - description: "B\xE4nder, die vom HSM verwaltet werden, SOLLTEN NICHT anderweitig\ - \ bearbeitet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A25 - name: Festlegung der Systemdimensionierung von z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 - ref_id: SYS.1.7.A25.1 - description: "Die Grenzen f\xFCr die maximale Belastung der Ressourcen (Anzahl\ - \ der CPUs, Speicher, Bandbreite etc.) SOLLTEN den Hardware-Voraussetzungen\ - \ entsprechend festgelegt und den zust\xE4ndigen Administrierenden und Anwendungszust\xE4\ - ndigen bekannt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 - ref_id: SYS.1.7.A25.2 - description: "Die Anzahl der zur Verf\xFCgung stehenden Magnetband-Stationen,\ - \ die Zeiten, zu denen Anwendungen auf Magnetband-Stationen zugreifen und\ - \ die ben\xF6tigten Festplattenkapazit\xE4ten SOLLTEN mit den Anwendungszust\xE4\ - ndigen abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 - ref_id: SYS.1.7.A25.3 - description: "Die Festplattenkapazit\xE4ten SOLLTEN au\xDFerdem vom Space-Management\ - \ \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A26 - name: "WorkLoad Management f\xFCr z/OS-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 - ref_id: SYS.1.7.A26.1 - description: "Die Programme, Dateien und Kommandos des WorkLoad Managers (WLM)\ - \ sowie die daf\xFCr notwendigen Couple Data Sets SOLLTEN mittels RACF gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 - ref_id: SYS.1.7.A26.2 - description: "Dabei SOLLTE sichergestellt sein, dass die Berechtigungen zum\ - \ \xC4ndern des WLM \xFCber z/OS-Kommandos und \xFCber die SDSF-Schnittstelle\ - \ gleich sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A27 - name: Zeichensatzkonvertierung bei z/OS-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 - ref_id: SYS.1.7.A27.1 - description: "Wenn Textdateien zwischen z/OS-Systemen und anderen Systemen \xFC\ - bertragen werden, SOLLTE darauf geachtet werden, dass eventuell eine Zeichensatzkonvertierung\ - \ erforderlich ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 - ref_id: SYS.1.7.A27.2 - description: Dabei SOLLTE die korrekte Umsetzungstabelle verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 - ref_id: SYS.1.7.A27.3 - description: "Bei der \xDCbertragung von Programm-Quellcode SOLLTE gepr\xFC\ - ft werden, ob alle Zeichen richtig \xFCbersetzt wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 - ref_id: SYS.1.7.A27.4 - description: "Bei der \xDCbertragung von Bin\xE4rdaten SOLLTE hingegen sichergestellt\ - \ sein, dass keine Zeichensatzkonvertierung stattfindet." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A28 - name: "Lizenzschl\xFCssel-Management f\xFCr z/OS-Software" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 - ref_id: SYS.1.7.A28.1 - description: "F\xFCr Lizenzschl\xFCssel, deren G\xFCltigkeit zeitlich begrenzt\ - \ ist, SOLLTE ein Verfahren zur rechtzeitigen Erneuerung eingerichtet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 - ref_id: SYS.1.7.A28.2 - description: "Die Laufzeiten der Lizenzschl\xFCssel SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 - ref_id: SYS.1.7.A28.3 - description: "Die Dokumentation SOLLTE allen betroffenen Administrierenden zur\ - \ Verf\xFCgung stehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A29 - name: Absicherung von Unix System Services bei z/OS-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.1 - description: "Die Parameter der Unix System Services (USS) SOLLTEN entsprechend\ - \ der funktionalen und sicherheitstechnischen Vorgaben sowie unter Ber\xFC\ - cksichtigung der verf\xFCgbaren Ressourcen eingestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.2 - description: "HFS- und zFS-Dateien, die USS-Dateisysteme enthalten, SOLLTEN\ - \ \xFCber RACF-Profile abgesichert und in das Datensicherungskonzept einbezogen\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.3 - description: "Au\xDFerdem SOLLTE das Root-Dateisystem mit der Option Read-Only\ - \ gemounted werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.4 - description: "Es SOLLTE im USS-Dateisystem KEINE APF-Autorisierung (Authorized\ - \ Program Facility) \xFCber das File Security Packet (FSP) geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.5 - description: Stattdessen SOLLTEN die Module von APF-Dateien des z/OS-Betriebssystems - geladen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.6 - description: Zwischen USS-User-IDs und z/OS-User-IDs SOLLTE es eine eindeutige - Zuordnung geben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.7 - description: "Berechtigungen unter USS SOLLTEN \xFCber die RACF-Klasse UNIXPRIV\ - \ vergeben werden und NICHT durch Vergabe der UID 0." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 - ref_id: SYS.1.7.A29.8 - description: "F\xFCr \xDCberpr\xFCfungen und das Monitoring der USS SOLLTEN\ - \ die gleichen Mechanismen wie f\xFCr z/OS genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A30 - name: Absicherung der z/OS-Trace-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 - ref_id: SYS.1.7.A30.1 - description: "Die Trace-Funktionen von z/OS wie GTF (Generalized Trace Facility),\ - \ NetView oder ACF/TAP (Advanced Communication Function/Trace Analysis Program)\ - \ und die entsprechenden Dateien SOLLTEN so gesch\xFCtzt werden, dass nur\ - \ die zust\xE4ndigen und autorisierten Mitarbeitenden darauf Zugriff haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 - ref_id: SYS.1.7.A30.2 - description: Die Trace-Funktion von NetView SOLLTE deaktiviert sein und nur - im Bedarfsfall aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A31 - name: "Notfallvorsorge f\xFCr z/OS-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 - ref_id: SYS.1.7.A31.1 - description: Es SOLLTE ein Verfahren zur Wiederherstellung einer funktionierenden - RACF-Datenbank vorgesehen sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 - ref_id: SYS.1.7.A31.2 - description: "Weiterhin SOLLTEN eine Kopie des z/OS-Betriebssystems als z/OS-Backup-System\ - \ und, unabh\xE4ngig von Produktivsystem, ein z/OS-Notfallsystem vorgehalten\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A32 - name: "Festlegung von Standards f\xFCr z/OS-Systemdefinitionen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 - ref_id: SYS.1.7.A32.1 - description: "Es SOLLTEN Standards und Namenskonventionen f\xFCr z/OS-Systemdefinitionen\ - \ festgelegt und dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 - ref_id: SYS.1.7.A32.2 - description: "Die Dokumentationen SOLLTEN den Administrierenden zur Verf\xFC\ - gung stehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 - ref_id: SYS.1.7.A32.3 - description: "Die Einhaltung der Standards SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 - ref_id: SYS.1.7.A32.4 - description: "Standards SOLLTEN insbesondere f\xFCr Datei-, Datenbank-, Job-\ - \ und Volume-Namen sowie f\xFCr Application-, System- und User-IDs definiert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A33 - name: Trennung von Test- und Produktionssystemen unter z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 - ref_id: SYS.1.7.A33.1 - description: "Es SOLLTEN technische Ma\xDFnahmen ergriffen werden, um Entwicklungs-\ - \ und Testsysteme von Produktionssystemen unter z/OS zu trennen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 - ref_id: SYS.1.7.A33.2 - description: "Dabei SOLLTEN eventuelle Zugriffsm\xF6glichkeiten \xFCber gemeinsame\ - \ Festplatten und den Parallel Sysplex beachtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A34 - name: "Batch-Job-Planung f\xFCr z/OS-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 - ref_id: SYS.1.7.A34.1 - description: "Wenn ein z/OS-System eine gr\xF6\xDFere Anzahl von Batch-Jobs\ - \ verarbeitet, SOLLTE f\xFCr die Ablaufsteuerung der Batch-Jobs ein Job-Scheduler\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 - ref_id: SYS.1.7.A34.2 - description: "Der Job-Scheduler sowie die zugeh\xF6rigen Dateien und Tools SOLLTEN\ - \ mittels RACF geeignet gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A35 - name: Einsatz von RACF-Exits - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 - ref_id: SYS.1.7.A35.1 - description: Falls RACF-Exits eingesetzt werden, SOLLTEN die sicherheitstechnischen - und betrieblichen Auswirkungen analysiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 - ref_id: SYS.1.7.A35.2 - description: "Die RACF-Exits SOLLTEN au\xDFerdem \xFCber das SMP/E (System Modification\ - \ Program/Enhanced) als USERMOD installiert und \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A36 - name: Interne Kommunikation von Betriebssystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36 - ref_id: SYS.1.7.A36.1 - description: "Die Kommunikation von Betriebssystemen, z/OS oder Linux, die entweder\ - \ im LPAR-Mode oder unter z/VM auf derselben Z-Hardware installiert sind,\ - \ SOLLTE \xFCber interne Kan\xE4le erfolgen, d. h. \xFCber HiperSockets oder\ - \ virtuelle CTC-Verbindungen (Channel-to-Channel)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A37 - name: Parallel Sysplex unter z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.1 - description: "Anhand der Verf\xFCgbarkeits- und Skalierbarkeitsanforderungen\ - \ SOLLTE entschieden werden, ob ein Parallel Sysplex (Cluster von z/OS-Systemen)\ - \ eingesetzt wird und gegebenenfalls welche Redundanzen dabei vorgesehen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.2 - description: "Bei der Dimensionierung der Ressourcen SOLLTEN die Anforderungen\ - \ der Anwendungen ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.3 - description: "Die Software und die Definitionen der LPARs des Sysplex, einschlie\xDF\ - lich RACF, SOLLTEN synchronisiert oder als gemeinsam benutzte Dateien bereitgestellt\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.4 - description: "Es SOLLTE sichergestellt sein, dass alle LPARs des Sysplex auf\ - \ die Couple Data Sets zugreifen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.5 - description: "Die Couple Data Sets sowie alle sicherheitskritischen Programme\ - \ und Kommandos zur Verwaltung des Sysplex SOLLTEN mittels RACF gesch\xFC\ - tzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.6 - description: "Au\xDFerdem SOLLTE ein GRS-Verbund (Global Resource Serialization)\ - \ eingerichtet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.7 - description: Die Festplatten des Sysplexes SOLLTEN strikt von den Festplatten - anderer Systeme getrennt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 - ref_id: SYS.1.7.A37.8 - description: Der System Logger SOLLTE mit Staging Data Set eingesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 - ref_id: SYS.1.7.A38 - name: Einsatz des VTAM Session Management Exit unter z/OS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 - ref_id: SYS.1.7.A38.1 - description: "Falls ein VTAM Session Management Exit eingesetzt werden soll,\ - \ SOLLTE gew\xE4hrleistet werden, dass dadurch der sichere und performante\ - \ Betrieb nicht beeintr\xE4chtigt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 - ref_id: SYS.1.7.A38.2 - description: "Der Exit SOLLTE mindestens eine nachtr\xE4gliche Kontrolle der\ - \ abgewiesenen Login-Versuche erm\xF6glichen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 - ref_id: SYS.1.7.A38.3 - description: "Au\xDFerdem SOLLTE sich der Exit dynamisch konfigurieren lassen\ - \ und das Regelwerk von einer externen Datei nachladen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 - ref_id: SYS.1.7.A38.4 - description: "Funktionen, Kommandos und Dateien im Zusammenhang mit dem Exit\ - \ SOLLTEN durch RACF gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.8 - name: "Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A1 - name: Geeignete Aufstellung von Speichersystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 - ref_id: SYS.1.8.A1.1 - description: "Die IT-Komponenten von Speicherl\xF6sungen M\xDCSSEN in verschlossenen\ - \ R\xE4umen aufgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 - ref_id: SYS.1.8.A1.2 - description: "Zu diesen R\xE4umen D\xDCRFEN NUR Berechtigte Zutritt haben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 - ref_id: SYS.1.8.A1.3 - description: Zudem MUSS eine sichere Stromversorgung sichergestellt sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 - ref_id: SYS.1.8.A1.4 - description: "Die Vorgaben des herstellenden Unternehmens zur empfohlenen Umgebungstemperatur\ - \ und Luftfeuchte M\xDCSSEN eingehalten werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A2 - name: "Sichere Grundkonfiguration von Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 - ref_id: SYS.1.8.A2.1 - description: "Bevor eine Speicherl\xF6sung produktiv eingesetzt wird, MUSS sichergestellt\ - \ sein, dass alle eingesetzten Softwarekomponenten und die Firmware aktuell\ - \ sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 - ref_id: SYS.1.8.A2.2 - description: Danach MUSS eine sichere Grundkonfiguration hergestellt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 - ref_id: SYS.1.8.A2.3 - description: "Nicht genutzte Schnittstellen des Speichersystems M\xDCSSEN deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 - ref_id: SYS.1.8.A2.4 - description: "Die Dateien zur Default-Konfiguration, zur vorgenommenen Grundkonfiguration\ - \ und zur aktuellen Konfiguration SOLLTEN redundant und gesch\xFCtzt aufbewahrt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A4 - name: Schutz der Administrationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 - ref_id: SYS.1.8.A4.1 - description: "Alle Administrations- und Management-Zug\xE4nge der Speichersysteme\ - \ M\xDCSSEN eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 - ref_id: SYS.1.8.A4.2 - description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ - \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ - \ kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 - ref_id: SYS.1.8.A4.3 - description: Es SOLLTEN als sicher geltende Protokolle eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 - ref_id: SYS.1.8.A4.4 - description: "Sollten dennoch unsichere Protokolle verwendet werden, MUSS f\xFC\ - r die Administration ein eigenes Administrationsnetz (siehe NET.1.1 Netzarchitektur\ - \ und -design) genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A6 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.1 - description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ - \ SOLLTE eine spezifische Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen\ - \ erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.2 - description: "Darin SOLLTEN nachvollziehbar Vorgaben beschrieben sein, wie Speicherl\xF6\ - sungen sicher geplant, administriert, installiert, konfiguriert und betrieben\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.3 - description: "Die Richtlinie SOLLTE allen f\xFCr Speicherl\xF6sungen zust\xE4\ - ndigen Administrierenden bekannt und grundlegend f\xFCr ihre Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.4 - description: "Wird die Richtlinie ver\xE4ndert oder wird von den Vorgaben abgewichen,\ - \ SOLLTE dies mit dem oder der ISB abgestimmt und dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.5 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ - \ noch korrekt umgesetzt ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.6 - description: Gegebenenfalls SOLLTE sie aktualisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 - ref_id: SYS.1.8.A6.7 - description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A7 - name: "Planung von Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.1 - description: "Bevor Speicherl\xF6sungen in einer Institution eingesetzt werden,\ - \ SOLLTE eine Anforderungsanalyse durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.2 - description: "In der Anforderungsanalyse SOLLTEN unter anderem die Themen Performance\ - \ und Kapazit\xE4t betrachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.3 - description: "Auf Basis der ermittelten Anforderungen SOLLTE dann eine detaillierte\ - \ Planung f\xFCr Speicherl\xF6sungen erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.4 - description: "Darin SOLLTEN folgende Punkte ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.5 - description: "\u2022 Auswahl von herstellenden Unternehmen und Liefernden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.6 - description: "\u2022 Entscheidung f\xFCr oder gegen zentrale Verwaltungssysteme\ - \ (Management-Systeme)," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.7 - description: "\u2022 Planung des Netzanschlusses," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.8 - description: "\u2022 Planung der Infrastruktur sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 - ref_id: SYS.1.8.A7.9 - description: "\u2022 Integration in bestehende Prozesse." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A8 - name: "Auswahl einer geeigneten Speicherl\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - ref_id: SYS.1.8.A8.1 - description: "Die technischen Grundlagen unterschiedlicher Speicherl\xF6sungen\ - \ SOLLTEN detailliert beleuchtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - ref_id: SYS.1.8.A8.2 - description: "Die Auswirkungen dieser technischen Grundlagen auf den m\xF6glichen\ - \ Einsatz in der Institution SOLLTEN gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - ref_id: SYS.1.8.A8.3 - description: "Die M\xF6glichkeiten und Grenzen der verschiedenen Speichersystemarten\ - \ SOLLTEN f\xFCr die Verantwortlichen der Institution transparent dargestellt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - ref_id: SYS.1.8.A8.4 - description: "Die Entscheidungskriterien f\xFCr eine Speicherl\xF6sung SOLLTEN\ - \ nachvollziehbar dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 - ref_id: SYS.1.8.A8.5 - description: "Ebenso SOLLTE die Entscheidung f\xFCr die Auswahl einer Speicherl\xF6\ - sung nachvollziehbar dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A9 - name: "Auswahl von Liefernden f\xFCr eine Speicherl\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - ref_id: SYS.1.8.A9.1 - description: "Anhand der spezifizierten Anforderungen an eine Speicherl\xF6\ - sung SOLLTEN geeignete Liefernde ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - ref_id: SYS.1.8.A9.2 - description: Die Auswahlkriterien und die Entscheidung SOLLTEN nachvollziehbar - dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - ref_id: SYS.1.8.A9.3 - description: "Au\xDFerdem SOLLTEN Aspekte der Wartung und Instandhaltung schriftlich\ - \ in sogenannten Service-Level-Agreements (SLAs) festgehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - ref_id: SYS.1.8.A9.4 - description: Die SLAs SOLLTEN eindeutig und quantifizierbar sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 - ref_id: SYS.1.8.A9.5 - description: Es SOLLTE genau geregelt werden, wann der Vertrag mit den Liefernden - endet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A10 - name: Erstellung und Pflege eines Betriebshandbuchs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 - ref_id: SYS.1.8.A10.1 - description: Es SOLLTE ein Betriebshandbuch erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 - ref_id: SYS.1.8.A10.2 - description: "Darin SOLLTEN alle Regelungen, Anforderungen und Einstellungen\ - \ dokumentiert werden, die erforderlich sind, um Speicherl\xF6sungen zu betreiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 - ref_id: SYS.1.8.A10.3 - description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A11 - name: "Sicherer Betrieb einer Speicherl\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 - ref_id: SYS.1.8.A11.1 - description: "Das Speichersystem SOLLTE hinsichtlich der Verf\xFCgbarkeit der\ - \ internen Anwendungen, der Systemauslastung sowie kritischer Ereignisse \xFC\ - berwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 - ref_id: SYS.1.8.A11.2 - description: "Weiterhin SOLLTEN f\xFCr Speicherl\xF6sungen feste Wartungsfenster\ - \ definiert werden, in denen \xC4nderungen durchgef\xFChrt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 - ref_id: SYS.1.8.A11.3 - description: "Insbesondere Firmware- oder Betriebssystemupdates von Speichersystemen\ - \ oder den Netzkomponenten einer Speicherl\xF6sung SOLLTEN ausschlie\xDFlich\ - \ innerhalb eines solchen Wartungsfensters durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A13 - name: "\xDCberwachung und Verwaltung von Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 - ref_id: SYS.1.8.A13.1 - description: "Speicherl\xF6sungen SOLLTEN \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 - ref_id: SYS.1.8.A13.2 - description: "Dabei SOLLTEN alle erhobenen Daten (Nachrichten) vorrangig daraufhin\ - \ gepr\xFCft werden, ob die Vorgaben des Betriebshandbuchs eingehalten werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 - ref_id: SYS.1.8.A13.3 - description: Die wesentlichen Nachrichten SOLLTEN mit Nachrichtenfilter herausgefiltert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 - ref_id: SYS.1.8.A13.4 - description: "Einzelne Komponenten der Speicherl\xF6sung und des Gesamtsystems\ - \ SOLLTEN zentral verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A14 - name: Absicherung eines SANs durch Segmentierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.1 - description: Ein SAN SOLLTE segmentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.2 - description: Es SOLLTE ein Konzept erarbeitet werden, das die SAN-Ressourcen - den jeweiligen Servern zuordnet. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.3 - description: "Hierf\xFCr SOLLTE anhand der Sicherheitsanforderungen und des\ - \ Administrationsaufwands entschieden werden, welche Segmentierung in welcher\ - \ Implementierung (z. B. FC-SANs oder iSCSI-Speichernetze) eingesetzt werden\ - \ soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.4 - description: "Die aktuelle Ressourcenzuordnung SOLLTE mithilfe von Verwaltungswerkzeugen\ - \ einfach und \xFCbersichtlich erkennbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.5 - description: Weiterhin SOLLTE die aktuelle Zoning-Konfiguration dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 - ref_id: SYS.1.8.A14.6 - description: "Die Dokumentation SOLLTE auch in Notf\xE4llen verf\xFCgbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A15 - name: "Sichere Trennung von Mandanten in Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.1 - description: "Es SOLLTE definiert und nachvollziehbar dokumentiert werden, welche\ - \ Anforderungen die Institution an die Mandantenf\xE4higkeit einer Speicherl\xF6\ - sung stellt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.2 - description: "Die eingesetzten Speicherl\xF6sungen SOLLTEN diese dokumentierten\ - \ Anforderungen erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.3 - description: Im Block-Storage-Umfeld SOLLTE LUN Masking eingesetzt werden, um - Mandanten voneinander zu trennen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.4 - description: "In Fileservice-Umgebungen SOLLTE es m\xF6glich sein, mit virtuellen\ - \ Fileservern zu agieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.5 - description: Dabei SOLLTE jedem Mandanten ein eigener Fileservice zugeordnet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.6 - description: "Beim Einsatz von IP oder iSCSI SOLLTEN die Mandanten \xFCber eine\ - \ Segmentierung im Netz voneinander getrennt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 - ref_id: SYS.1.8.A15.7 - description: Wird Fibre Channel eingesetzt, SOLLTE mithilfe von VSANs und Soft-Zoning - separiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A16 - name: "Sicheres L\xF6schen in SAN-Umgebungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16 - ref_id: SYS.1.8.A16.1 - description: "In mandantenf\xE4higen Speichersystemen SOLLTE sichergestellt\ - \ werden, dass Logical Unit Numbers (LUNs), die einem bestimmten Mandanten\ - \ zugeordnet sind, gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A17 - name: Dokumentation der Systemeinstellungen von Speichersystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - ref_id: SYS.1.8.A17.1 - description: Alle Systemeinstellungen von Speichersystemen SOLLTEN dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - ref_id: SYS.1.8.A17.2 - description: Die Dokumentation SOLLTE die technischen und organisatorischen - Vorgaben sowie alle spezifischen Konfigurationen der Speichersysteme der Institution - enthalten. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - ref_id: SYS.1.8.A17.3 - description: "Sofern die Dokumentation der Systemeinstellungen vertrauliche\ - \ Informationen beinhaltet, SOLLTEN diese vor unberechtigtem Zugriff gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - ref_id: SYS.1.8.A17.4 - description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 - ref_id: SYS.1.8.A17.5 - description: Sie SOLLTE immer aktuell sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A18 - name: Sicherheitsaudits und Berichtswesen bei Speichersystemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 - ref_id: SYS.1.8.A18.1 - description: "Alle eingesetzten Speichersysteme SOLLTEN regelm\xE4\xDFig auditiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 - ref_id: SYS.1.8.A18.2 - description: "Daf\xFCr SOLLTE ein entsprechender Prozess eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 - ref_id: SYS.1.8.A18.3 - description: "Es SOLLTE geregelt werden, welche Sicherheitsreports mit welchen\ - \ Inhalten regelm\xE4\xDFig zu erstellen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 - ref_id: SYS.1.8.A18.4 - description: "Zudem SOLLTE auch geregelt werden, wie mit Abweichungen von Vorgaben\ - \ umgegangen wird und wie oft und in welcher Tiefe Audits durchgef\xFChrt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A19 - name: "Aussonderung von Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 - ref_id: SYS.1.8.A19.1 - description: "Werden ganze Speicherl\xF6sungen oder einzelne Komponenten einer\ - \ Speicherl\xF6sung nicht mehr ben\xF6tigt, SOLLTEN alle darauf vorhandenen\ - \ Daten auf andere Speicherl\xF6sungen \xFCbertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 - ref_id: SYS.1.8.A19.2 - description: "Hierf\xFCr SOLLTE eine \xDCbergangsphase eingeplant werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 - ref_id: SYS.1.8.A19.3 - description: "Anschlie\xDFend SOLLTEN alle Nutzdaten und Konfigurationsdaten\ - \ sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 - ref_id: SYS.1.8.A19.4 - description: "Aus allen relevanten Dokumenten SOLLTEN alle Verweise auf die\ - \ au\xDFer Betrieb genommene Speicherl\xF6sung entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A20 - name: "Notfallvorsorge und Notfallreaktion f\xFCr Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.1 - description: "Es SOLLTE ein Notfallplan f\xFCr die eingesetzte Speicherl\xF6\ - sung erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.2 - description: Der Notfallplan SOLLTE genau beschreiben, wie in bestimmten Notfallsituationen - vorzugehen ist. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.3 - description: "Auch SOLLTEN Handlungsanweisungen in Form von Ma\xDFnahmen und\ - \ Kommandos enthalten sein, die die Fehleranalyse und Fehlerkorrektur unterst\xFC\ - tzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.4 - description: Um Fehler zu beheben, SOLLTEN geeignete Werkzeuge eingesetzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.5 - description: "Regelm\xE4\xDFige \xDCbungen und Tests SOLLTEN anhand des Notfallplans\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 - ref_id: SYS.1.8.A20.6 - description: "Nach den \xDCbungen und Tests sowie nach einem tats\xE4chlichen\ - \ Notfall SOLLTEN die dabei erzeugten Daten sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A21 - name: Einsatz von Speicherpools zur Trennung von Mandanten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 - ref_id: SYS.1.8.A21.1 - description: Mandanten SOLLTEN Speicherressourcen aus unterschiedlichen sogenannten - Speicherpools zugewiesen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 - ref_id: SYS.1.8.A21.2 - description: Dabei SOLLTE ein Speichermedium immer nur einem einzigen Pool zugewiesen - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 - ref_id: SYS.1.8.A21.3 - description: Die logischen Festplatten (LUNs), die aus einem solchen Pool generiert - werden, SOLLTEN nur einem einzigen Mandanten zugeordnet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A22 - name: "Einsatz einer hochverf\xFCgbaren SAN-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 - ref_id: SYS.1.8.A22.1 - description: "Eine hochverf\xFCgbare SAN-L\xF6sung SOLLTE eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 - ref_id: SYS.1.8.A22.2 - description: "Die eingesetzten Replikationsmechanismen SOLLTEN den Verf\xFC\ - gbarkeitsanforderungen der Institution an die Speicherl\xF6sung entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 - ref_id: SYS.1.8.A22.3 - description: "Auch die Konfiguration der Speicherl\xF6sung SOLLTE den Verf\xFC\ - gbarkeitsanforderungen gerecht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 - ref_id: SYS.1.8.A22.4 - description: "Au\xDFerdem SOLLTE ein Test- und Konsolidierungssystem vorhanden\ - \ sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A23 - name: "Einsatz von Verschl\xFCsselung f\xFCr Speicherl\xF6sungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 - ref_id: SYS.1.8.A23.1 - description: "Alle in Speicherl\xF6sungen abgelegten Daten SOLLTEN verschl\xFC\ - sselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 - ref_id: SYS.1.8.A23.2 - description: "Es SOLLTE festgelegt werden, auf welchen Ebenen (Data-in-Motion\ - \ und Data-at-Rest) verschl\xFCsselt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 - ref_id: SYS.1.8.A23.3 - description: "Dabei SOLLTE beachtet werden, dass die Verschl\xFCsselung auf\ - \ dem Transportweg auch bei Replikationen und Backup-Traffic relevant ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A24 - name: "Sicherstellung der Integrit\xE4t der SAN-Fabric" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - ref_id: SYS.1.8.A24.1 - description: "Um die Integrit\xE4t der SAN-Fabric sicherzustellen, SOLLTEN Protokolle\ - \ mit zus\xE4tzlichen Sicherheitsmerkmalen eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - ref_id: SYS.1.8.A24.2 - description: "Bei den folgenden Protokollen SOLLTEN deren Sicherheitseigenschaften\ - \ ber\xFCcksichtigt und entsprechende Konfigurationen verwendet werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - ref_id: SYS.1.8.A24.3 - description: "\u2022 Diffie Hellman Challenge Handshake Authentication Protocol\ - \ (DH-CHAP)," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - ref_id: SYS.1.8.A24.4 - description: "\u2022 Fibre Channel Authentication Protocol (FCAP) und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 - ref_id: SYS.1.8.A24.5 - description: "\u2022 Fibre Channel Password Authentication Protocol (FCPAP)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A25 - name: "Mehrfaches \xDCberschreiben der Daten einer LUN" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25 - ref_id: SYS.1.8.A25.1 - description: "In SAN-Umgebungen SOLLTEN Daten gel\xF6scht werden, indem die\ - \ zugeh\xF6rigen Speichersegmente einer LUN mehrfach \xFCberschrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 - ref_id: SYS.1.8.A26 - name: Absicherung eines SANs durch Hard-Zoning - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26 - ref_id: SYS.1.8.A26.1 - description: Um SANs zu segmentieren, SOLLTE Hard-Zoning eingesetzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.1.9 - name: 'Terminalserver ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A1 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Terminalservern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.1 - description: "F\xFCr den Einsatz von Terminalservern MUSS eine Sicherheitsrichtlinie\ - \ erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.2 - description: "Bei der Erstellung der Sicherheitsrichtlinie M\xDCSSEN mindestens\ - \ folgende Punkte ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.3 - description: "\u2022 Anwendungen, die auf Terminalservern bereitgestellt werden\ - \ d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.4 - description: "\u2022 Anwendungen, die gemeinsam auf Terminalservern bereitgestellt\ - \ werden d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.5 - description: "\u2022 Anforderungen an die Sicherheit von Clients, auf denen\ - \ die Terminal-Client-Software ausgef\xFChrt wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.6 - description: "\u2022 physisches Umfeld, in dem die Clients eingesetzt werden\ - \ d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.7 - description: "\u2022 Netze, aus denen heraus Kommunikationsverbindungen zu den\ - \ Terminalservern initiiert werden d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.8 - description: "\u2022 Netze, in die Anwendungen auf den Terminalservern kommunizieren\ - \ d\xFCrfen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.9 - description: "\u2022 Kommunikationsprotokolle, die zwischen Clients und Terminalservern\ - \ erlaubt sind," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.10 - description: "\u2022 Verschl\xFCsselungsmechanismen und Authentisierungsmethoden,\ - \ die zwischen Clients und Terminalservern zu benutzen sind," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.11 - description: "\u2022 M\xF6glichkeiten, wie Dateien und Anwendungsdaten zus\xE4\ - tzlich zur Bildschirmausgabe \xFCber das Terminalserver-Protokoll \xFCbertragen\ - \ werden d\xFCrfen sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 - ref_id: SYS.1.9.A1.12 - description: "\u2022 Peripherieger\xE4te, die neben Ein- und Ausgabeger\xE4\ - ten zus\xE4tzlich an den Client angebunden werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A2 - name: Planung des Einsatzes von Terminalservern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.1 - description: "F\xFCr die Anwendungen, die auf einem Terminalserver bereitgestellt\ - \ werden sollen, M\xDCSSEN die Anforderungen an die Funktionalit\xE4t (Anforderungsprofil)\ - \ ermittelt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.2 - description: "F\xFCr alle ben\xF6tigten Funktionen MUSS sichergestellt werden,\ - \ dass diese tats\xE4chlich auch \xFCber den Terminalserver abgerufen werden\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.3 - description: "Dar\xFCber hinaus MUSS getestet werden, ob die Anwendungen die\ - \ Anforderungen bei der Bereitstellung \xFCber den Terminalserver grundlegend\ - \ erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.4 - description: Die Gesamtzahl der einzurichtenden Benutzenden MUSS prognostiziert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.5 - description: "Dabei M\xDCSSEN alle Anwendungen mitgez\xE4hlt werden, die auf\ - \ dem Terminalserver bereitgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.6 - description: Die Anzahl der Benutzenden, die den Terminalserver potenziell gleichzeitig - benutzen, MUSS prognostiziert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.7 - description: "Diese Prognosen M\xDCSSEN den Einsatzzeitraum des Terminalservers\ - \ abdecken." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.8 - description: "Abh\xE4ngig von der prognostizierten Anzahl der Benutzenden und\ - \ den Anforderungen der bereitgestellten Anwendungen M\xDCSSEN die Leistungsanforderungen\ - \ (z. B. hinsichtlich CPU und Arbeitsspeicher) an den Terminalserver ermittelt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.9 - description: Der Terminalserver MUSS anhand dieser Leistungsanforderungen dimensioniert - und ausgestattet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 - ref_id: SYS.1.9.A2.10 - description: "Das Lizenzschema der eingesetzten Anwendungen MUSS daraufhin gepr\xFC\ - ft werden, ob es daf\xFCr geeignet ist, diese Anwendungen auf Terminalservern\ - \ einzusetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A3 - name: "Festlegung der Rollen und Berechtigungen f\xFCr den Terminalserver" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.1 - description: "Auf Terminalservern D\xDCRFEN KEINE Sammelkonten verwendet werden,\ - \ wenn dies gegen interne Regelungen oder Lizenzbedingungen verst\xF6\xDF\ - t." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.2 - description: "Bei der Festlegung von Rollen und Berechtigungen f\xFCr die Benutzung\ - \ des Terminalservers M\xDCSSEN alle auf dem Terminalserver bereitgestellten\ - \ Anwendungen und deren Anforderungen mit ausreichenden Berechtigungen ausgestattet\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.3 - description: "Die Rollen und Berechtigungen M\xDCSSEN so vergeben werden, dass\ - \ zwischen Terminalserver-Sitzungen nur in dem Umfang kommuniziert werden\ - \ kann, wie es f\xFCr die Funktionalit\xE4t der Anwendung erforderlich ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.4 - description: "Mindestens M\xDCSSEN die Berechtigungen f\xFCr folgende T\xE4\ - tigkeiten festgelegt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.5 - description: "\u2022 Ausf\xFChren von Anwendungen in fremdem Kontext (insbesondere\ - \ als \u201Eroot\u201C)," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.6 - description: "\u2022 Zugriff auf betriebssystemspezifische Funktionen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.7 - description: "\u2022 Zugriff auf das Dateisystem des Terminalservers," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.8 - description: "\u2022 Zugriff auf Schnittstellen und Dateisystem des verwendeten\ - \ zugreifenden Clients," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.9 - description: "\u2022 Zugriff der auf dem Terminalserver bereitgestellten Anwendungen\ - \ auf nachgelagerte Dienste," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.10 - description: "\u2022 Datei- und Objekttransfer zwischen Clients und Terminalservern\ - \ (z. B. zum Drucken am Client) sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 - ref_id: SYS.1.9.A3.11 - description: "\u2022 Anbindung von Peripherieger\xE4ten am Client." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A4 - name: Sichere Konfiguration des Terminalservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.1 - description: "Abh\xE4ngig von den Anforderungen an die Sicherheit und Funktionalit\xE4\ - t der bereitgestellten Anwendungen M\xDCSSEN Vorgaben f\xFCr die Konfiguration\ - \ von Terminalservern erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.2 - description: "Diese Vorgaben M\xDCSSEN vollst\xE4ndig umgesetzt und dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.3 - description: "Es MUSS gepr\xFCft werden, ob das Unternehmen, das den Terminalserver\ - \ herstellt, Vorgaben oder Empfehlungen zur sicheren Konfiguration oder H\xE4\ - rtung bereitstellt." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.4 - description: "Ist dies der Fall, M\xDCSSEN diese f\xFCr die Erstellung der Konfigurationsvorgaben\ - \ angemessen ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.5 - description: "Sowohl die Konfigurationsvorgaben als auch deren Umsetzung M\xDC\ - SSEN regelm\xE4\xDFig gepr\xFCft und gegebenenfalls angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.6 - description: "Es M\xDCSSEN mindestens folgende Punkte f\xFCr die Konfigurationsvorgaben\ - \ ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.7 - description: "\u2022 Rollen und Berechtigungen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.8 - description: "\u2022 Umfang der Verschl\xFCsselung des Terminalserver-Protokolls" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.9 - description: "\u2022 ben\xF6tigte Authentisierungsfunktionen des Terminalserver-Protokolls" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.10 - description: "\u2022 M\xF6glichkeit zum Anzeigen der Ausgabe fremder Sitzungen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.11 - description: "\u2022 Kommunikation zwischen Anwendungen in den Terminalserver-Sitzungen\ - \ und Anwendungen auf anderen Servern" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 - ref_id: SYS.1.9.A4.12 - description: "\u2022 Kommunikation zwischen Terminalserver und anderen Servern" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A5 - name: Planung der eingesetzten Clients und Terminal-Client-Software - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.1 - description: "Es MUSS festgelegt werden, \xFCber welche Terminal-Client-Software\ - \ auf den Terminalserver zugegriffen werden darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.2 - description: "Zus\xE4tzlich MUSS festgelegt werden, auf welchen Clients diese\ - \ Software ausgef\xFChrt werden darf, um sich mit dem Terminalserver zu verbinden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.3 - description: "Hierbei M\xDCSSEN mindestens die folgenden Punkte ber\xFCcksichtigt\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.4 - description: "\u2022 Einsatz von Thin Clients oder Fat Clients," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.5 - description: "\u2022 Hardware-Konfiguration der zugreifenden Clients sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.6 - description: "\u2022 Betriebssystem der zugreifenden Clients." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.7 - description: "Es MUSS festgelegt werden, welche Software neben der Terminal-Client-Software\ - \ zus\xE4tzlich auf den Clients zugelassen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 - ref_id: SYS.1.9.A5.8 - description: "Zus\xE4tzlich MUSS festgelegt werden, ob ein Client parallel Anwendungen\ - \ auf unterschiedlichen Terminalservern benutzen darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A6 - name: Planung der verwendeten Netze - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.1 - description: "Die Netze, \xFCber die Clients mit Terminalservern kommunizieren,\ - \ M\xDCSSEN anhand der Anforderungen der bereitgestellten Anwendungen geplant\ - \ und gegebenenfalls angepasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.2 - description: "Hierbei M\xDCSSEN mindestens folgende Punkte ber\xFCcksichtigt\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.3 - description: "\u2022 zu erwartende Anzahl gleichzeitiger Terminalserver-Sitzungen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.4 - description: "\u2022 ben\xF6tigte \xDCbertragungskapazit\xE4t," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.5 - description: "\u2022 maximal vertretbarer Paketverlust," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.6 - description: "\u2022 maximal vertretbarer Jitter sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 - ref_id: SYS.1.9.A6.7 - description: "\u2022 maximal tolerierbare Latenzzeit des Netzes." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A7 - name: Sicherer Zugriff auf den Terminalserver - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - ref_id: SYS.1.9.A7.1 - description: "Es MUSS festgelegt werden, \xFCber welche Netze zwischen zugreifendem\ - \ Client und Terminalserver kommuniziert werden darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - ref_id: SYS.1.9.A7.2 - description: "Zus\xE4tzlich MUSS festgelegt werden, wie die Kommunikation abgesichert\ - \ werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - ref_id: SYS.1.9.A7.3 - description: "Es MUSS festgelegt werden, ob und wie mit dem Terminalserver-Protokoll\ - \ verschl\xFCsselt werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - ref_id: SYS.1.9.A7.4 - description: "Falls das Terminalserver-Protokoll in diesem Fall keine ausreichende\ - \ Verschl\xFCsselung bietet, MUSS die Kommunikation zus\xE4tzlich abgesichert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 - ref_id: SYS.1.9.A7.5 - description: "Falls die Clients und der Terminalserver \xFCber unzureichend\ - \ vertrauensw\xFCrdige Netze kommunizieren, M\xDCSSEN sich sowohl die Benutzenden\ - \ als auch der Terminalserver beim Kommunikationsaufbau authentisieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A8 - name: Sichere Zuordnung des Terminalservers zu Netzsegmenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 - ref_id: SYS.1.9.A8.1 - description: Der Terminalserver MUSS in dedizierten Netzsegmenten oder in Client-Netzsegmenten - positioniert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 - ref_id: SYS.1.9.A8.2 - description: "Innerhalb von Client-Netzsegmenten M\xDCSSEN Terminalserver identifizierbar\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 - ref_id: SYS.1.9.A8.3 - description: "Eine bestehende Netztrennung DARF NICHT \xFCber einen Terminalserver\ - \ umgangen werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A9 - name: Sensibilisierung der Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.1 - description: "Alle Benutzenden von Terminalservern M\xDCSSEN \xFCber den sicheren\ - \ Umgang mit Terminalservern sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.2 - description: "Den Benutzenden M\xDCSSEN mindestens die folgenden Inhalte vermittelt\ - \ werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.3 - description: "\u2022 grunds\xE4tzliche Funktionsweise und die Auswirkungen von\ - \ Latenz und verf\xFCgbarer Bandbreite auf die Bedienbarkeit" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.4 - description: "\u2022 m\xF6gliche und erlaubte Speicherorte von Daten" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.5 - description: "\u2022 zugelassene Austauschm\xF6glichkeiten von Informationen\ - \ zwischen dem Betriebssystem des Clients und dem Terminalserver (z. B. Zwischenablage)" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.6 - description: "\u2022 Auswirkung des eigenen Ressourcenverbrauchs auf die zur\ - \ Verf\xFCgung stehenden Ressourcen f\xFCr andere Benutzende" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.7 - description: "\u2022 eingerichtete Rollen und Berechtigungen f\xFCr Terminalserver-Zugriffe" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.8 - description: "\u2022 genutzte Authentisierung und Autorisierung der Benutzenden\ - \ f\xFCr die zur Verf\xFCgung gestellten Anwendungen" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 - ref_id: SYS.1.9.A9.9 - description: "\u2022 maximale Sitzungsdauer und automatische Abmeldevorg\xE4\ - nge" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A10 - name: "Einsatz eines zentralen Identit\xE4ts- und Berechtigungsmanagements f\xFC\ - r Terminalserver" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10 - ref_id: SYS.1.9.A10.1 - description: "F\xFCr die Benutzung von Terminalservern SOLLTE ein zentrales\ - \ System zum Identit\xE4ts- und Berechtigungsmanagement eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A11 - name: Sichere Konfiguration von Profilen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 - ref_id: SYS.1.9.A11.1 - description: "Benutzende SOLLTEN ihre spezifischen Einstellungen (Benutzendenprofile)\ - \ NICHT derart \xE4ndern d\xFCrfen, dass die Informationssicherheit oder die\ - \ Nutzung des Terminalservers eingeschr\xE4nkt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 - ref_id: SYS.1.9.A11.2 - description: "F\xFCr die Benutzendenprofile SOLLTE eine geeignete maximale Gr\xF6\ - \xDFe festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 - ref_id: SYS.1.9.A11.3 - description: "Wenn Verb\xFCnde aus Terminalservern eingesetzt werden, SOLLTEN\ - \ die Benutzendenprofile zentral abgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A12 - name: Automatisches Beenden inaktiver Sitzungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 - ref_id: SYS.1.9.A12.1 - description: Inaktive Sitzungen auf Terminalservern SOLLTEN nach einem vordefinierten - Zeitraum beendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 - ref_id: SYS.1.9.A12.2 - description: "Der Zeitraum, w\xE4hrend dessen eine Sitzung maximal aktiv bleiben\ - \ soll, SOLLTE abh\xE4ngig von der jeweiligen Benutzendengruppe festgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 - ref_id: SYS.1.9.A12.3 - description: "Falls eine Sitzung automatisch beendet wird, SOLLTEN die Betroffenen\ - \ dar\xFCber benachrichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 - ref_id: SYS.1.9.A12.4 - description: "Wenn eine Sitzung beendet wird, SOLLTE auch der oder die Benutzende\ - \ automatisch vom Betriebssystem des Terminalservers abgemeldet werden, sofern\ - \ die Sitzung am Betriebssystem nicht weiterhin f\xFCr laufende Anwendungen\ - \ ben\xF6tigt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A13 - name: Protokollierung bei Terminalservern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - ref_id: SYS.1.9.A13.1 - description: "F\xFCr die Terminalserver SOLLTE entschieden werden, welche Ereignisse\ - \ an eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ - \ \xFCbermittelt werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - ref_id: SYS.1.9.A13.2 - description: 'Hierbei SOLLTEN mindestens die folgenden spezifischen Ereignisse - an Terminalservern protokolliert werden:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - ref_id: SYS.1.9.A13.3 - description: "\u2022 Anbindung von Peripherieger\xE4ten der zugreifenden Clients\ - \ \xFCber das Terminalserver-Protokoll," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - ref_id: SYS.1.9.A13.4 - description: "\u2022 Aktionen auf dem Terminalserver durch zugreifende Clients,\ - \ die erweiterte Rechte ben\xF6tigen sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 - ref_id: SYS.1.9.A13.5 - description: "\u2022 Konfigurations\xE4nderungen mit Auswirkungen auf den Terminalserver-Dienst." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A14 - name: Monitoring des Terminalservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.1 - description: "Der Terminalserver SOLLTE zentral \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.2 - description: "Hierf\xFCr SOLLTEN mindestens folgende Parameter \xFCberwacht\ - \ werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.3 - description: "\u2022 Auslastung der Ressourcen des Terminalservers," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.4 - description: "\u2022 Auslastung der Netzschnittstellen des Terminalservers," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.5 - description: "\u2022 verf\xFCgbare und genutzte Bandbreite der verbundenen Clients\ - \ sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.6 - description: "\u2022 Latenz an den verbundenen Clients unter Ber\xFCcksichtigung\ - \ der jeweiligen Anforderungsprofile." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.7 - description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ - \ ermittelt werden (Baselining)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 - ref_id: SYS.1.9.A14.8 - description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ - \ bei Bedarf angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A15 - name: "H\xE4rtung des Terminalservers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 - ref_id: SYS.1.9.A15.1 - description: "Nicht ben\xF6tigte Anwendungen auf dem Terminalserver SOLLTEN\ - \ entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 - ref_id: SYS.1.9.A15.2 - description: "Ist das nicht m\xF6glich, SOLLTE deren Ausf\xFChrung unterbunden\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 - ref_id: SYS.1.9.A15.3 - description: "Der Zugriff aus einer Sitzung auf Peripherieger\xE4te SOLLTE auf\ - \ die ben\xF6tigten Ger\xE4te eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A16 - name: Optimierung der Kompression - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 - ref_id: SYS.1.9.A16.1 - description: "Der Grad der Kompression bei der \xDCbertragung der Daten von\ - \ und zum Terminalserver SOLLTE entsprechend der Anforderungen der jeweiligen\ - \ Anwendung an die grafische Qualit\xE4t optimiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 - ref_id: SYS.1.9.A16.2 - description: "Die Anforderungen der bereitgestellten Anwendungen an Genauigkeit\ - \ von grafischen Elementen, an Farbtreue und die f\xFCr die Nutzung notwendige\ - \ Bildrate SOLLTEN ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A17 - name: "Verschl\xFCsselung der \xDCbertragung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 - ref_id: SYS.1.9.A17.1 - description: "Jegliche Kommunikation zwischen Client und Terminalserver SOLLTE\ - \ geeignet verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 - ref_id: SYS.1.9.A17.2 - description: "Dabei SOLLTEN sichere Protokolle gem\xE4\xDF BSI TR-02102 verwendet\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A18 - name: Nutzung von Thin Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 - ref_id: SYS.1.9.A18.1 - description: Physische Thin Clients SOLLTEN verwendet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 - ref_id: SYS.1.9.A18.2 - description: Es SOLLTEN NUR Thin Clients eingesetzt werden, die das Unternehmen, - das die Terminal-Client-Software herstellt, als kompatibel ausgewiesen hat. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A19 - name: Erweitertes Monitoring des Terminalservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 - ref_id: SYS.1.9.A19.1 - description: "F\xFCr den Terminalserver SOLLTE kontinuierlich \xFCberwacht werden,\ - \ ob die in SYS.1.9.A13 Protokollierung bei Terminalservern beschriebenen\ - \ Ereignisse auftreten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 - ref_id: SYS.1.9.A19.2 - description: Wird ein Security Information and Event Management (SIEM) genutzt, - SOLLTE der Terminalserver darin eingebunden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 - ref_id: SYS.1.9.A19.3 - description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse hinsichtlich Anomalien\ - \ inklusive Angriffsmustern automatisiert analysiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 - ref_id: SYS.1.9.A19.4 - description: "Der Terminalserver SOLLTE regelm\xE4\xDFig auf Schwachstellen\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A20 - name: "Unterschiedliche Terminalserver f\xFCr unterschiedliche Gruppen von Benutzenden\ - \ oder Gesch\xE4ftsprozesse" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 - ref_id: SYS.1.9.A20.1 - description: "Die Benutzenden von Terminalservern SOLLTEN anhand \xE4hnlicher\ - \ Berechtigungen und ben\xF6tigter Anwendungen gruppiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 - ref_id: SYS.1.9.A20.2 - description: "Ein Terminalserver SOLLTE NICHT mehreren Gruppen von Benutzenden\ - \ zur Verf\xFCgung gestellt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 - ref_id: SYS.1.9.A20.3 - description: "Ist dies nicht m\xF6glich, SOLLTEN dedizierte Terminalserver pro\ - \ Gesch\xE4ftsprozess eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A21 - name: "Nutzung hochverf\xFCgbarer IT-Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 - ref_id: SYS.1.9.A21.1 - description: "Der Terminalserver SOLLTE hochverf\xFCgbar betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 - ref_id: SYS.1.9.A21.2 - description: Dazu SOLLTEN der Terminalserver sowie dessen Netzanbindung redundant - ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 - ref_id: SYS.1.9.A21.3 - description: Die verwendeten Terminalserver SOLLTEN im Verbund betrieben werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 - ref_id: SYS.1.9.A21.4 - description: "F\xFCr die zugreifenden Clients SOLLTEN Ersatzger\xE4te bereitgehalten\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 - ref_id: SYS.1.9.A22 - name: Unterbinden des Transfers von Anwendungsdaten zwischen Client und Terminalserver - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 - ref_id: SYS.1.9.A22.1 - description: Der Transfer von Anwendungsdaten zwischen dem Client und dem Terminalserver - SOLLTE deaktiviert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 - ref_id: SYS.1.9.A22.2 - description: Auch der Transfer der Zwischenablage SOLLTE deaktiviert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.1 - name: Allgemeiner Client - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A1 - name: Sichere Authentisierung von Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - ref_id: SYS.2.1.A1.1 - description: "Um den Client zu nutzen, M\xDCSSEN sich die Benutzenden gegen\xFC\ - ber dem IT-System authentisieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - ref_id: SYS.2.1.A1.2 - description: "Benutzende M\xDCSSEN eine Bildschirmsperre verwenden, wenn sie\ - \ den Client unbeaufsichtigt betreiben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - ref_id: SYS.2.1.A1.3 - description: "Die Bildschirmsperre SOLLTE automatisch aktiviert werden, wenn\ - \ f\xFCr eine festgelegte Zeitspanne keine Aktion durch Benutzende durchgef\xFC\ - hrt wurde." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - ref_id: SYS.2.1.A1.4 - description: "Die Bildschirmsperre DARF NUR durch eine erfolgreiche Authentisierung\ - \ wieder deaktiviert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 - ref_id: SYS.2.1.A1.5 - description: "Benutzende SOLLTEN verpflichtet werden, sich nach Aufgabenerf\xFC\ - llung vom IT-System bzw. von der IT-Anwendung abzumelden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A3 - name: Aktivieren von Autoupdate-Mechanismen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 - ref_id: SYS.2.1.A3.1 - description: "Automatische Update-Mechanismen (Autoupdate) M\xDCSSEN aktiviert\ - \ werden, sofern nicht andere Mechanismen wie regelm\xE4\xDFige manuelle Wartung\ - \ oder ein zentrales Softwareverteilungssystem f\xFCr Updates eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 - ref_id: SYS.2.1.A3.2 - description: "Wenn f\xFCr Autoupdate-Mechanismen ein Zeitintervall vorgegeben\ - \ werden kann, SOLLTE mindestens t\xE4glich automatisch nach Updates gesucht\ - \ und diese installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A6 - name: Einsatz von Schutzprogrammen gegen Schadsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.1 - description: "Abh\xE4ngig vom installierten Betriebssystem und von anderen vorhandenen\ - \ Schutzmechanismen des Clients MUSS gepr\xFCft werden, ob Schutzprogramme\ - \ gegen Schadsoftware eingesetzt werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.2 - description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein solcher\ - \ Schutz notwendig ist, aus den spezifischen Betriebssystem-Bausteinen des\ - \ IT-Grundschutz-Kompendiums ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.3 - description: "Schutzprogramme auf den Clients M\xDCSSEN so konfiguriert sein,\ - \ dass Benutzende weder sicherheitsrelevante \xC4nderungen an den Einstellungen\ - \ vornehmen noch die Schutzprogramme deaktivieren k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.4 - description: "Das Schutzprogramm MUSS nach Schadsoftware suchen, wenn Dateien\ - \ ausgetauscht oder \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.5 - description: "Der gesamte Datenbestand eines Clients MUSS regelm\xE4\xDFig auf\ - \ Schadsoftware gepr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 - ref_id: SYS.2.1.A6.6 - description: Wenn ein Client infiziert ist, MUSS im Offlinebetrieb untersucht - werden, ob ein gefundenes Schadprogramm bereits vertrauliche Daten gesammelt, - Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A8 - name: Absicherung des Bootvorgangs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.1 - description: "Der Startvorgang des IT-Systems (\u201EBooten\u201C) MUSS gegen\ - \ Manipulation abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.2 - description: Es MUSS festgelegt werden, von welchen Medien gebootet werden darf. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.3 - description: "Es SOLLTE entschieden werden, ob und wie der Bootvorgang kryptografisch\ - \ gesch\xFCtzt werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.4 - description: "Es MUSS sichergestellt werden, dass nur Administrierende die Clients\ - \ von einem anderen als den voreingestellten Laufwerken oder externen Speichermedien\ - \ booten k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.5 - description: "NUR Administrierende D\xDCRFEN von wechselbaren oder externen\ - \ Speichermedien booten k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.6 - description: "Die Konfigurationseinstellungen des Bootvorgangs D\xDCRFEN NUR\ - \ durch Administrierende ver\xE4ndert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 - ref_id: SYS.2.1.A8.7 - description: "Alle nicht ben\xF6tigten Funktionen in der Firmware des Client-Systems\ - \ M\xDCSSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A9 - name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 - ref_id: SYS.2.1.A9.1 - description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution - SOLLTEN die Anforderungen an allgemeine Clients konkretisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 - ref_id: SYS.2.1.A9.2 - description: "Die Richtlinie SOLLTE allen Benutzenden sowie allen Personen,\ - \ die an der Beschaffung und dem Betrieb der Clients beteiligt sind, bekannt\ - \ und Grundlage f\xFCr deren Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 - ref_id: SYS.2.1.A9.3 - description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ - \ regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 - ref_id: SYS.2.1.A9.4 - description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A10 - name: Planung des Einsatzes von Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 - ref_id: SYS.2.1.A10.1 - description: Es SOLLTE im Vorfeld geplant werden, wo und wie Clients eingesetzt - werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 - ref_id: SYS.2.1.A10.2 - description: Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die typischerweise - direkt mit den Begriffen IT- oder Informationssicherheit in Verbindung gebracht - werden, sondern auch betriebliche Aspekte, die Anforderungen im Bereich der - Sicherheit nach sich ziehen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 - ref_id: SYS.2.1.A10.3 - description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ - \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ - \ nachvollzogen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A11 - name: Beschaffung von Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 - ref_id: SYS.2.1.A11.1 - description: "Bevor Clients beschafft werden, SOLLTE eine Anforderungsliste\ - \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 - ref_id: SYS.2.1.A11.2 - description: "Die jeweiligen herstellenden Unternehmen von IT- und Betriebssystem\ - \ SOLLTEN f\xFCr den gesamten geplanten Nutzungszeitraum Patches f\xFCr Schwachstellen\ - \ zeitnah zur Verf\xFCgung stellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 - ref_id: SYS.2.1.A11.3 - description: "Auf Betriebssysteme, die \xFCber ein Rolling-Release-Modell aktualisiert\ - \ werden, SOLLTE verzichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 - ref_id: SYS.2.1.A11.4 - description: "Die zu beschaffenden Systeme SOLLTEN \xFCber eine Firmware-Konfigurationsoberfl\xE4\ - che f\xFCr UEFI SecureBoot und, sofern vorhanden, f\xFCr das TPM verf\xFC\ - gen, die eine Kontrolle durch die Institution gew\xE4hrleistet und so den\ - \ selbstverwalteten Betrieb von SecureBoot und des TPM erm\xF6glicht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A13 - name: "Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ - hrung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 - ref_id: SYS.2.1.A13.1 - description: "Der Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ - hrung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche,\ - \ Firmwarebereiche etc.) SOLLTE nur mit administrativen Berechtigungen m\xF6\ - glich sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 - ref_id: SYS.2.1.A13.2 - description: "Die entsprechenden Einstellungen im BIOS bzw. der UEFI-Firmware\ - \ SOLLTEN durch ein Passwort vor unberechtigten Ver\xE4nderungen gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 - ref_id: SYS.2.1.A13.3 - description: "Wird die Kontrolle \xFCber die Funktionen an das Betriebssystem\ - \ delegiert, SOLLTEN auch dort nur mit administrativen Berechtigungen auf\ - \ die Funktionen zugegriffen werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A15 - name: Sichere Installation und Konfiguration von Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - ref_id: SYS.2.1.A15.1 - description: Es SOLLTE festgelegt werden, welche Komponenten des Betriebssystems, - welche Fachanwendungen und welche weiteren Tools installiert werden sollen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - ref_id: SYS.2.1.A15.2 - description: "Die Installation und Konfiguration der IT-Systeme SOLLTE nur von\ - \ autorisierten Personen (Administrierende oder vertraglich gebundene Dienstleistende)\ - \ nach einem definierten Prozess in einer Installationsumgebung durchgef\xFC\ - hrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - ref_id: SYS.2.1.A15.3 - description: "Nachdem die Installation und die Konfiguration abgeschlossen sind,\ - \ SOLLTEN die Grundeinstellungen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - ref_id: SYS.2.1.A15.4 - description: Sofern die Installation und Konfiguration den Vorgaben aus der - Sicherheitsrichtlinie entsprechen, SOLLTEN die Clients im Anschluss in der - Produktivumgebung in Betrieb genommen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 - ref_id: SYS.2.1.A15.5 - description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ - \ werden, dass diese durch sachkundige Dritte nachvollzogen und wiederholt\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A16 - name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten und\ - \ Kennungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.1 - description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Komponenten\ - \ der Firmware sowie des Betriebssystems und welche Anwendungen und weiteren\ - \ Tools auf den Clients installiert und aktiviert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.2 - description: "Nicht ben\xF6tigte Module, Programme, Dienste, Aufgaben und Firmwarefunktionen\ - \ (wie Fernwartung) SOLLTEN deaktiviert oder ganz deinstalliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.3 - description: "Nicht ben\xF6tigte Laufzeitumgebungen, Interpretersprachen und\ - \ Compiler SOLLTEN deinstalliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.4 - description: "Nicht ben\xF6tigte Kennungen SOLLTEN deaktiviert oder gel\xF6\ - scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.5 - description: "Nicht ben\xF6tigte Schnittstellen und Hardware des IT-Systems\ - \ (wie z. B. Webcams) SOLLTEN deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.6 - description: "Es SOLLTE verhindert werden, dass diese Komponenten wieder reaktiviert\ - \ werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 - ref_id: SYS.2.1.A16.7 - description: Die getroffenen Entscheidungen SOLLTEN nachvollziehbar dokumentiert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A18 - name: "Nutzung von verschl\xFCsselten Kommunikationsverbindungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 - ref_id: SYS.2.1.A18.1 - description: "Kommunikationsverbindungen SOLLTEN, soweit m\xF6glich, durch Verschl\xFC\ - sselung gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 - ref_id: SYS.2.1.A18.2 - description: "Die Clients SOLLTEN kryptografische Algorithmen und Schl\xFCssell\xE4\ - ngen verwenden, die dem Stand der Technik und den Sicherheitsanforderungen\ - \ der Institution entsprechen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 - ref_id: SYS.2.1.A18.3 - description: "Neue Zertifikate von Zertifikatsausstellern SOLLTEN erst nach\ - \ \xDCberpr\xFCfung des Fingerprints aktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A20 - name: Schutz der Administrationsverfahren bei Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 - ref_id: SYS.2.1.A20.1 - description: "Abh\xE4ngig davon, ob Clients lokal oder \xFCber das Netz administriert\ - \ werden, SOLLTEN geeignete Sicherheitsvorkehrungen getroffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 - ref_id: SYS.2.1.A20.2 - description: "Die zur Administration verwendeten Verfahren SOLLTEN \xFCber die\ - \ in der Sicherheitsrichtlinie festgelegten Vorgaben erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A21 - name: Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 - ref_id: SYS.2.1.A21.1 - description: "Der Zugriff auf Mikrofon und Kamera eines Clients SOLLTE nur durch\ - \ Benutzende selbst m\xF6glich sein, solange sie lokal am IT-System arbeiten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 - ref_id: SYS.2.1.A21.2 - description: "Wenn vorhandene Mikrofone oder Kameras nicht genutzt und deren\ - \ Missbrauch verhindert werden soll, SOLLTEN diese, wenn m\xF6glich, ausgeschaltet,\ - \ abgedeckt (nur Kamera), deaktiviert oder physisch vom Ger\xE4t getrennt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 - ref_id: SYS.2.1.A21.3 - description: Es SOLLTE geregelt werden, wie Kameras und Mikrofone in Clients - genutzt und wie die Rechte vergeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A23 - name: Bevorzugung von Client-Server-Diensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - ref_id: SYS.2.1.A23.1 - description: "Wenn m\xF6glich, SOLLTEN zum Informationsaustausch dedizierte\ - \ Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - ref_id: SYS.2.1.A23.2 - description: "Falls dies nicht m\xF6glich ist, SOLLTE festgelegt werden, welche\ - \ Client-zu-Client-Dienste (oft auch als \u201EPeer-to-Peer\u201C bezeichnet)\ - \ genutzt und welche Informationen dar\xFCber ausgetauscht werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - ref_id: SYS.2.1.A23.3 - description: "Falls erforderlich, SOLLTEN Benutzende f\xFCr die Nutzung solcher\ - \ Dienste geschult werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - ref_id: SYS.2.1.A23.4 - description: "Direkte Verbindungen zwischen Clients SOLLTEN sich nur auf das\ - \ LAN beschr\xE4nken." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 - ref_id: SYS.2.1.A23.5 - description: "Auto-Discovery-Protokolle SOLLTEN auf das notwendige Ma\xDF beschr\xE4\ - nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A24 - name: "Umgang mit externen Medien und Wechseldatentr\xE4gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - ref_id: SYS.2.1.A24.1 - description: "Auf externe Schnittstellen SOLLTE nur restriktiv zugegriffen werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - ref_id: SYS.2.1.A24.2 - description: "Es SOLLTE untersagt werden, dass nicht zugelassene Ger\xE4te oder\ - \ Wechseldatentr\xE4ger mit den Clients verbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - ref_id: SYS.2.1.A24.3 - description: "Es SOLLTE verhindert werden, dass von den Clients auf Wechseldatentr\xE4\ - ger aus nicht vertrauensw\xFCrdigen Quellen zugegriffen werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - ref_id: SYS.2.1.A24.4 - description: "Die unerlaubte Ausf\xFChrung von Programmen auf bzw. von externen\ - \ Datentr\xE4gern SOLLTE technisch unterbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 - ref_id: SYS.2.1.A24.5 - description: "Es SOLLTE verhindert werden, dass \xFCber Wechsellaufwerke oder\ - \ externe Schnittstellen unberechtigt Daten von den Clients kopiert werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A26 - name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 - ref_id: SYS.2.1.A26.1 - description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, - SOLLTEN ASLR und DEP/NX im Betriebssystem aktiviert und von den Anwendungen - genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 - ref_id: SYS.2.1.A26.2 - description: Sicherheitsfunktionen des Kernels und der Standardbibliotheken - wie z. B. Heap- und Stackschutz SOLLTEN aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A27 - name: "Geregelte Au\xDFerbetriebnahme eines Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 - ref_id: SYS.2.1.A27.1 - description: "Bei der Au\xDFerbetriebnahme eines Clients SOLLTE sichergestellt\ - \ werden, dass keine Daten verloren gehen und dass keine schutzbed\xFCrftigen\ - \ Daten zur\xFCckbleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 - ref_id: SYS.2.1.A27.2 - description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ - \ auf den IT-Systemen gespeichert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 - ref_id: SYS.2.1.A27.3 - description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ - erbetriebnahme eines IT-Systems abgearbeitet werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 - ref_id: SYS.2.1.A27.4 - description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ - \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ - \ aller Daten umfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A28 - name: "Verschl\xFCsselung der Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - ref_id: SYS.2.1.A28.1 - description: "Wenn vertrauliche Informationen auf den Clients gespeichert werden,\ - \ SOLLTEN mindestens die schutzbed\xFCrftigen Dateien sowie ausgew\xE4hlte\ - \ Dateisystembereiche oder besser die gesamten Datentr\xE4ger verschl\xFC\ - sselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - ref_id: SYS.2.1.A28.2 - description: "Hierf\xFCr SOLLTE ein eigenes Konzept erstellt und die Details\ - \ der Konfiguration besonders sorgf\xE4ltig dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - ref_id: SYS.2.1.A28.3 - description: "In diesem Zusammenhang SOLLTEN die Authentisierung (z. B. Passwort,\ - \ PIN, Token), die Ablage der Wiederherstellungsinformationen, die zu verschl\xFC\ - sselnden Laufwerke und die Schreibrechte auf unverschl\xFCsselte Datentr\xE4\ - ger geregelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - ref_id: SYS.2.1.A28.4 - description: "Der Zugriff auf das genutzte Schl\xFCsselmaterial MUSS angemessen\ - \ gesch\xFCtzt sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 - ref_id: SYS.2.1.A28.5 - description: "Benutzende SOLLTEN dar\xFCber aufgekl\xE4rt werden, wie sie sich\ - \ bei Verlust eines Authentisierungsmittels zu verhalten haben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A29 - name: "System\xFCberwachung und Monitoring der Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29 - ref_id: SYS.2.1.A29.1 - description: "Die Clients SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ - \ Monitoringkonzept eingebunden werden, das den Systemzustand und die Funktionsf\xE4\ - higkeit der Clients laufend \xFCberwacht und Fehlerzust\xE4nde sowie die \xDC\ - ber- bzw. Unterschreitung definierter Grenzwerte an das Betriebspersonal meldet." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A30 - name: "Einrichten einer Referenzumgebung f\xFCr Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 - ref_id: SYS.2.1.A30.1 - description: "F\xFCr Clients SOLLTE eine Referenzinstallation erstellt werden,\ - \ in der die Grundkonfiguration und alle Konfigurations\xE4nderungen, Updates\ - \ und Patches vor dem Einspielen auf den Client vorab getestet werden k\xF6\ - nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 - ref_id: SYS.2.1.A30.2 - description: "F\xFCr verschiedene, typische und h\xE4ufig wiederkehrende Testf\xE4\ - lle SOLLTEN Checklisten erstellt werden, die beim Testlauf m\xF6glichst automatisiert\ - \ abgearbeitet werden sollten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 - ref_id: SYS.2.1.A30.3 - description: "Die Testf\xE4lle SOLLTEN sowohl die Perspektive der Benutzung\ - \ als auch die des Betriebs ber\xFCcksichtigen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 - ref_id: SYS.2.1.A30.4 - description: "Zus\xE4tzlich SOLLTEN alle Tests so dokumentiert werden, dass\ - \ sie zu einem sp\xE4teren Zeitpunkt nachvollzogen werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A31 - name: Einrichtung lokaler Paketfilter - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 - ref_id: SYS.2.1.A31.1 - description: "Auf jedem Client SOLLTEN, zus\xE4tzlich zu den eingesetzten zentralen\ - \ Sicherheitsgateways, lokale Paketfilter eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 - ref_id: SYS.2.1.A31.2 - description: "Es SOLLTE eine Strategie zur Implementierung gew\xE4hlt werden,\ - \ die nur ben\xF6tigte Netzkommunikation explizit erlaubt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A32 - name: "Einsatz zus\xE4tzlicher Ma\xDFnahmen zum Schutz vor Exploits" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 - ref_id: SYS.2.1.A32.1 - description: "Auf den Clients SOLLTEN zus\xE4tzliche Ma\xDFnahmen zum expliziten\ - \ Schutz vor Exploits (Angriffe, um Systeml\xFCcken auszunutzen) getroffen\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 - ref_id: SYS.2.1.A32.2 - description: "Wenn notwendige Schutzma\xDFnahmen nicht \xFCber Funktionen des\ - \ Betriebssystems umgesetzt werden k\xF6nnen, SOLLTEN zus\xE4tzliche geeignete\ - \ Sicherheitsma\xDFnahmen umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 - ref_id: SYS.2.1.A32.3 - description: "Sollte es nicht m\xF6glich sein, nachhaltige Ma\xDFnahmen umzusetzen,\ - \ SOLLTEN andere geeignete (in der Regel organisatorische) Sicherheitsma\xDF\ - nahmen ergriffen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A33 - name: "Einsatz von Ausf\xFChrungskontrolle" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 - ref_id: SYS.2.1.A33.1 - description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ - \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ - \ k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 - ref_id: SYS.2.1.A33.2 - description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 - ref_id: SYS.2.1.A33.3 - description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ - \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A34 - name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 - ref_id: SYS.2.1.A34.1 - description: "Um sowohl den Zugriff auf das Betriebssystem oder andere Anwendungen\ - \ bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders sch\xFC\ - tzenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten\ - \ (wie beispielsweise Authentisierung oder Zertifikats\xFCberpr\xFCfung) ihrem\ - \ Schutzbedarf entsprechend besonders gekapselt bzw. anderen Anwendungen und\ - \ Betriebssystemkomponenten gegen\xFCber isoliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 - ref_id: SYS.2.1.A34.2 - description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ - cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ - \ und B\xFCrokommunikations-Anwendungen)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A35 - name: Aktive Verwaltung der Wurzelzertifikate - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 - ref_id: SYS.2.1.A35.1 - description: "Im Zuge der Beschaffung und Installation des Clients SOLLTE dokumentiert\ - \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Clients notwendig\ - \ sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 - ref_id: SYS.2.1.A35.2 - description: "Auf dem Client SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ - \ und vorab dokumentierten Wurzelzertifikate enthalten sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 - ref_id: SYS.2.1.A35.3 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ - \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 - ref_id: SYS.2.1.A35.4 - description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ - \ in die Pr\xFCfung einbezogen werden (z. B. UEFI-Zertifikatsspeicher, Zertifikatsspeicher\ - \ von Webbrowsern etc.)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A36 - name: Selbstverwalteter Einsatz von SecureBoot und TPM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 - ref_id: SYS.2.1.A36.1 - description: "Auf UEFI-kompatiblen Systemen SOLLTEN Bootloader, Kernel sowie\ - \ alle ben\xF6tigten Firmware-Komponenten durch selbstkontrolliertes Schl\xFC\ - sselmaterial signiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 - ref_id: SYS.2.1.A36.2 - description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 - ref_id: SYS.2.1.A36.3 - description: "Sofern das Trusted Platform Module (TPM) nicht ben\xF6tigt wird,\ - \ SOLLTE es deaktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A37 - name: Verwendung von Mehr-Faktor-Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37 - ref_id: SYS.2.1.A37.1 - description: "Es SOLLTE eine sichere Mehr-Faktor-Authentisierung unter Einbeziehung\ - \ unterschiedlicher Faktoren (Wissen, Besitz, Eigenschaft) f\xFCr die lokale\ - \ Anmeldung am Client eingerichtet werden, z. B. Passwort mit Chipkarte oder\ - \ Token." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A38 - name: Einbindung in die Notfallplanung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 - ref_id: SYS.2.1.A38.1 - description: "Die Clients SOLLTEN im Notfallmanagementprozess ber\xFCcksichtigt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 - ref_id: SYS.2.1.A38.2 - description: "Die Clients SOLLTEN hinsichtlich der Gesch\xE4ftsprozesse oder\ - \ Fachaufgaben, f\xFCr die sie ben\xF6tigt werden, f\xFCr den Wiederanlauf\ - \ priorisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 - ref_id: SYS.2.1.A38.3 - description: "Es SOLLTEN geeignete Notfallma\xDFnahmen vorgesehen werden, indem\ - \ mindestens Wiederanlaufpl\xE4ne erstellt, Bootmedien zur Systemwiederherstellung\ - \ generiert sowie Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A39 - name: Unterbrechungsfreie und stabile Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 - ref_id: SYS.2.1.A39.1 - description: Clients SOLLTEN an eine unterbrechungsfreie Stromversorgung (USV) - angeschlossen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 - ref_id: SYS.2.1.A39.2 - description: "Die USV SOLLTE hinsichtlich Leistung und St\xFCtzzeit ausreichend\ - \ dimensioniert sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 - ref_id: SYS.2.1.A39.3 - description: "Clients SOLLTEN vor \xDCberspannung gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A40 - name: Betriebsdokumentation - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.1 - description: "Die Durchf\xFChrung betrieblicher Aufgaben an Clients bzw. Clientgruppen\ - \ SOLLTE nachvollziehbar anhand der Fragen \u201EWer?\u201C, \u201EWann?\u201C\ - \ und \u201EWas?\u201C dokumentiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.2 - description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ - nderungen nachvollziehbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.3 - description: Auch sicherheitsrelevante Aufgaben (z. B. wer befugt ist, neue - Festplatten einzubauen) SOLLTEN dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.4 - description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch - dokumentiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.5 - description: "Die Dokumentation SOLLTE vor unbefugtem Zugriff und Verlust gesch\xFC\ - tzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 - ref_id: SYS.2.1.A40.6 - description: "Sicherheitsrelevante Aspekte SOLLTEN nachvollziehbar erl\xE4utert\ - \ und hervorgehoben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A41 - name: "Verwendung von Quotas f\xFCr lokale Datentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 - ref_id: SYS.2.1.A41.1 - description: "Es SOLLTE \xFCberlegt werden, Quotas einzurichten, die den verwendeten\ - \ Speicherplatz auf der lokalen Festplatte begrenzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 - ref_id: SYS.2.1.A41.2 - description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ - \ genutzt werden, die Benutzende bei einem bestimmten F\xFCllstand der Festplatte\ - \ warnen oder nur noch Administrierenden Schreibrechte einr\xE4umen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A42 - name: Nutzung von Cloud- und Online-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 - ref_id: SYS.2.1.A42.1 - description: "Es D\xDCRFEN NUR zwingend notwendige Cloud- und Online-Funktionen\ - \ des Betriebssystems genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 - ref_id: SYS.2.1.A42.2 - description: Die notwendigen Cloud- und Online-Funktionen SOLLTEN dokumentiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 - ref_id: SYS.2.1.A42.3 - description: "Die entsprechenden Einstellungen des Betriebssystems M\xDCSSEN\ - \ auf Konformit\xE4t mit den organisatorischen Datenschutz- und Sicherheitsvorgaben\ - \ \xFCberpr\xFCft und restriktiv konfiguriert bzw. die Funktionen deaktiviert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A43 - name: "Lokale Sicherheitsrichtlinien f\xFCr Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 - ref_id: SYS.2.1.A43.1 - description: "Alle sicherheitsrelevanten Einstellungen SOLLTEN bedarfsgerecht\ - \ konfiguriert, getestet und regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 - ref_id: SYS.2.1.A43.2 - description: "Daf\xFCr SOLLTEN Sicherheitsrichtlinien, unter Ber\xFCcksichtigung\ - \ der Empfehlungen des herstellenden Unternehmens und des voreingestellten\ - \ Standardverhaltens, konfiguriert werden, sofern das Standardverhalten nicht\ - \ anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 - ref_id: SYS.2.1.A43.3 - description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 - ref_id: SYS.2.1.A43.4 - description: "Sicherheitsrichtlinien SOLLTEN in jedem Fall gesetzt werden, auch\ - \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ - \ wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A44 - name: Verwaltung der Sicherheitsrichtlinien von Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 - ref_id: SYS.2.1.A44.1 - description: Alle Einstellungen der Clients SOLLTEN durch Nutzung eines Managementsystems - verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen - Richtlinien basierend konfiguriert sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 - ref_id: SYS.2.1.A44.2 - description: "Konfigurations\xE4nderungen SOLLTEN dokumentiert, begr\xFCndet\ - \ und mit dem Sicherheitsmanagement abgestimmt werden, sodass der Stand der\ - \ Sicherheitskonfiguration jederzeit nachvollziehbar ist und Konfigurations\xE4\ - nderungen schnell durchgef\xFChrt und zentralisiert verteilt werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 - ref_id: SYS.2.1.A45 - name: Erweiterte Protokollierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45 - ref_id: SYS.2.1.A45.1 - description: "Es SOLLTE auch Client-Verhalten, das nicht mit der Sicherheit\ - \ direkt in Verbindung steht, protokolliert und unverz\xFCglich (automatisiert)\ - \ ausgewertet werden, um verdeckte Aktivit\xE4ten mit Bezug zu Angriffen erkennen\ - \ zu k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.2.3 - name: 'Clients unter Windows ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A1 - name: Planung des Einsatzes von Cloud-Diensten unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1 - ref_id: SYS.2.2.3.A1.1 - description: "Da Windows-basierte Ger\xE4te eng mit den Cloud-Diensten des Herstellers\ - \ Microsoft verzahnt sind, MUSS vor ihrer Verwendung strategisch festgelegt\ - \ werden, welche enthaltenen Cloud-Dienste in welchem Umfang genutzt werden\ - \ sollen bzw. d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A2 - name: Auswahl und Beschaffung einer geeigneten Windows-Version - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 - ref_id: SYS.2.2.3.A2.1 - description: "Der Funktionsumfang und die Versorgung mit funktionalen \xC4nderungen\ - \ einer Windows-Version M\xDCSSEN unter Ber\xFCcksichtigung des ermittelten\ - \ Schutzbedarfs und des Einsatzzwecks ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 - ref_id: SYS.2.2.3.A2.2 - description: "Die Umsetzbarkeit der erforderlichen Absicherungsma\xDFnahmen\ - \ MUSS bei der Auswahl ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 - ref_id: SYS.2.2.3.A2.3 - description: "Basierend auf dem Ergebnis der \xDCberpr\xFCfung MUSS der etablierte\ - \ Beschaffungsprozess um die Auswahl des entsprechenden Lizenzmodells und\ - \ \u201EService Branches\u201C (CB, CBB oder LTSC) erweitert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A4 - name: Telemetrie und Datenschutzeinstellungen unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 - ref_id: SYS.2.2.3.A4.1 - description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ - \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) in der Enterprise-Edition\ - \ von Windows konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 - ref_id: SYS.2.2.3.A4.2 - description: "Wenn diese Einstellung nicht wirksam umgesetzt wird oder bei anderen\ - \ Windows-Edition umgesetzt werden kann, dann MUSS durch geeignete Ma\xDF\ - nahmen, etwa auf Netzebene, sichergestellt werden, dass die Daten nicht an\ - \ den Hersteller \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A5 - name: Schutz vor Schadsoftware unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5 - ref_id: SYS.2.2.3.A5.1 - description: "Sofern nicht gleich- oder h\xF6herwertige Ma\xDFnahmen, wie z.\ - \ B. Ausf\xFChrungskontrolle, zum Schutz des IT-Systems vor einer Infektion\ - \ mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente\ - \ zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A6 - name: Integration von Online-Konten in das Betriebssystem - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 - ref_id: SYS.2.2.3.A6.1 - description: "Die Anmeldung am System sowie an der Dom\xE4ne DARF NUR mit dem\ - \ Konto eines selbst betriebenen Verzeichnisdienstes m\xF6glich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 - ref_id: SYS.2.2.3.A6.2 - description: Anmeldungen mit lokalen Konten SOLLTEN Administrierenden vorbehalten - sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 - ref_id: SYS.2.2.3.A6.3 - description: "Online-Konten zur Anmeldung, etwa ein Microsoft-Konto oder Konten\ - \ anderer Identit\xE4tsmanagementsysteme, D\xDCRFEN NICHT verwendet werden,\ - \ da hier personenbezogene Daten an die Systeme Dritter \xFCbertragen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A9 - name: Sichere zentrale Authentisierung in Windows-Netzen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.1 - description: "F\xFCr die zentrale Authentisierung SOLLTE ausschlie\xDFlich Kerberos\ - \ eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.2 - description: "Eine Gruppenrichtlinie SOLLTE die Verwendung \xE4lterer Protokolle\ - \ verhindern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.3 - description: "Ist dies nicht m\xF6glich, MUSS alternativ NTLMv2 eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.4 - description: Die Authentisierung mittels LAN-Manager und NTLMv1 DARF NICHT innerhalb - der Institution und in einer produktiven Betriebsumgebung erlaubt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.5 - description: Die eingesetzten kryptografischen Mechanismen SOLLTEN entsprechend - dem ermittelten Schutzbedarf und basierend auf den internen Richtlinien konfiguriert - und dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 - ref_id: SYS.2.2.3.A9.6 - description: "Abweichende Einstellungen SOLLTEN begr\xFCndet und mit dem Sicherheitsmanagement\ - \ abgestimmt sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A12 - name: Datei- und Freigabeberechtigungen unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 - ref_id: SYS.2.2.3.A12.1 - description: "Der Zugriff auf Dateien und Ordner auf dem lokalen System sowie\ - \ auf Netzfreigaben SOLLTE gem\xE4\xDF einem Berechtigungs- und Zugriffskonzept\ - \ konfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 - ref_id: SYS.2.2.3.A12.2 - description: "Auch die standardm\xE4\xDFig vorhandenen administrativen Freigaben\ - \ auf dem System SOLLTEN hierbei ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 - ref_id: SYS.2.2.3.A12.3 - description: "Die Schreibrechte f\xFCr Benutzende SOLLTEN auf einen definierten\ - \ Bereich im Dateisystem beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 - ref_id: SYS.2.2.3.A12.4 - description: "Insbesondere SOLLTEN Benutzende keine Schreibrechte f\xFCr Ordner\ - \ des Betriebssystems oder installierter Anwendungen erhalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A13 - name: Einsatz der SmartScreen-Funktion - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13 - ref_id: SYS.2.2.3.A13.1 - description: "Die SmartScreen-Funktion, die aus dem Internet heruntergeladene\ - \ Dateien und Webinhalte auf m\xF6gliche Schadsoftware untersucht und dazu\ - \ unter Umst\xE4nden personenbezogene Daten an Microsoft \xFCbertr\xE4gt,\ - \ SOLLTE deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A14 - name: Einsatz des Sprachassistenten Cortana - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14 - ref_id: SYS.2.2.3.A14.1 - description: Cortana SOLLTE deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A15 - name: Einsatz der Synchronisationsmechanismen unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15 - ref_id: SYS.2.2.3.A15.1 - description: "Die Synchronisierung von Benutzendendaten mit Microsoft Cloud-Diensten\ - \ und das Sharing von WLAN-Passw\xF6rtern SOLLTEN vollst\xE4ndig deaktiviert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A16 - name: Anbindung von Windows an den Microsoft-Store - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 - ref_id: SYS.2.2.3.A16.1 - description: "Die Verwendung des Microsoft-Stores SOLLTE auf die Vertr\xE4glichkeit\ - \ mit den Datenschutz- und Sicherheitsvorgaben der Institution \xFCberpr\xFC\ - ft und bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 - ref_id: SYS.2.2.3.A16.2 - description: "Die generelle Installation von Apps auf Windows ist nicht von\ - \ der Anbindung an den Microsoft-Store abh\xE4ngig, daher SOLLTE sie, sofern\ - \ sie nicht ben\xF6tigt wird, deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A17 - name: Keine Speicherung von Daten zur automatischen Anmeldung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17 - ref_id: SYS.2.2.3.A17.1 - description: "Die Speicherung von Kennw\xF6rtern, Zertifikaten und anderen Informationen\ - \ zur automatischen Anmeldung an Webseiten und IT-Systemen SOLLTE NICHT erlaubt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A18 - name: "Einsatz der Windows-Remoteunterst\xFCtzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.1 - description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ - \ bei der Planung der Windows-Remoteunterst\xFCtzung (hiermit ist nicht RDP\ - \ gemeint) ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.2 - description: "Eine Remoteunterst\xFCtzung SOLLTE nur nach einer expliziten Einladung\ - \ erfolgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.3 - description: Bei der Speicherung einer Einladung in einer Datei SOLLTE diese - ein Kennwort besitzen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.4 - description: Dem Aufbau einer Sitzung SOLLTE immer explizit zugestimmt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.5 - description: "Die maximale G\xFCltigkeit der Einladung f\xFCr eine Unterst\xFC\ - tzung aus der Ferne SOLLTE in der Dauer angemessen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 - ref_id: SYS.2.2.3.A18.6 - description: "Sofern die Windows-Remoteunterst\xFCtzung nicht verwendet wird,\ - \ SOLLTE sie vollst\xE4ndig deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A19 - name: "Sicherheit beim Fernzugriff \xFCber RDP" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.1 - description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ - \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.2 - description: "Die Gruppe der berechtigten Benutzenden f\xFCr den Remote-Desktopzugriff\ - \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.3 - description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ - \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.4 - description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ - \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ - \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.5 - description: "\u2022 die Verwendung der Zwischenablage," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.6 - description: "\u2022 die Einbindung von Druckern," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.7 - description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.8 - description: "\u2022 die Nutzung der Dateiablagen und von Smartcard-Anschl\xFC\ - ssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.9 - description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ - \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 - ref_id: SYS.2.2.3.A19.10 - description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN - sicher sein und den internen Vorgaben der Institution entsprechen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A20 - name: "Einsatz der Benutzerkontensteuerung UAC f\xFCr privilegierte Konten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 - ref_id: SYS.2.2.3.A20.1 - description: "Die Konfigurationsparameter der sogenannten Benutzerkontensteuerung\ - \ (User Account Control, UAC) SOLLTEN f\xFCr die privilegierten Konten zwischen\ - \ Bedienbarkeit und Sicherheitsniveau abgewogen eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 - ref_id: SYS.2.2.3.A20.2 - description: "Die Entscheidungen f\xFCr die zu verwendenden Konfigurationsparameter\ - \ SOLLTEN dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 - ref_id: SYS.2.2.3.A20.3 - description: "Dar\xFCber hinaus SOLLTE die Dokumentation alle Konten mit Administrationsrechten\ - \ enthalten sowie regelm\xE4\xDFig gepr\xFCft werden, ob es notwendig ist,\ - \ die Rechte erweitern zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A21 - name: Einsatz des Encrypting File Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.1 - description: "Da das Encrypting File System (EFS) die verwendeten Schl\xFCssel\ - \ mit dem Passwort des jeweiligen Kontos sch\xFCtzt, SOLLTE ein sicheres Passwort\ - \ verwendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.2 - description: "Zus\xE4tzlich SOLLTEN restriktive Zugriffsrechte die mit EFS verschl\xFC\ - sselten Dateien sch\xFCtzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.3 - description: Der Wiederherstellungsagent SOLLTE ein dediziertes Konto und kein - Administrationskonto sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.4 - description: "In diesem Zusammenhang SOLLTE der private Schl\xFCssel des Agenten\ - \ gesichert und aus dem System entfernt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.5 - description: "Es SOLLTEN von allen privaten Schl\xFCsseln Datensicherungen erstellt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.6 - description: "Beim Einsatz von EFS mit lokalen Konten SOLLTEN die lokalen Passwortspeicher\ - \ mittels Syskey verschl\xFCsselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.7 - description: Alternativ kann der Windows Defender Credential Guard genutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 - ref_id: SYS.2.2.3.A21.8 - description: Benutzende SOLLTEN im korrekten Umgang mit EFS geschult werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A22 - name: Verwendung der Windows PowerShell - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 - ref_id: SYS.2.2.3.A22.1 - description: "Die PowerShell und die WPS-Dateien SOLLTEN NUR von Administrierenden\ - \ ausgef\xFChrt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 - ref_id: SYS.2.2.3.A22.2 - description: "Die PowerShell-Ausf\xFChrung selbst SOLLTE zentral protokolliert\ - \ und die Protokolle \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 - ref_id: SYS.2.2.3.A22.3 - description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ - \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ - \ dass unsignierte Skripte versehentlich ausgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A23 - name: Erweiterter Schutz der Anmeldeinformationen unter Windows - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 - ref_id: SYS.2.2.3.A23.1 - description: "Auf UEFI-basierten Systemen SOLLTE SecureBoot verwendet und der\ - \ Status des gesch\xFCtzten Modus f\xFCr den Local Credential Store LSA beim\ - \ Systemstart \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 - ref_id: SYS.2.2.3.A23.2 - description: "Ist eine Fernwartung der Clients mittels RDP vorgesehen, SOLLTE\ - \ beim Einsatz von Windows in einer Dom\xE4ne ab dem Funktionslevel 2012 R2\ - \ von der Option \u201ErestrictedAdmin\u201C f\xFCr RDP Gebrauch gemacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A24 - name: Aktivierung des Last-Access-Zeitstempels - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 - ref_id: SYS.2.2.3.A24.1 - description: "Es SOLLTE gepr\xFCft werden, ob der Last-Access-Zeitstempel im\ - \ Dateisystem aktiviert werden kann, um die Analyse eines Systemmissbrauchs\ - \ zu erleichtern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 - ref_id: SYS.2.2.3.A24.2 - description: "Bei der Pr\xFCfung SOLLTEN m\xF6gliche Auswirkungen dieser Einstellung,\ - \ wie Performance-Aspekte oder resultierende Einschr\xE4nkungen bei inkrementellen\ - \ Backups, ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A25 - name: "Umgang mit Fernzugriffsfunktionen der \u201EConnected User Experience\ - \ and Telemetry\u201C" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 - ref_id: SYS.2.2.3.A25.1 - description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Komponente \u201E\ - Connected User Experience and Telemetry\u201C (CUET) bei Windows fester Bestandteil\ - \ des Betriebssystems ist und neben der Telemetriefunktion auch eine Fernzugriffsm\xF6\ - glichkeit f\xFCr den Hersteller Microsoft auf das lokale System erlaubt." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 - ref_id: SYS.2.2.3.A25.2 - description: Ein solcher Fernzugriff auf den Windows-Client SOLLTE netzseitig - geloggt und falls erforderlich geblockt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 - ref_id: SYS.2.2.3.A26 - name: Nutzung des Virtual Secure Mode (VSM) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26 - ref_id: SYS.2.2.3.A26.1 - description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ - \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ - \ eingeschr\xE4nkt oder erschwert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.3 - name: Clients unter Linux und Unix - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A1 - name: Authentisierung von Administrierenden und Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 - ref_id: SYS.2.3.A1.1 - description: "Personen mit Adminstrationsrechten D\xDCRFEN sich NICHT im Normalbetrieb\ - \ als \u201Eroot\u201C anmelden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 - ref_id: SYS.2.3.A1.2 - description: "F\xFCr die Systemadministrationsaufgaben SOLLTE \u201Esudo\u201C\ - \ oder eine geeignete Alternative mit einer geeigneten Protokollierung genutzt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 - ref_id: SYS.2.3.A1.3 - description: "Es SOLLTE verhindert werden, dass sich mehrere Benutzende auf\ - \ einem Client gleichzeitig einloggen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A2 - name: Auswahl einer geeigneten Distribution - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - ref_id: SYS.2.3.A2.1 - description: "Auf Grundlage der Sicherheitsanforderungen und des Einsatzzwecks\ - \ MUSS ein geeignetes Unix-Derivat bzw. eine geeignete Linux-Distribution\ - \ ausgew\xE4hlt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - ref_id: SYS.2.3.A2.2 - description: "Es MUSS f\xFCr die geplante Einsatzdauer des Betriebssystems Support\ - \ verf\xFCgbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - ref_id: SYS.2.3.A2.3 - description: "Alle ben\xF6tigten Anwendungsprogramme SOLLTEN als Teil der Distribution\ - \ direkt verf\xFCgbar sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - ref_id: SYS.2.3.A2.4 - description: "Sie SOLLTEN NUR in Ausnahmef\xE4llen aus Drittquellen bezogen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 - ref_id: SYS.2.3.A2.5 - description: Distributionen, bei denen das Betriebssystem selbst kompiliert - wird, SOLLTEN NICHT in Produktivumgebungen eingesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A4 - name: Kernel-Aktualisierungen auf unixartigen Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 - ref_id: SYS.2.3.A4.1 - description: Der Client MUSS zeitnah neu gebootet werden, nachdem der Kernel - des Betriebssystems aktualisiert wurde. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 - ref_id: SYS.2.3.A4.2 - description: "Ist dies nicht m\xF6glich, MUSS alternativ Live-Patching des Kernels\ - \ aktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A5 - name: Sichere Installation von Software-Paketen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - ref_id: SYS.2.3.A5.1 - description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ - \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ - \ und \xFCbersetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - ref_id: SYS.2.3.A5.2 - description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ - \ in das Wurzeldateisystem des Betriebssystems installiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - ref_id: SYS.2.3.A5.3 - description: "Wird die Software aus dem Quelltext \xFCbersetzt, dann SOLLTEN\ - \ die gew\xE4hlten Parameter geeignet dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - ref_id: SYS.2.3.A5.4 - description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ - \ und reproduzierbar kompiliert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 - ref_id: SYS.2.3.A5.5 - description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert - werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A6 - name: Kein automatisches Einbinden von Wechsellaufwerken - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 - ref_id: SYS.2.3.A6.1 - description: Wechsellaufwerke SOLLTEN NICHT automatisch eingebunden werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 - ref_id: SYS.2.3.A6.2 - description: "Die Einbindung von Wechsellaufwerken SOLLTE so konfiguriert sein,\ - \ dass alle Dateien als nicht ausf\xFChrbar markiert sind (Mount-Option \u201E\ - noexec\u201C)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A7 - name: Restriktive Rechtevergabe auf Dateien und Verzeichnisse - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 - ref_id: SYS.2.3.A7.1 - description: "Es SOLLTE sichergestellt werden, dass Dienste und Anwendungen\ - \ nur die ihnen zugeordneten Dateien erstellen, ver\xE4ndern oder l\xF6schen\ - \ d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 - ref_id: SYS.2.3.A7.2 - description: "Auf Verzeichnissen, in denen alle Konten Schreibrechte haben (z.\ - \ B. \u201E/tmp\u201C), SOLLTE das Sticky Bit gesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A8 - name: "Einsatz von Techniken zur Rechtebeschr\xE4nkung von Anwendungen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 - ref_id: SYS.2.3.A8.1 - description: "Zur Beschr\xE4nkung der Zugriffsrechte von Anwendungen auf Dateien,\ - \ Ger\xE4te und Netze SOLLTE App-Armor oder SELinux eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 - ref_id: SYS.2.3.A8.2 - description: "Es SOLLTEN die von dem jeweiligen Unix-Derivat bzw. der Linux-Distribution\ - \ am besten unterst\xFCtzten L\xF6sungen eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 - ref_id: SYS.2.3.A8.3 - description: "Rechte SOLLTEN grunds\xE4tzlich entzogen sein und wo n\xF6tig\ - \ \xFCber Positivlisten explizit erteilt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 - ref_id: SYS.2.3.A8.4 - description: "Erweiterungen zur Rechtebeschr\xE4nkung SOLLTEN im Zwangsmodus\ - \ (Enforcing Mode) oder mit geeigneten Alternativen verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A9 - name: "Sichere Verwendung von Passw\xF6rtern auf der Kommandozeile" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9 - ref_id: SYS.2.3.A9.1 - description: "Passw\xF6rter SOLLTEN NICHT als Parameter an Programme \xFCbergeben\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A11 - name: "Verhinderung der \xDCberlastung der lokalen Festplatte" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 - ref_id: SYS.2.3.A11.1 - description: "Es SOLLTEN Quotas f\xFCr Konten bzw. Dienste eingerichtet werden,\ - \ die ausreichend Freiraum f\xFCr das Betriebssystem lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 - ref_id: SYS.2.3.A11.2 - description: "Generell SOLLTEN unterschiedliche Partitionen f\xFCr Betriebssystem\ - \ und Daten genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 - ref_id: SYS.2.3.A11.3 - description: "Alternativ SOLLTEN auch Mechanismen des verwendeten Dateisystems\ - \ genutzt werden, die ab einem geeigneten F\xFCllstand nur noch dem Konto\ - \ \u201Eroot\u201C Schreibrechte einr\xE4umen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A12 - name: Sicherer Einsatz von Appliances - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 - ref_id: SYS.2.3.A12.1 - description: "Es SOLLTE sichergestellt werden, dass Appliances ein \xE4hnliches\ - \ Sicherheitsniveau wie Clients auf Standard-IT-Systemen erf\xFCllen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 - ref_id: SYS.2.3.A12.2 - description: "Es SOLLTE dokumentiert werden, wie entsprechende Sicherheitsanforderungen\ - \ mit einer eingesetzten Appliance erf\xFCllt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 - ref_id: SYS.2.3.A12.3 - description: "Wenn die Anforderungen nicht zweifelsfrei erf\xFCllt werden k\xF6\ - nnen, SOLLTE eine Konformit\xE4tserkl\xE4rung von den herstellenden Unternehmen\ - \ angefordert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A14 - name: "Absicherung gegen Nutzung unbefugter Peripherieger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 - ref_id: SYS.2.3.A14.1 - description: "Peripherieger\xE4te SOLLTEN nur nutzbar sein, wenn sie explizit\ - \ freigegeben sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 - ref_id: SYS.2.3.A14.2 - description: "Kernelmodule f\xFCr Peripherieger\xE4te SOLLTEN nur geladen und\ - \ aktiviert werden, wenn das Ger\xE4t freigegeben ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A15 - name: "Zus\xE4tzlicher Schutz vor der Ausf\xFChrung unerw\xFCnschter Dateien" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15 - ref_id: SYS.2.3.A15.1 - description: "Partitionen und Verzeichnisse, in denen Benutzende Schreibrechte\ - \ haben, SOLLTEN so gemountet werden, dass keine Dateien ausgef\xFChrt werden\ - \ k\xF6nnen (Mountoption \u201Enoexec\u201C)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A17 - name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 - ref_id: SYS.2.3.A17.1 - description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ - \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ - \ werden (z. B. durch seccomp)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 - ref_id: SYS.2.3.A17.2 - description: "Die vorhandenen Standardprofile bzw. -regeln von SELinux, AppArmor\ - \ sowie alternativen Erweiterungen SOLLTEN manuell \xFCberpr\xFCft und gegebenenfalls\ - \ an die eigene Sicherheitsrichtlinie angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 - ref_id: SYS.2.3.A17.3 - description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A18 - name: "Zus\xE4tzlicher Schutz des Kernels" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18 - ref_id: SYS.2.3.A18.1 - description: "Es SOLLTEN mit speziell geh\xE4rteten Kernels (z. B. grsecurity,\ - \ PaX) geeignete Schutzma\xDFnahmen wie Speicherschutz, Dateisystemabsicherung\ - \ und rollenbasierte Zugriffskontrolle umgesetzt werden, die eine Ausnutzung\ - \ von Schwachstellen und die Ausbreitung im Betriebssystem verhindern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A19 - name: "Festplatten- oder Dateiverschl\xFCsselung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 - ref_id: SYS.2.3.A19.1 - description: "Festplatten oder die darauf abgespeicherten Dateien SOLLTEN verschl\xFC\ - sselt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 - ref_id: SYS.2.3.A19.2 - description: "Die dazugeh\xF6rigen Schl\xFCssel SOLLTEN NICHT auf dem IT-System\ - \ gespeichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 - ref_id: SYS.2.3.A19.3 - description: "Es SOLLTEN AEAD-Verfahren (Authenticated Encryption with Associated\ - \ Data) bei der Festplatten- und Dateiverschl\xFCsselung eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 - ref_id: SYS.2.3.A19.4 - description: "Alternativ SOLLTE \u201Edm-crypt\u201C in Kombination mit \u201E\ - dm-verity\u201C genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 - ref_id: SYS.2.3.A20 - name: Abschaltung kritischer SysRq-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 - ref_id: SYS.2.3.A20.1 - description: "Es SOLLTE festgelegt werden, welche SysRq-Funktionen von den Benutzenden\ - \ ausgef\xFChrt werden d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 - ref_id: SYS.2.3.A20.2 - description: "Generell SOLLTEN keine kritischen SysRq-Funktionen von den Benutzenden\ - \ ausgel\xF6st werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.4 - name: Clients unter macOS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A1 - name: Planung des sicheren Einsatzes von macOS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.1 - description: "Die Einf\xFChrung von macOS MUSS sorgf\xE4ltig geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.2 - description: Es MUSS entschieden werden, wo und wie Daten abgelegt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.3 - description: Es MUSS geplant werden, wie die Datensicherung in das institutionsweite - Datensicherungskonzept integriert werden kann. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.4 - description: "Es MUSS geplant werden, wie Sicherheits- und sonstige Aktualisierungen\ - \ f\xFCr macOS und Anwendungen systematisch installiert werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.5 - description: "Es MUSS ermittelt werden, welche Anwendungen bei einem Plattformwechsel\ - \ zu macOS ben\xF6tigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 - ref_id: SYS.2.4.A1.6 - description: "Wird der Mac in einem Datennetz betrieben, MUSS zus\xE4tzlich\ - \ ber\xFCcksichtigt werden, welche Netzprotokolle eingesetzt werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A2 - name: Nutzung der integrierten Sicherheitsfunktionen von macOS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 - ref_id: SYS.2.4.A2.1 - description: "Die in macOS integrierten Schutzmechanismen \u201ESystem Integrity\ - \ Protection\u201C (SIP), \u201EXprotect\u201C und \u201EGatekeeper\u201C\ - \ M\xDCSSEN aktiviert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 - ref_id: SYS.2.4.A2.2 - description: "Gatekeeper DARF NUR die Ausf\xFChrung signierter Programme erlauben,\ - \ sofern unsignierte Programme nicht zwingend notwendig sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A3 - name: Verwendung geeigneter Konten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 - ref_id: SYS.2.4.A3.1 - description: Das bei der Erstkonfiguration von macOS angelegte Konto hat Administrationsrechte - und DARF NUR zu administrativen Zwecken verwendet werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 - ref_id: SYS.2.4.A3.2 - description: "F\xFCr die normale Verwendung des Macs MUSS ein Konto mit Standard-Berechtigungen\ - \ angelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 - ref_id: SYS.2.4.A3.3 - description: "Sollte der Mac von mehreren Benutzenden verwendet werden, MUSS\ - \ f\xFCr jeden Benutzenden ein eigenes Konto angelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 - ref_id: SYS.2.4.A3.4 - description: Das Gast-Konto MUSS deaktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A4 - name: "Verwendung einer Festplattenverschl\xFCsselung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 - ref_id: SYS.2.4.A4.1 - description: "Festplatten SOLLTEN, insbesondere bei mobilen Macs (z. B. MacBooks),\ - \ verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 - ref_id: SYS.2.4.A4.2 - description: "Wird dazu die in macOS integrierte Funktion FileVault verwendet,\ - \ DARF das Schl\xFCsselmaterial NICHT online bei Apple gespeichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 - ref_id: SYS.2.4.A4.3 - description: "Der von FileVault erzeugte Wiederherstellungsschl\xFCssel MUSS\ - \ an einem sicheren Ort aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 - ref_id: SYS.2.4.A4.4 - description: "Es SOLLTE gepr\xFCft werden, ob ein institutioneller Wiederherstellungsschl\xFC\ - ssel f\xFCr FileVault verwendet werden soll." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A5 - name: Deaktivierung sicherheitskritischer Funktionen von macOS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 - ref_id: SYS.2.4.A5.1 - description: Die in macOS integrierten Ortungsdienste SOLLTEN deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 - ref_id: SYS.2.4.A5.2 - description: "Heruntergeladene Daten SOLLTEN NICHT automatisch ge\xF6ffnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 - ref_id: SYS.2.4.A5.3 - description: "Inhalte von optischen und anderen Medien SOLLTEN NICHT automatisch\ - \ ausgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A6 - name: Verwendung aktueller Mac-Hardware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 - ref_id: SYS.2.4.A6.1 - description: "Werden neue Macs beschafft, SOLLTEN aktuelle Modelle ausgew\xE4\ - hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 - ref_id: SYS.2.4.A6.2 - description: "Werden bereits vorhandene Macs eingesetzt, SOLLTE regelm\xE4\xDF\ - ig \xFCberpr\xFCft werden, ob diese sowie das darauf installierte Betriebssystem\ - \ weiterhin von Apple mit Sicherheits-Updates versorgt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 - ref_id: SYS.2.4.A6.3 - description: "Werden die Macs nicht mehr durch Apple unterst\xFCtzt, SOLLTEN\ - \ sie nicht mehr verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A7 - name: "Zwei-Faktor-Authentisierung f\xFCr Apple-ID" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7 - ref_id: SYS.2.4.A7.1 - description: "Die Zwei-Faktor-Authentisierung f\xFCr die Verwendung des Apple-ID-Kontos\ - \ SOLLTE aktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A8 - name: "Keine Nutzung von iCloud f\xFCr sch\xFCtzenswerte Daten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 - ref_id: SYS.2.4.A8.1 - description: "Es SOLLTE verhindert werden, dass sch\xFCtzenswerte Daten zwischen\ - \ mehreren Ger\xE4ten \xFCber iCloud-Dienste synchronisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 - ref_id: SYS.2.4.A8.2 - description: "Stattdessen SOLLTEN Daten nur \xFCber selbst betriebene Dienste\ - \ synchronisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 - ref_id: SYS.2.4.A8.3 - description: "Sch\xFCtzenswerte Daten SOLLTEN NICHT in iCloud gespeichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 - ref_id: SYS.2.4.A8.4 - description: "Entw\xFCrfe, beispielsweise von E-Mails oder Dokumenten, SOLLTEN\ - \ NICHT automatisch in iCloud gespeichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A9 - name: "Verwendung von zus\xE4tzlichen Schutzprogrammen unter macOS" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9 - ref_id: SYS.2.4.A9.1 - description: "Bei Bedarf, etwa wenn Macs in einem heterogenen Netz betrieben\ - \ werden, SOLLTEN neben den integrierten Schutzmechanismen von macOS zus\xE4\ - tzlich Virenschutz-L\xF6sungen von Drittanbietern eingesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A10 - name: Aktivierung der Personal Firewall unter macOS - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10 - ref_id: SYS.2.4.A10.1 - description: Die in macOS integrierte Personal Firewall SOLLTE aktiviert und - geeignet konfiguriert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A11 - name: "Ger\xE4teaussonderung von Macs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11 - ref_id: SYS.2.4.A11.1 - description: "Bei einer Aussonderung des Macs SOLLTEN der nichtfl\xFCchtige\ - \ Datenspeicher NVRAM (Non Volatile Random Access Memory) sowie der SMC (System\ - \ Management Controller) zur\xFCckgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 - ref_id: SYS.2.4.A12 - name: Firmware-Kennwort und Boot-Schutz auf Macs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - ref_id: SYS.2.4.A12.1 - description: "Auf \xE4lteren Macs SOLLTE die Abfrage eines sicheren Firmware-Kennworts\ - \ im sogenannten \u201ECommand-Modus\u201C aktiviert werden, um ein unberechtigtes\ - \ Booten des Macs von einem anderen Startlaufwerk zu verhindern." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - ref_id: SYS.2.4.A12.2 - description: "Es SOLLTE gepr\xFCft werden, ob \xFCber den \u201EFull-Modus\u201C\ - \ ein Kennwort bei jedem Startvorgang abgefragt werden sollte." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - ref_id: SYS.2.4.A12.3 - description: "Auf Macs mit T2-Sicherheitschip SOLLTE ein Firmware-Passwort \xFC\ - ber das Startsicherheitsdienstprogramm gesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - ref_id: SYS.2.4.A12.4 - description: "Die Option \u201ESicheres Starten: Volle Sicherheit\u201C SOLLTE\ - \ aktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 - ref_id: SYS.2.4.A12.5 - description: "Die Option \u201EStarten von externen Medien nicht zulassen\u201C\ - \ SOLLTE aktiviert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.5 - name: 'Client-Virtualisierung ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A1 - name: Planung des Einsatzes virtueller Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 - ref_id: SYS.2.5.A1.1 - description: Es MUSS festgelegt werden, welche Anwendungen auf den virtuellen - Clients eingesetzt werden sollen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 - ref_id: SYS.2.5.A1.2 - description: "Die Aufgaben, die mit diesen Anwendungen gel\xF6st werden sollen,\ - \ M\xDCSSEN festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 - ref_id: SYS.2.5.A1.3 - description: "F\xFCr diese Anwendungen MUSS \xFCberpr\xFCft und dokumentiert\ - \ werden, welche Anforderungen an die Virtualisierungsinfrastruktur und deren\ - \ etwaige Zusatzhardware (z. B. Grafikkarten) gestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 - ref_id: SYS.2.5.A1.4 - description: Der genutzte Virtualisierungsserver MUSS die notwendigen Ressourcen - hinsichtlich CPU, Arbeitsspeicher und Datenspeicher bereitstellen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A2 - name: "Planung der verwendeten Netze f\xFCr virtuelle Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - ref_id: SYS.2.5.A2.1 - description: "Die Netze f\xFCr die Verbindung zwischen zugreifenden Clients\ - \ und virtuellen Clients sowie die Netze zur Anbindung nachgelagerter Dienste\ - \ an die virtuellen Clients (z. B. Verzeichnisdienst, E-Mail oder Internetzugriff)\ - \ M\xDCSSEN ausreichend leistungsf\xE4hig ausgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - ref_id: SYS.2.5.A2.2 - description: "Es MUSS geplant werden, welche Netzsegmente f\xFCr die virtuellen\ - \ Clients verwendet werden sollen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - ref_id: SYS.2.5.A2.3 - description: "Die Netzsegmente f\xFCr virtuelle Clients M\xDCSSEN von Netzsegmenten\ - \ f\xFCr Server getrennt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - ref_id: SYS.2.5.A2.4 - description: Eine bestehende Netztrennung DARF NICHT mithilfe eines virtuellen - Clients oder eines Virtualisierungsservers umgangen werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 - ref_id: SYS.2.5.A2.5 - description: "F\xFCr virtuelle Clients MUSS festgelegt werden, ob und in welchem\ - \ Ausma\xDF die Kommunikation in nicht vertrauensw\xFCrdige Netze eingeschr\xE4\ - nkt werden soll." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A3 - name: Schutz vor Schadsoftware auf den virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 - ref_id: SYS.2.5.A3.1 - description: "F\xFCr die virtuellen Clients MUSS ein Schutz vor Schadsoftware\ - \ gem\xE4\xDF den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen und SYS.2.1\ - \ Allgemeiner Client sowie unter Ber\xFCcksichtigung der betriebssystemspezifischen\ - \ Bausteine umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 - ref_id: SYS.2.5.A3.2 - description: Wird ein Virenschutzprogramm eingesetzt, MUSS festgelegt und dokumentiert - werden, ob dieser Schutz zentralisiert in der Virtualisierungsinfrastruktur, - dezentralisiert auf den virtuellen Clients oder in Mischformen umgesetzt wird. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 - ref_id: SYS.2.5.A3.3 - description: "Falls die virtuellen Clients mit zentralen Komponenten gesch\xFC\ - tzt werden sollen, M\xDCSSEN diese zentralen Komponenten \xFCber eine ausreichende\ - \ Leistung verf\xFCgen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 - ref_id: SYS.2.5.A3.4 - description: "Falls ein Virenschutzprogramm auf den virtuellen Clients ausgef\xFC\ - hrt wird, MUSS sichergestellt werden, dass die Leistung der Virtualisierungsinfrastruktur\ - \ ausreicht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A4 - name: "Verwendung einer dedizierten Virtualisierungsinfrastruktur f\xFCr die\ - \ virtuellen Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 - ref_id: SYS.2.5.A4.1 - description: Die virtuellen Clients SOLLTEN auf einer dedizierten Virtualisierungsinfrastruktur - betrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 - ref_id: SYS.2.5.A4.2 - description: "Virtuelle Server SOLLTEN NICHT auf derselben Virtualisierungsinfrastruktur\ - \ ausgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A5 - name: "Zus\xE4tzliche Netzsegmentierung f\xFCr virtuelle Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.1 - description: "Folgende Kriterien SOLLTEN f\xFCr eine zus\xE4tzliche Netztrennung\ - \ der virtuellen Clients ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.2 - description: "\u2022 Nutzungsszenario f\xFCr die virtuellen Clients und Gruppenzugeh\xF6\ - rigkeit der Benutzenden" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.3 - description: "\u2022 aus der Gruppenzugeh\xF6rigkeit abgeleitete Berechtigungen\ - \ der Benutzenden" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.4 - description: "\u2022 auf den virtuellen Clients installierte und den Benutzenden\ - \ zur Verf\xFCgung gestellte Anwendungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.5 - description: "\u2022 Schutzbedarf der auf den virtuellen Clients verarbeiteten\ - \ Informationen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.6 - description: "\u2022 Vertrauensw\xFCrdigkeit der virtuellen Clients" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 - ref_id: SYS.2.5.A5.7 - description: "\u2022 f\xFCr die Funktionsf\xE4higkeit der virtuellen Clients\ - \ notwendige Netzanbindungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A6 - name: Keine lokale Datenablage auf virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 - ref_id: SYS.2.5.A6.1 - description: Durch die Benutzenden erstellte oder verarbeitete Daten SOLLTEN - zentral gespeichert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 - ref_id: SYS.2.5.A6.2 - description: Die Daten SOLLTEN NICHT dauerhaft auf den virtuellen Clients abgelegt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 - ref_id: SYS.2.5.A6.3 - description: "Benutzende, die sich mit virtuellen Clients verbinden, SOLLTEN\ - \ NICHT in der Lage sein, Daten aus den virtuellen Clients auf ihre lokalen\ - \ IT-Systeme zu \xFCbertragen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 - ref_id: SYS.2.5.A6.4 - description: "Falls eine solche \xDCbertragung nachvollziehbar notwendig ist,\ - \ SOLLTE sie auf das notwendige Minimum beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A7 - name: Automatische Sperrung von Sitzungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 - ref_id: SYS.2.5.A7.1 - description: Nachdem ein zugreifender Client seine Terminalserver-Sitzung beendet - hat, SOLLTE die aktive Sitzung auf dem virtuellen Client gesperrt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 - ref_id: SYS.2.5.A7.2 - description: "Nach einer definierten Zeit der Inaktivit\xE4t SOLLTEN Verbindungen\ - \ zwischen zugreifendem und virtuellem Client beendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 - ref_id: SYS.2.5.A7.3 - description: "Falls der Einsatzzweck des jeweiligen virtuellen Clients dies\ - \ zul\xE4sst, SOLLTEN die virtuellen Clients in einen inaktiven Zustand versetzt\ - \ werden, nachdem die Verbindung beendet ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A8 - name: "H\xE4rtung der virtuellen Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.1 - description: "Die virtuellen Clients SOLLTEN geh\xE4rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.2 - description: "Hierbei SOLLTEN die folgenden Aspekte ber\xFCcksichtigt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.3 - description: "\u2022 Einschr\xE4nkung der Daten\xFCbertragung zwischen zugreifenden\ - \ und virtuellen Clients" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.4 - description: "\u2022 Weiterleitungen von Peripherieger\xE4ten oder externen\ - \ Datentr\xE4gern von zugreifenden an die virtuellen Clients" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.5 - description: "\u2022 Explizite Freigabe der Ausf\xFChrung von Anwendungen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 - ref_id: SYS.2.5.A8.6 - description: "\u2022 Deaktivierung von Netzdiensten, die in der Virtualisierungsinfrastruktur\ - \ nicht ben\xF6tigt werden" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A9 - name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 - ref_id: SYS.2.5.A9.1 - description: Die Client-Anwendungen SOLLTEN zentral provisioniert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 - ref_id: SYS.2.5.A9.2 - description: "Dazu SOLLTE eine geeignete zentral verwaltbare L\xF6sung eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 - ref_id: SYS.2.5.A9.3 - description: "Templates f\xFCr die virtuellen Clients SOLLTEN regelm\xE4\xDF\ - ig aktualisiert und getestet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A10 - name: Bedarfsgerechte Zuweisung von Ressourcen zu virtuellen Clients und Gruppen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 - ref_id: SYS.2.5.A10.1 - description: "Anhand von Rollen und T\xE4tigkeiten SOLLTEN die Leistungsanforderungen\ - \ der einzelnen Benutzendengruppen an die virtuellen Clients identifiziert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 - ref_id: SYS.2.5.A10.2 - description: "Anhand dieser Anforderungen SOLLTE entschieden werden, wie viele\ - \ Ressourcen (z. B. Prozessorkerne oder Arbeitsspeicher) den einzelnen virtuellen\ - \ Clients zur Verf\xFCgung gestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 - ref_id: SYS.2.5.A10.3 - description: "Zus\xE4tzliche Ressourcen wie GPUs (Graphics Processing Units)\ - \ SOLLTEN den Benutzenden nur bei Bedarf bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A11 - name: Vermeidung von verschachtelter Virtualisierung auf virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 - ref_id: SYS.2.5.A11.1 - description: Auf virtuellen Clients SOLLTEN keine weiteren virtuellen IT-Systeme - eingerichtet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 - ref_id: SYS.2.5.A11.2 - description: "Falls technisch m\xF6glich, SOLLTEN in der zugrundeliegenden Virtualisierungsinfrastruktur\ - \ Funktionen aktiviert werden, die eine verschachtelte Virtualisierung erschweren\ - \ oder unterbinden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A12 - name: Sensibilisierung der Benutzenden - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 - ref_id: SYS.2.5.A12.1 - description: "Alle Benutzenden von virtuellen Clients SOLLTEN \xFCber den sicheren\ - \ Umgang mit virtuellen Clients sensibilisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 - ref_id: SYS.2.5.A12.2 - description: "Falls die Ressourcen dynamisch anhand der abgerufenen Leistung\ - \ zwischen mehreren virtuellen Clients aufgeteilt werden, SOLLTEN die Benutzenden\ - \ dar\xFCber aufgekl\xE4rt werden, dass ihr Verhalten potenziell andere Benutzende\ - \ beeinflussen kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 - ref_id: SYS.2.5.A12.3 - description: "Falls die Sicherheitsanforderungen der auf virtuellen Clients\ - \ ausgef\xFChrten Anwendungen besonders sind, SOLLTE kommuniziert werden,\ - \ wie diese gegen\xFCber physischen Clients abweichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 - ref_id: SYS.2.5.A12.4 - description: Es SOLLTE auch kommuniziert werden, welche spezifischen Sicherheitsaspekte - zu beachten sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A13 - name: Verhinderung der Kommunikation zwischen virtuellen Clients an einem gemeinsam - genutzten virtuellen Switch - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13 - ref_id: SYS.2.5.A13.1 - description: Mechanismen SOLLTEN aktiviert werden, die eine unkontrollierte - Layer-2-Kommunikation zwischen virtuellen Clients an einem gemeinsam genutzten - virtuellen Switch unterbinden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A14 - name: "Erweiterte Sicherheitsfunktionen f\xFCr den Einsatz von virtuellen Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 - ref_id: SYS.2.5.A14.1 - description: "Die virtuellen Clients SOLLTEN mit zus\xE4tzlichen Sicherheitsfunktionen\ - \ gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 - ref_id: SYS.2.5.A14.2 - description: "Dabei SOLLTEN mindestens die folgenden Techniken ber\xFCcksichtigt\ - \ werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 - ref_id: SYS.2.5.A14.3 - description: "\u2022 Mikrosegmentierung f\xFCr die virtuellen Clients" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 - ref_id: SYS.2.5.A14.4 - description: "\u2022 Intrusion-Detection- oder Intrusion-Prevention-Systeme,\ - \ die entweder zentralisiert auf der Virtualisierungsinfrastruktur oder dezentral\ - \ auf den virtuellen Clients bereitgestellt werden" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A15 - name: Monitoring der virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.1 - description: "Der Zustand der virtuellen Clients SOLLTE zentral \xFCberwacht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.2 - description: "Folgende Parameter SOLLTEN mindestens \xFCberwacht werden:" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.3 - description: "\u2022 Erreichbarkeit der virtuellen Clients \xFCber alle vorgesehenen\ - \ Netzschnittstellen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.4 - description: "\u2022 Auslastung von CPU und Arbeitsspeicher der virtuellen Clients," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.5 - description: "\u2022 freie Festplattenkapazit\xE4t der virtuellen Clients sowie" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.6 - description: "\u2022 Verf\xFCgbarkeit der f\xFCr den Zugriff eingesetzten Terminalserver-Dienste." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.7 - description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ - \ ermittelt werden (Baselining)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 - ref_id: SYS.2.5.A15.8 - description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ - \ bei Bedarf angepasst werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A16 - name: "Erweiterte Protokollierung f\xFCr virtuelle Clients" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.1 - description: "F\xFCr virtuelle Clients SOLLTEN zus\xE4tzliche Ereignisse an\ - \ eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ - \ \xFCbermittelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.2 - description: 'Hierbei SOLLTEN mindestens die folgenden Ereignisse protokolliert - werden:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.3 - description: "\u2022 Aktionen, die mit administrativen Rechten ausgef\xFChrt\ - \ werden," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.4 - description: "\u2022 Konfigurations\xE4nderungen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.5 - description: "\u2022 Installation von Software," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.6 - description: "\u2022 erfolgreiche und fehlgeschlagene Updates und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 - ref_id: SYS.2.5.A16.7 - description: "\u2022 alle Ereignisse, die durch den Schutz vor Schadsoftware\ - \ entstehen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A17 - name: Erweitertes Monitoring der virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 - ref_id: SYS.2.5.A17.1 - description: "Die virtuellen Clients SOLLTEN kontinuierlich darauf \xFCberwacht\ - \ werden, ob die in SYS.2.5.A16 Erweiterte Protokollierung f\xFCr virtuelle\ - \ Clients beschriebenen Ereignisse auftreten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 - ref_id: SYS.2.5.A17.2 - description: Wird ein Security Information and Event Management (SIEM) genutzt, - SOLLTEN die virtuellen Clients darin eingebunden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 - ref_id: SYS.2.5.A17.3 - description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse auf Anomalien inklusive\ - \ Angriffsmustern automatisiert analysiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 - ref_id: SYS.2.5.A17.4 - description: "Die virtuellen Clients SOLLTEN automatisch und regelm\xE4\xDF\ - ig auf Schwachstellen \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 - ref_id: SYS.2.5.A18 - name: "Hochverf\xFCgbare Bereitstellung der Virtualisierungsinfrastruktur" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - ref_id: SYS.2.5.A18.1 - description: "Die virtuellen Clients SOLLTEN hochverf\xFCgbar bereitgestellt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - ref_id: SYS.2.5.A18.2 - description: Dies SOLLTE durch die zugrundeliegende Virtualisierungsinfrastruktur - sichergestellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - ref_id: SYS.2.5.A18.3 - description: Die Virtualisierungsserver SOLLTEN redundant an die relevanten - Netze angeschlossen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - ref_id: SYS.2.5.A18.4 - description: Bei Ressourcenknappheit SOLLTEN die virtuellen Clients automatisch - zwischen den Virtualisierungsservern migriert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 - ref_id: SYS.2.5.A18.5 - description: Bei Ausfall eines Virtualisierungsservers SOLLTEN die virtuellen - Clients automatisiert auf einem anderen Virtualisierungsserver gestartet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.2.6 - name: 'Virtual Desktop Infrastructure ' - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A1 - name: Planung des Einsatzes einer VDI - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.1 - description: "Die Leistungsanforderungen und Anzahl der ben\xF6tigten virtuellen\ - \ Clients sowie die daraus resultierenden Anforderungen an die Dimensionierung\ - \ der VDI M\xDCSSEN identifiziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.2 - description: "Die VDI-Komponenten M\xDCSSEN anhand dieser Dimensionierungsanforderungen\ - \ bedarfsgerecht geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.3 - description: "Die VDI-Komponenten und die genutzte Virtualisierungsinfrastruktur\ - \ M\xDCSSEN aufeinander abgestimmt geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.4 - description: "Bei der Dimensionierung der VDI MUSS ber\xFCcksichtigt werden,\ - \ ob und wie sich die Anforderungen hieran \xFCber den geplanten Einsatzzeitraum\ - \ der VDI-L\xF6sung \xE4ndern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.5 - description: "Der Support MUSS f\xFCr den gesamten geplanten Einsatzzeitraum\ - \ der VDI-L\xF6sung bei der Planung mitber\xFCcksichtig werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 - ref_id: SYS.2.6.A1.6 - description: "Die Anzahl virtueller Clients und deren ben\xF6tigte Leistung\ - \ pro Virtualisierungsserver MUSS festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A2 - name: Sichere Installation und Konfiguration der VDI-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.1 - description: "Wenn die VDI-Komponenten installiert und konfiguriert werden,\ - \ MUSS mindestens ber\xFCcksichtigt werden, wie:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.2 - description: "\u2022 auf betrieblich und technisch notwendige Funktionen beschr\xE4\ - nkt wird," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.3 - description: "\u2022 die Kommunikation zwischen VDI-Komponenten abgesichert\ - \ wird sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.4 - description: "\u2022 virtuelle Clients sicher den Benutzenden oder Gruppen hiervon\ - \ zugewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.5 - description: "Empfehlungen von dem herstellenden Unternehmen der VDI-L\xF6sung\ - \ f\xFCr die sichere Konfiguration M\xDCSSEN ber\xFCcksichtigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 - ref_id: SYS.2.6.A2.6 - description: "Die Konfigurationen der VDI-Komponenten M\xDCSSEN geeignet dokumentiert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A3 - name: Sichere Installation und Konfiguration der virtuellen Clients mithilfe - der VDI - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 - ref_id: SYS.2.6.A3.1 - description: "Die VDI-L\xF6sung SOLLTE genutzt werden, um die virtuellen Clients\ - \ zu installieren und zu konfigurieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 - ref_id: SYS.2.6.A3.2 - description: "Virtuelle Clients SOLLTEN NICHT manuell in die VDI-L\xF6sung integriert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 - ref_id: SYS.2.6.A3.3 - description: "In der f\xFCr die VDI verwendeten Virtualisierungsinfrastruktur\ - \ SOLLTEN virtuelle Clients NICHT unabh\xE4ngig von der VDI erzeugt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A4 - name: Netzsegmentierung der VDI-Komponenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 - ref_id: SYS.2.6.A4.1 - description: "Die VDI-Komponenten inklusive der virtuellen Clients SOLLTEN bei\ - \ der Netzsegmentierung gesondert ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 - ref_id: SYS.2.6.A4.2 - description: Netze SOLLTEN dabei mindestens mit Hilfe der Virtualisierungsinfrastruktur - getrennt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 - ref_id: SYS.2.6.A4.3 - description: "Dedizierte Netzsegmente SOLLTEN mindestens f\xFCr das Administrationsnetz\ - \ der VDI-Komponenten und f\xFCr die Netze der internen Kommunikation zwischen\ - \ VDI-Komponenten eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A5 - name: Standardisierter Zugriff auf virtuelle Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 - ref_id: SYS.2.6.A5.1 - description: "Die Mechanismen und Dienste der VDI-L\xF6sung SOLLTEN genutzt\ - \ werden, um die Zugriffe auf die virtuellen Clients zu steuern und abzusichern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 - ref_id: SYS.2.6.A5.2 - description: "Falls eine zus\xE4tzliche Software f\xFCr diese Zugriffe auf den\ - \ zugreifenden Clients eingesetzt wird, SOLLTE diese Software standardisiert\ - \ und zentralisiert bereitgestellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A6 - name: "Verwendung einer dedizierten Infrastruktur f\xFCr virtuelle VDI-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6 - ref_id: SYS.2.6.A6.1 - description: Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN - sie auf einer dedizierten Virtualisierungsinfrastruktur betrieben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A7 - name: "H\xE4rtung der virtualisierten Clients durch die VDI-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 - ref_id: SYS.2.6.A7.1 - description: "Die M\xF6glichkeiten der VDI-L\xF6sung SOLLTEN f\xFCr die H\xE4\ - rtung der virtuellen Clients entsprechend den Anforderungen des Bausteins\ - \ SYS.2.5 Client-Virtualisierung genutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 - ref_id: SYS.2.6.A7.2 - description: "Die Betriebssysteme der Clients SOLLTEN ausschlie\xDFlich \xFC\ - ber die Managementkomponente der VDI-L\xF6sung konfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 - ref_id: SYS.2.6.A7.3 - description: "Eine individuelle Konfiguration bestehender virtueller Clients\ - \ \xFCber die Virtualisierungsinfrastruktur SOLLTE mit technischen Mitteln\ - \ unterbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A8 - name: "H\xE4rtung der VDI-L\xF6sung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 - ref_id: SYS.2.6.A8.1 - description: "Eine automatische Anmeldung an der VDI SOLLTE nicht m\xF6glich\ - \ sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 - ref_id: SYS.2.6.A8.2 - description: Die Authentisierung SOLLTE nur erfolgen, nachdem die Benutzenden - mit der VDI interagiert haben. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A9 - name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 - ref_id: SYS.2.6.A9.1 - description: "Die virtuellen Clients SOLLTEN, wenn m\xF6glich, zentral \xFC\ - ber die Managementkomponenten der VDI-L\xF6sung verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 - ref_id: SYS.2.6.A9.2 - description: "Die virtuellen Clients SOLLTEN auch im ausgeschalteten Zustand\ - \ gepatcht werden, falls dies von der VDI-L\xF6sung unterst\xFCtzt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 - ref_id: SYS.2.6.A9.3 - description: "Die Templates, aus denen virtuelle Clients erzeugt werden, SOLLTEN\ - \ regelm\xE4\xDFig aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A10 - name: "Monitoring von Verf\xFCgbarkeit und Nutzungsgrad der VDI" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - ref_id: SYS.2.6.A10.1 - description: "Der Zustand der VDI-Komponenten SOLLTE zentral \xFCberwacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - ref_id: SYS.2.6.A10.2 - description: "Es SOLLTEN mindestens folgende Parameter f\xFCr jede VDI-Komponente\ - \ \xFCberwacht werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - ref_id: SYS.2.6.A10.3 - description: "\u2022 Erreichbarkeit der ben\xF6tigten Netzschnittstellen" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - ref_id: SYS.2.6.A10.4 - description: "\u2022 Verf\xFCgbarkeit der von der VDI-Komponente bereitgestellten\ - \ Dienste" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 - ref_id: SYS.2.6.A10.5 - description: "\u2022 Auslastung der CPU und des Arbeitsspeichers" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A11 - name: Monitoring von sicherheitsrelevanten Ereignissen der VDI - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - ref_id: SYS.2.6.A11.1 - description: "F\xFCr die VDI-Komponenten SOLLTEN mindestens die folgenden Ereignisse\ - \ an ein zentrales Monitoring weitergeleitet werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - ref_id: SYS.2.6.A11.2 - description: "\u2022 erfolgreiche und fehlgeschlagene Anmeldeversuche" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - ref_id: SYS.2.6.A11.3 - description: "\u2022 Konfigurations\xE4nderungen an VDI-Komponenten oder virtuellen\ - \ Clients" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - ref_id: SYS.2.6.A11.4 - description: "\u2022 erfolgreiche und fehlgeschlagene Updates an VDI-Komponenten" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 - ref_id: SYS.2.6.A11.5 - description: "\u2022 fehlgeschlagene Updates an virtuellen Clients Die VDI-Komponenten\ - \ SOLLTEN regelm\xE4\xDFig auf Schwachstellen \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A12 - name: Verteilung von virtuellen Clients auf Virtualisierungsservern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 - ref_id: SYS.2.6.A12.1 - description: "Pro Virtualisierungsserver SOLLTE die maximale Leistung festgelegt\ - \ werden, die dieser f\xFCr virtuelle Clients zur Verf\xFCgung stellen darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 - ref_id: SYS.2.6.A12.2 - description: Diese Grenzwerte SOLLTEN in der VDI-Managementkomponente genutzt - werden, um bei hoher Auslastung die virtuellen Clients auf verschiedene Virtualisierungsserver - zu verteilen. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A13 - name: "Verwendung getrennter VDI-L\xF6sungen f\xFCr unterschiedliche Benutzendengruppen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 - ref_id: SYS.2.6.A13.1 - description: "Es SOLLTE gepr\xFCft werden, ob es Benutzendengruppen gibt, die\ - \ sich in ihren Berechtigungen so stark unterscheiden, dass die Nutzung einer\ - \ gemeinsamen VDI-L\xF6sung nicht sinnvoll ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 - ref_id: SYS.2.6.A13.2 - description: "In diesem Fall SOLLTE jeweils eine eigene VDI-L\xF6sung pro Benutzendengruppe\ - \ verwendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A14 - name: Verwendung von nicht-persistenten virtuellen Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 - ref_id: SYS.2.6.A14.1 - description: "Nachdem sie benutzt wurden oder zu einem definierten Zeitpunkt\ - \ SOLLTEN die virtuellen Clients auf ihren Grundzustand, d. h. auf das zugrundeliegende\ - \ Template, zur\xFCckgesetzt oder bei Bedarf neu provisioniert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 - ref_id: SYS.2.6.A14.2 - description: Diese Zeitfenster SOLLTEN dokumentiert und an die Betroffenen kommuniziert - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 - ref_id: SYS.2.6.A14.3 - description: "Nicht zur\xFCckgesetzte virtuelle Clients SOLLTEN NICHT von mehreren\ - \ unterschiedlichen Benutzenden verwendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A15 - name: "Hochverf\xFCgbare Bereitstellung der VDI-Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 - ref_id: SYS.2.6.A15.1 - description: Die VDI-Komponenten SOLLTEN redundant ausgelegt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 - ref_id: SYS.2.6.A15.2 - description: "Jede Komponente SOLLTE dar\xFCber hinaus redundant an die relevanten\ - \ Netze angeschlossen werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 - ref_id: SYS.2.6.A15.3 - description: "Falls die VDI-Komponenten auf physischen IT-Systemen betrieben\ - \ werden, SOLLTEN diese IT-Systeme \xFCber redundante Stromversorgung und\ - \ Datenspeicher verf\xFCgen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 - ref_id: SYS.2.6.A15.4 - description: "Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN\ - \ Mechanismen der Virtualisierungsinfrastruktur f\xFCr die Hochverf\xFCgbarkeit\ - \ eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 - ref_id: SYS.2.6.A16 - name: Integration der VDI in ein SIEM - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 - ref_id: SYS.2.6.A16.1 - description: Wird ein Security Information and Event Management (SIEM) genutzt, - SOLLTEN die VDI-Komponenten darin eingebunden werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 - ref_id: SYS.2.6.A16.2 - description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse automatisiert hinsichtlich\ - \ Anomalien inklusive Angriffsmustern analysiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.1 - name: Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A1 - name: Regelungen zur mobilen Nutzung von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 - ref_id: SYS.3.1.A1.1 - description: "Es MUSS klar geregelt werden, was Mitarbeitende bei der mobilen\ - \ Nutzung von Laptops ber\xFCcksichtigen m\xFCssen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 - ref_id: SYS.3.1.A1.2 - description: "Es MUSS insbesondere festgelegt werden, welche Laptops mobil genutzt\ - \ werden d\xFCrfen, wer sie mitnehmen darf und welche grundlegenden Sicherheitsma\xDF\ - nahmen dabei zu beachten sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 - ref_id: SYS.3.1.A1.3 - description: "Die Benutzenden M\xDCSSEN auf die Regelungen hingewiesen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A3 - name: Einsatz von Personal Firewalls - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 - ref_id: SYS.3.1.A3.1 - description: "Auf Laptops MUSS eine Personal Firewall aktiv sein, wenn sie au\xDF\ - erhalb von Netzen der Institution eingesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 - ref_id: SYS.3.1.A3.2 - description: "Die Filterregeln der Firewall M\xDCSSEN so restriktiv wie m\xF6\ - glich sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 - ref_id: SYS.3.1.A3.3 - description: "Die Filterregeln M\xDCSSEN regelm\xE4\xDFig getestet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 - ref_id: SYS.3.1.A3.4 - description: "Die Personal Firewall MUSS so konfiguriert werden, dass die Benutzenden\ - \ nicht durch Warnmeldungen bel\xE4stigt werden, die sie nicht interpretieren\ - \ k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A6 - name: "Sicherheitsrichtlinien f\xFCr Laptops" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 - ref_id: SYS.3.1.A6.1 - description: "F\xFCr Laptops SOLLTE eine Sicherheitsrichtlinie erstellt werden,\ - \ die regelt, wie die Ger\xE4te benutzt werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 - ref_id: SYS.3.1.A6.2 - description: Die Benutzenden SOLLTEN hinsichtlich des Schutzbedarfs von Laptops - und der dort gespeicherten Daten sensibilisiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 - ref_id: SYS.3.1.A6.3 - description: "Auch SOLLTEN sie auf die spezifischen Gef\xE4hrdungen bzw. die\ - \ entsprechenden Anforderungen f\xFCr die Nutzung aufmerksam gemacht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 - ref_id: SYS.3.1.A6.4 - description: "Sie SOLLTEN au\xDFerdem dar\xFCber informiert werden, welche Art\ - \ von Informationen sie auf Laptops verarbeiten d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A7 - name: "Geregelte \xDCbergabe und R\xFCcknahme eines Laptops" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - ref_id: SYS.3.1.A7.1 - description: "Wenn Laptops von verschiedenen Personen abwechselnd genutzt werden,\ - \ SOLLTE geregelt werden, wie sie sicher \xFCbergeben werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - ref_id: SYS.3.1.A7.2 - description: "Auch SOLLTE geregelt werden, wie sie wieder sicher zur\xFCckzunehmen\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - ref_id: SYS.3.1.A7.3 - description: "Vor der Weitergabe eines Laptops SOLLTEN eventuell vorhandene\ - \ sch\xFCtzenswerte Daten sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - ref_id: SYS.3.1.A7.4 - description: "Falls der Laptop vor der Weitergabe nicht neu aufgesetzt wird,\ - \ SOLLTE sichergestellt sein, dass sich auf dem IT-System und allen damit\ - \ verbundenen Datentr\xE4gern keine Schadsoftware befindet." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 - ref_id: SYS.3.1.A7.5 - description: "Gemeinsam mit einem Laptop SOLLTE ein Merkblatt f\xFCr den sicheren\ - \ Umgang mit dem Ger\xE4t ausgeh\xE4ndigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A8 - name: Sicherer Anschluss von Laptops an Datennetze - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 - ref_id: SYS.3.1.A8.1 - description: Es SOLLTE geregelt werden, wie Laptops sicher an eigene oder fremde - Datennetze und an das Internet angeschlossen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 - ref_id: SYS.3.1.A8.2 - description: "Nur zugelassene Laptops SOLLTEN sich am internen Netz der Institution\ - \ anmelden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A9 - name: Sicherer Fernzugriff mit Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9 - ref_id: SYS.3.1.A9.1 - description: "Aus \xF6ffentlich zug\xE4nglichen Netzen DARF NUR \xFCber einen\ - \ sicheren Kommunikationskanal auf das interne Netz der Institution zugegriffen\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A10 - name: "Abgleich der Datenbest\xE4nde von Laptops" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 - ref_id: SYS.3.1.A10.1 - description: "Es SOLLTE geregelt werden, wie Daten von Laptops in den Informationsverbund\ - \ der Institution \xFCbernommen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 - ref_id: SYS.3.1.A10.2 - description: "Wenn ein Synchronisationstool benutzt wird, SOLLTE sichergestellt\ - \ sein, dass Synchronisationskonflikte aufgel\xF6st werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 - ref_id: SYS.3.1.A10.3 - description: Der Synchronisationsvorgang SOLLTE protokolliert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 - ref_id: SYS.3.1.A10.4 - description: "Au\xDFerdem SOLLTEN die Benutzenden angewiesen werden, die Synchronisationsprotokolle\ - \ zu pr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A11 - name: Sicherstellung der Energieversorgung von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 - ref_id: SYS.3.1.A11.1 - description: "Alle Benutzenden SOLLTEN dar\xFCber informiert werden, wie sie\ - \ die Energieversorgung von Laptops im mobilen Einsatz optimal sicherstellen\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 - ref_id: SYS.3.1.A11.2 - description: "Vorhandene Ersatzakkus SOLLTEN in geeigneten H\xFCllen gelagert\ - \ und transportiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A12 - name: "Verlustmeldung f\xFCr Laptops" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 - ref_id: SYS.3.1.A12.1 - description: Benutzende SOLLTEN umgehend melden, wenn ein Laptop verloren gegangen - ist oder gestohlen wurde. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 - ref_id: SYS.3.1.A12.2 - description: "Daf\xFCr SOLLTE es in der Institution klare Meldewege geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 - ref_id: SYS.3.1.A12.3 - description: Wenn verlorene Laptops wieder auftauchen, SOLLTE untersucht werden, - ob sie eventuell manipuliert wurden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 - ref_id: SYS.3.1.A12.4 - description: Die darauf eingesetzte Software inklusive des Betriebssystems SOLLTE - komplett neu installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A13 - name: "Verschl\xFCsselung von Laptops" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13 - ref_id: SYS.3.1.A13.1 - description: "In Laptops verbaute Datentr\xE4ger wie Festplatten oder SSDs SOLLTEN\ - \ verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A14 - name: Geeignete Aufbewahrung von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 - ref_id: SYS.3.1.A14.1 - description: "Alle Benutzenden SOLLTEN darauf hingewiesen werden, wie Laptops\ - \ au\xDFerhalb der Institution sicher aufzubewahren sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 - ref_id: SYS.3.1.A14.2 - description: "Abh\xE4ngig vom Schutzbedarf der darauf gespeicherten Daten SOLLTEN\ - \ Laptops auch in den R\xE4umen der Institution au\xDFerhalb der Nutzungszeiten\ - \ gegen Diebstahl gesichert bzw. verschlossen aufbewahrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A15 - name: Geeignete Auswahl von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 - ref_id: SYS.3.1.A15.1 - description: "Bevor Laptops beschafft werden, SOLLTE eine Anforderungsanalyse\ - \ durchgef\xFChrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 - ref_id: SYS.3.1.A15.2 - description: "Anhand der Ergebnisse SOLLTEN alle infrage kommenden Ger\xE4te\ - \ bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 - ref_id: SYS.3.1.A15.3 - description: Die Beschaffungsentscheidung SOLLTE mit dem IT-Betrieb abgestimmt - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A16 - name: Zentrale Administration und Verwaltung von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 - ref_id: SYS.3.1.A16.1 - description: Es SOLLTE eine geeignete Regelung definiert werden, wie Laptops - zentral zu administrieren und verwalten sind. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 - ref_id: SYS.3.1.A16.2 - description: "Ein Tool zum zentralen Laptop-Management SOLLTE m\xF6glichst alle\ - \ eingesetzten Betriebssysteme unterst\xFCtzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A17 - name: Sammelaufbewahrung von Laptops - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 - ref_id: SYS.3.1.A17.1 - description: Nicht benutzte Laptops SOLLTEN in einem geeignet abgesicherten - Raum vorgehalten werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 - ref_id: SYS.3.1.A17.2 - description: "Der daf\xFCr genutzte Raum SOLLTE den Anforderungen aus dem Baustein\ - \ INF.5 Raum sowie Schrank f\xFCr technische Infrastruktur entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 - ref_id: SYS.3.1.A18 - name: Einsatz von Diebstahl-Sicherungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 - ref_id: SYS.3.1.A18.1 - description: "Es SOLLTE geregelt werden, welche Diebstahlsicherungen f\xFCr\ - \ Laptops eingesetzt werden sollen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 - ref_id: SYS.3.1.A18.2 - description: Bei mechanischen Sicherungen SOLLTE besonders auf ein gutes Schloss - geachtet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.2.1 - name: Allgemeine Smartphones und Tablets - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A1 - name: "Festlegung einer Richtlinie f\xFCr den Einsatz von Smartphones und Tablets" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 - ref_id: SYS.3.2.1.A1.1 - description: "Bevor eine Institution Smartphones oder Tablets bereitstellt,\ - \ betreibt oder einsetzt, MUSS eine generelle Richtlinie f\xFCr die Nutzung\ - \ und Kontrolle der Ger\xE4te festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 - ref_id: SYS.3.2.1.A1.2 - description: Hierbei MUSS unter anderem festgelegt werden, wer mit Smartphones - auf welche Informationen der Institution zugreifen darf. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A2 - name: "Festlegung einer Strategie f\xFCr die Cloud-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 - ref_id: SYS.3.2.1.A2.1 - description: "Die Institution MUSS im Zusammenhang mit Smartphones und Tablets\ - \ eine generelle Strategie f\xFCr die Cloud-Nutzung sowie f\xFCr den Schutz\ - \ und die Kontrolle der Informationen festlegen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 - ref_id: SYS.3.2.1.A2.2 - description: "Die erlaubte Nutzung von Cloud-Diensten f\xFCr Informationen der\ - \ Institution MUSS gekl\xE4rt und festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 - ref_id: SYS.3.2.1.A2.3 - description: "Es MUSS festgelegt werden, ob und in welchem Umfang Cloud-Dienste\ - \ bei privater Nutzung der Ger\xE4te erlaubt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 - ref_id: SYS.3.2.1.A2.4 - description: "Die Benutzenden M\xDCSSEN regelm\xE4\xDFig bez\xFCglich der Nutzung\ - \ solcher Cloud-Dienste sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A3 - name: "Sichere Grundkonfiguration f\xFCr mobile Ger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - ref_id: SYS.3.2.1.A3.1 - description: "Alle mobilen Endger\xE4te M\xDCSSEN so konfiguriert sein, dass\ - \ sie das erforderliche Schutzniveau angemessen erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - ref_id: SYS.3.2.1.A3.2 - description: "Daf\xFCr MUSS eine passende Grundkonfiguration der Sicherheitsmechanismen\ - \ und -einstellungen zusammengestellt und dokumentiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - ref_id: SYS.3.2.1.A3.3 - description: "Nicht ben\xF6tigte Funktionen SOLLTEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - ref_id: SYS.3.2.1.A3.4 - description: "Die Freischaltung von Kommunikationsschnittstellen MUSS geregelt\ - \ und auf das dienstlich notwendige Ma\xDF reduziert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 - ref_id: SYS.3.2.1.A3.5 - description: Nicht benutzte Schnittstellen SOLLTEN deaktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A4 - name: Verwendung eines Zugriffsschutzes - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.1 - description: "Smartphones und Tablets M\xDCSSEN mit einem angemessen komplexen\ - \ Ger\xE4tesperrcode gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.2 - description: Die Bildschirmsperre MUSS genutzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.3 - description: Die Anzeige von vertraulichen Informationen auf dem Sperrbildschirm - MUSS deaktiviert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.4 - description: "Alle mobilen Ger\xE4te M\xDCSSEN nach einer angemessen kurzen\ - \ Zeitspanne selbstt\xE4tig die Bildschirmsperre aktivieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.5 - description: "Diese Zeitspanne MUSS in Abh\xE4ngigkeit zum angestrebten Schutzniveau\ - \ stehen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.6 - description: "Bei jedem fehlgeschlagenen Versuch, das Ger\xE4t zu entsperren,\ - \ SOLLTE sich die Wartezeit zu einem neuen Versuch verl\xE4ngern." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.7 - description: "Die Anzahl der Ger\xE4tesperrcodes, nach der sich ein Code wiederholen\ - \ darf, SOLLTE festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.8 - description: "Nach mehreren fehlgeschlagenen Versuchen, den Bildschirm zu entsperren,\ - \ SOLLTE sich das mobile Ger\xE4t in den Werkszustand zur\xFCcksetzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.9 - description: "Es SOLLTEN dabei die Daten oder die Verschl\xFCsselungsschl\xFC\ - ssel sicher vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 - ref_id: SYS.3.2.1.A4.10 - description: Es SOLLTE vermieden werden, dass die Benutzenden bei einem Passwortwechsel - Kennworte nutzen, die erst vor Kurzem verwendet wurden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A5 - name: Updates von Betriebssystem und Apps - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 - ref_id: SYS.3.2.1.A5.1 - description: "Bereits bei der Auswahl von zu beschaffenden mobilen Ger\xE4ten\ - \ MUSS die Institution darauf achten, dass die herstellende Institution angibt,\ - \ \xFCber welchen geplanten Nutzungszeitraum Sicherheitsaktualisierungen f\xFC\ - r die Ger\xE4te bereitgestellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 - ref_id: SYS.3.2.1.A5.2 - description: "\xC4ltere Ger\xE4te, f\xFCr die keine Aktualisierungen mehr bereitgestellt\ - \ werden, M\xDCSSEN ausgesondert und durch von der herstellenden Institution\ - \ unterst\xFCtzte Ger\xE4te ersetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 - ref_id: SYS.3.2.1.A5.3 - description: "Apps SOLLTEN ebenfalls NICHT mehr eingesetzt werden, wenn sie\ - \ nicht mehr durch die herstellende Institution unterst\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A6 - name: Datenschutzeinstellungen und Berechtigungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.1 - description: "Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen\ - \ MUSS angemessen eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.2 - description: "Die Datenschutzeinstellungen M\xDCSSEN so restriktiv wie m\xF6\ - glich konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.3 - description: "Insbesondere der Zugriff auf Kamera, Mikrofon sowie Ortungs- und\ - \ Gesundheits- bzw. Fitnessdaten MUSS auf Konformit\xE4t mit den organisationsinternen\ - \ Datenschutz- und Sicherheitsvorgaben \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.4 - description: Der Zugriff MUSS restriktiv konfiguriert bzw. deaktiviert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.5 - description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so festgelegt\ - \ werden, dass sie nicht durch Benutzende oder Apps ge\xE4ndert werden k\xF6\ - nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.6 - description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ - \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 - ref_id: SYS.3.2.1.A6.7 - description: Dies gilt insbesondere auch nach der Installation von Updates. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A7 - name: "Verhaltensregeln bei Sicherheitsvorf\xE4llen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7 - ref_id: SYS.3.2.1.A7.1 - description: "Gehen Ger\xE4te verloren oder werden unberechtigte \xC4nderungen\ - \ an Ger\xE4t und Software festgestellt, M\xDCSSEN die Benutzenden sofort\ - \ die Zust\xE4ndigen informieren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A8 - name: Installation von Apps - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 - ref_id: SYS.3.2.1.A8.1 - description: "Die Institution MUSS regeln, ob, wie und welche Apps Benutzende\ - \ selbst auf ihren Ger\xE4ten installieren d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 - ref_id: SYS.3.2.1.A8.2 - description: "Sie SOLLTEN nur freigegebene Apps installieren d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 - ref_id: SYS.3.2.1.A8.3 - description: "Die Institution MUSS festlegen, aus welchen Quellen Apps installiert\ - \ werden d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 - ref_id: SYS.3.2.1.A8.4 - description: Es MUSS unterbunden werden, dass sich Apps aus nicht zugelassenen - Quellen installieren lassen. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A9 - name: Restriktive Nutzung von funktionalen Erweiterungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 - ref_id: SYS.3.2.1.A9.1 - description: Funktionale Erweiterungen SOLLTEN nur restriktiv genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 - ref_id: SYS.3.2.1.A9.2 - description: "Wenn m\xF6glich, SOLLTE auf funktionale Erweiterungen verzichtet\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 - ref_id: SYS.3.2.1.A9.3 - description: "Die funktionalen Erweiterungen SOLLTEN keinen automatischen Zugriff\ - \ auf sch\xFCtzenswerte Informationen haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 - ref_id: SYS.3.2.1.A9.4 - description: "Sie SOLLTEN die festgelegte Grundkonfiguration nicht umgehen oder\ - \ \xE4ndern k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A10 - name: "Richtlinie f\xFCr Mitarbeitende zur Benutzung von mobilen Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 - ref_id: SYS.3.2.1.A10.1 - description: "Eine verbindliche Richtlinie f\xFCr Mitarbeitende zur Benutzung\ - \ von mobilen Ger\xE4ten SOLLTE erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 - ref_id: SYS.3.2.1.A10.2 - description: "Diese SOLLTE festlegen, wie mobile Ger\xE4te genutzt und gepflegt\ - \ werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 - ref_id: SYS.3.2.1.A10.3 - description: Die Themen Aufbewahrung und Verlustmeldung SOLLTEN darin behandelt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 - ref_id: SYS.3.2.1.A10.4 - description: "Au\xDFerdem SOLLTE verboten werden, Verwaltungssoftware zu deinstallieren,\ - \ das Ger\xE4t zu rooten oder sicherheitsrelevante Konfigurationen zu \xE4\ - ndern." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A11 - name: "Verschl\xFCsselung des Speichers" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 - ref_id: SYS.3.2.1.A11.1 - description: "Der nichtfl\xFCchtige Speicher des mobilen Ger\xE4ts SOLLTE verschl\xFC\ - sselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 - ref_id: SYS.3.2.1.A11.2 - description: "Sch\xFCtzenswerte Daten auf zus\xE4tzlich verwendeten Speichermedien,\ - \ wie SD-Karten, SOLLTEN verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A12 - name: "Verwendung nicht personalisierter Ger\xE4tenamen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12 - ref_id: SYS.3.2.1.A12.1 - description: "Der Ger\xE4tename SOLLTE keine Hinweise auf die Institution oder\ - \ die Benutzenden enthalten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A13 - name: Regelungen zum Screensharing und Casting - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 - ref_id: SYS.3.2.1.A13.1 - description: "Es SOLLTE entschieden werden, ob und wie Funktionen zur \xDCbertragung\ - \ von Bildschirminhalten, Audio oder Video (Screensharing oder Casting) eingesetzt\ - \ werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 - ref_id: SYS.3.2.1.A13.2 - description: Die Funktionen SOLLTEN organisatorisch oder technisch geregelt - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 - ref_id: SYS.3.2.1.A13.3 - description: Hierzu SOLLTE eine entsprechende Vereinbarung mit den Benutzenden - getroffen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A16 - name: Deaktivierung nicht benutzter Kommunikationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 - ref_id: SYS.3.2.1.A16.1 - description: Kommunikationsschnittstellen SOLLTEN nur bei Bedarf und nur in - geeigneten Umgebungen aktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 - ref_id: SYS.3.2.1.A16.2 - description: "Wird ein MDM verwendet, SOLLTEN die Schnittstellen zentral \xFC\ - ber das MDM verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A18 - name: Verwendung biometrischer Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 - ref_id: SYS.3.2.1.A18.1 - description: "Wenn biometrische Verfahren zur Authentisierung (z. B. ein Fingerabdrucksensor)\ - \ genutzt werden sollen, SOLLTE gepr\xFCft werden, ob dadurch ein \xE4hnlich\ - \ hoher oder h\xF6herer Schutz im Vergleich zu einem Ger\xE4tepasswort erzielt\ - \ werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 - ref_id: SYS.3.2.1.A18.2 - description: Im Zweifelsfall oder bei einem schlechteren Schutz SOLLTEN biometrische - Verfahren NICHT genutzt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 - ref_id: SYS.3.2.1.A18.3 - description: "Die Benutzenden SOLLTEN f\xFCr die F\xE4lschbarkeit von biometrischen\ - \ Merkmalen sensibilisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A19 - name: Verwendung von Sprachassistenten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 - ref_id: SYS.3.2.1.A19.1 - description: Sprachassistenten SOLLTEN nur eingesetzt werden, wenn sie zwingend - notwendig sind. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 - ref_id: SYS.3.2.1.A19.2 - description: Andernfalls SOLLTEN sie deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 - ref_id: SYS.3.2.1.A19.3 - description: "Generell SOLLTE ein Sprachassistent nicht genutzt werden k\xF6\ - nnen, wenn das Ger\xE4t gesperrt ist." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A22 - name: "Einbindung mobiler Ger\xE4te in die interne Infrastruktur via VPN" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 - ref_id: SYS.3.2.1.A22.1 - description: "Mobile Endger\xE4te SOLLTEN nur mittels eines VPN in die Infrastruktur\ - \ der Institution integriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 - ref_id: SYS.3.2.1.A22.2 - description: "Hierzu SOLLTE ein geeignetes Verfahren ausgew\xE4hlt und eingesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 - ref_id: SYS.3.2.1.A22.3 - description: "Statt durch Passw\xF6rter SOLLTEN sich die Ger\xE4te \xFCber Zertifikate\ - \ gegen\xFCber der internen Infrastruktur authentisieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A25 - name: Nutzung von getrennten Arbeitsumgebungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 - ref_id: SYS.3.2.1.A25.1 - description: "Ist es den Mitarbeitenden erlaubt, dienstliche Ger\xE4te auch\ - \ privat zu nutzen, SOLLTEN L\xF6sungen f\xFCr getrennte Arbeitsumgebungen\ - \ auf dem Endger\xE4t eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 - ref_id: SYS.3.2.1.A25.2 - description: "Wenn m\xF6glich, SOLLTEN daf\xFCr nur zertifizierte Produkte (z.\ - \ B. nach Common Criteria) beschafft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 - ref_id: SYS.3.2.1.A25.3 - description: "Dienstliche Daten SOLLTEN ausschlie\xDFlich in der dienstlichen\ - \ Umgebung verbleiben." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A26 - name: Nutzung von PIM-Containern - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 - ref_id: SYS.3.2.1.A26.1 - description: "Informationen auf den mobilen Endger\xE4ten SOLLTEN gekapselt\ - \ werden, zum Beispiel in einem PIM-Container." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 - ref_id: SYS.3.2.1.A26.2 - description: "Zus\xE4tzlich SOLLTEN die Daten durch eine separate Authentisierung\ - \ und eine vom Betriebssystem unabh\xE4ngige Daten- und Transportverschl\xFC\ - sselung abgesichert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A27 - name: "Einsatz besonders abgesicherter Endger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27 - ref_id: SYS.3.2.1.A27.1 - description: "Institutionen SOLLTEN abh\xE4ngig vom Schutzbedarf besonders abgesicherte\ - \ mobile Endger\xE4te einsetzen, die f\xFCr die Verarbeitung von Informationen\ - \ nach gesetzlichen Informationsschutz-Klassifizierungen zertifiziert sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A28 - name: "Verwendung der Filteroption f\xFCr Webseiten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 - ref_id: SYS.3.2.1.A28.1 - description: "Wird in der Institution bereits ein Reputationsdienst oder ein\ - \ entsprechender Proxy-Server verwendet, SOLLTE dieser als globaler HTTP-Proxy\ - \ f\xFCr alle installierten Browser hinterlegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 - ref_id: SYS.3.2.1.A28.2 - description: "Ist der Proxy nur im internen Netz erreichbar, SOLLTEN die Endger\xE4\ - te \xFCber eine VPN-Verbindung wahlweise permanent oder basierend auf den\ - \ verwendeten Apps geeignet eingebunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 - ref_id: SYS.3.2.1.A28.3 - description: "Sind die mobilen Endger\xE4te nicht in eine vorhandene Proxy-\ - \ oder Reputations-Infrastruktur der Institution eingebunden, SOLLTEN f\xFC\ - r Webbrowser Filteroptionen auf Basis von Allowlists oder Blocklists oder\ - \ Inhaltsfilter Dritter verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A29 - name: Verwendung eines institutionsbezogenen APN - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 - ref_id: SYS.3.2.1.A29.1 - description: "Es SOLLTE gepr\xFCft werden, ob ein institutionsbezogener Zugangspunkt\ - \ zum Mobilfunknetz (APN, Access Point Name) zur Eingrenzung des erlaubten\ - \ Ger\xE4te-Pools verwendet werden kann." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 - ref_id: SYS.3.2.1.A29.2 - description: "Alle Ger\xE4te, die diesen APN verwenden, SOLLTEN vom Mobilfunk-Provider\ - \ einen mit der Institution abgestimmten IP-Adressbereich erhalten." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 - ref_id: SYS.3.2.1.A29.3 - description: "F\xFCr die Authentisierung SOLLTE ein komplexes Passwort mit maximal\ - \ 64 Stellen mit dem Mobilfunk-Provider vereinbart werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 - ref_id: SYS.3.2.1.A29.4 - description: Beim Einsatz eines institutionsbezogenen APN SOLLTE die Authentisierung - auf Basis des Protokolls CHAP realisiert werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A30 - name: "Einschr\xE4nkung der App-Installation mittels Allowlist" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 - ref_id: SYS.3.2.1.A30.1 - description: "Bei erh\xF6htem Schutzbedarf SOLLTEN auf den mobilen Endger\xE4\ - ten nur freigegebene und gepr\xFCfte Apps installiert werden d\xFCrfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 - ref_id: SYS.3.2.1.A30.2 - description: Wird ein MDM eingesetzt, SOLLTE es verhindern, dass andere Apps - installiert werden oder alternativ unbefugt installierte Apps sofort wieder - entfernen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A31 - name: Regelung zu Mobile Payment - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31 - ref_id: SYS.3.2.1.A31.1 - description: Es SOLLTE geregelt werden, ob Mobile Payment mit dienstlichen Smartphones - und Tablets erlaubt wird. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A32 - name: MDM Nutzung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32 - ref_id: SYS.3.2.1.A32.1 - description: Smartphones und Tablets SOLLTEN durch ein MDM-System verwaltet - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A33 - name: Auswahl und Installation von Sicherheits-Apps - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 - ref_id: SYS.3.2.1.A33.1 - description: "Alle mobilen Endger\xE4te SOLLTEN vor Schadprogrammen gesch\xFC\ - tzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 - ref_id: SYS.3.2.1.A33.2 - description: "Falls m\xF6glich, SOLLTEN f\xFCr das Endger\xE4t geeignete Sicherheits-Apps\ - \ ausgew\xE4hlt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 - ref_id: SYS.3.2.1.A33.3 - description: Die Sicherheits-Apps SOLLTEN automatisch, zum Beispiel durch ein - MDM, installiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A34 - name: Konfiguration des verwendeten DNS-Servers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 - ref_id: SYS.3.2.1.A34.1 - description: "Standard-Gateway-Eintr\xE4ge, wie beispielsweise DNS-Server der\ - \ herstellenden oder entwickelnden Institutionen, SOLLTEN durch die des Providers\ - \ oder durch eigene ersetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 - ref_id: SYS.3.2.1.A34.2 - description: Sollte der Provider sogenanntes DNS-over-HTTPS (DoH) anbieten, - SOLLTE dieses verwendet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 - ref_id: SYS.3.2.1.A34.3 - description: Bietet er es noch nicht an, SOLLTE es deaktiviert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 - ref_id: SYS.3.2.1.A35 - name: Verwendung einer Firewall - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35 - ref_id: SYS.3.2.1.A35.1 - description: Auf Smartphones und Tablets SOLLTE eine Firewall installiert und - aktiviert sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.2.2 - name: Mobile Device Management (MDM) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A1 - name: "Festlegung einer Strategie f\xFCr das Mobile Device Management" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.1 - description: "Es MUSS eine Strategie erarbeitet werden, die festlegt, wie Mitarbeitende\ - \ mobile Endger\xE4te benutzen d\xFCrfen und wie die Ger\xE4te in die IT-Strukturen\ - \ der Institution integriert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.2 - description: Grundlage MUSS dabei der Schutzbedarf der zu verarbeitenden Informationen - sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.3 - description: 'Die Strategie MUSS mindestens folgende Aspekte abdecken:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.4 - description: "\u2022 Darf das MDM als Cloud-Dienst betrieben werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.5 - description: "\u2022 Soll das MDM durch die Institution selbst betrieben werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.6 - description: "\u2022 Soll das MDM alle Apps bereitstellen oder d\xFCrfen die\ - \ Benutzenden selber Apps installieren?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.7 - description: Welche Restriktionen gibt die Institution bei bereitgestellten - oder selbst installierten Apps vor? - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.8 - description: "\u2022 Soll das MDM in eine weitere Infrastruktur eingebunden\ - \ werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.9 - description: "\u2022 Welche Anforderungen bez\xFCglich Supportleistungen und\ - \ Reaktionszeiten sind an die anbietende Institution des MDM zu stellen?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.10 - description: "\u2022 Welche Compliance-Anforderungen m\xFCssen durchgesetzt\ - \ werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.11 - description: "\u2022 Welche mobilen Ger\xE4te und welche Betriebssysteme muss\ - \ das MDM unterst\xFCtzen?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.12 - description: "\u2022 Muss die MDM-L\xF6sung mandantenf\xE4hig sein?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.13 - description: "Gew\xE4hrleistet sie die notwendige Mandantentrennung?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.14 - description: "\u2022 M\xFCssen Cloud-Dienste eingebunden werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.15 - description: "\u2022 M\xFCssen Dokumentenmanagementsysteme eingebunden werden?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.16 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.16 - description: "\u2022 Muss das MDM auch Peripherieger\xE4te einbinden und verwalten?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.17 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.17 - description: "\u2022 Welches Betriebsmodell soll eingesetzt werden: private\ - \ Endger\xE4te (Bring Your Own Device, BYOD), personalisierte Endger\xE4te\ - \ (Eigentum der Institution) oder nicht personalisierte Endger\xE4te (Eigentum\ - \ der Institution, gemeinsam genutzt)?" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.18 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 - ref_id: SYS.3.2.2.A1.18 - description: Die Strategie MUSS schriftlich fixiert und von dem oder der ISB - freigegeben werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A2 - name: "Festlegung erlaubter mobiler Endger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 - ref_id: SYS.3.2.2.A2.1 - description: "Es MUSS festgelegt werden, welche mobilen Endger\xE4te und Betriebssysteme\ - \ in der Institution zugelassen sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 - ref_id: SYS.3.2.2.A2.2 - description: "Alle erlaubten Ger\xE4te und Betriebssysteme M\xDCSSEN den Anforderungen\ - \ der MDM-Strategie gen\xFCgen und die technischen Sicherheitsanforderungen\ - \ der Institution vollst\xE4ndig erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 - ref_id: SYS.3.2.2.A2.3 - description: "Das MDM MUSS so konfiguriert werden, dass nur mit freigegebenen\ - \ Ger\xE4ten auf Informationen der Institution zugegriffen werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 - ref_id: SYS.3.2.2.A2.4 - description: "Es D\xDCRFEN nur von der Institution zugelassene mobile Endger\xE4\ - te beschafft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A3 - name: Auswahl eines MDM-Produkts - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 - ref_id: SYS.3.2.2.A3.1 - description: "Wenn eine geeignete MDM-Software beschafft werden soll, MUSS sichergestellt\ - \ sein, dass sich mit ihr alle in der MDM-Strategie festgelegten Anforderungen\ - \ erf\xFCllen lassen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 - ref_id: SYS.3.2.2.A3.2 - description: "Auch MUSS sie s\xE4mtliche technischen und organisatorischen Sicherheitsma\xDF\ - nahmen umsetzen k\xF6nnen und alle zugelassenen mobilen Endger\xE4te unterst\xFC\ - tzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A4 - name: "Verteilung der Grundkonfiguration auf mobile Endger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - ref_id: SYS.3.2.2.A4.1 - description: "Alle mobilen Endger\xE4te M\xDCSSEN, bevor sie eingesetzt werden,\ - \ in das MDM integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - ref_id: SYS.3.2.2.A4.2 - description: "Wenn die Ger\xE4te die Grundkonfiguration erhalten, M\xDCSSEN\ - \ sie sich im Werkszustand befinden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - ref_id: SYS.3.2.2.A4.3 - description: "Die Verbindung der mobilen Endger\xE4te zum MDM MUSS angemessen\ - \ abgesichert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - ref_id: SYS.3.2.2.A4.4 - description: "Bei bereits benutzten Ger\xE4ten M\xDCSSEN vorher alle institutionsbezogenen\ - \ Daten gel\xF6scht werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 - ref_id: SYS.3.2.2.A4.5 - description: "Ein nicht \xFCber MDM konfiguriertes Endger\xE4t DARF NICHT auf\ - \ Informationen der Institution zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A5 - name: Installation des MDM-Clients - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5 - ref_id: SYS.3.2.2.A5.1 - description: "Wenn mobile Endger\xE4te an Mitarbeitende \xFCbergeben werden,\ - \ MUSS, wenn vom Betriebssystem nicht bereits bereitgestellt, darauf der MDM-Client\ - \ installiert und konfiguriert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A6 - name: "Protokollierung des Ger\xE4testatus" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 - ref_id: SYS.3.2.2.A6.1 - description: "Der Lebenszyklus einschlie\xDFlich der Konfigurationshistorie\ - \ eines mobilen Endger\xE4tes SOLLTE ausreichend protokolliert und zentral\ - \ abrufbar sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 - ref_id: SYS.3.2.2.A6.2 - description: "Bei Bedarf SOLLTE der aktuelle Status der verwalteten Endger\xE4\ - te durch den IT-Betrieb ermittelt werden k\xF6nnen (Device Audit)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A7 - name: Installation von Apps - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 - ref_id: SYS.3.2.2.A7.1 - description: "Apps SOLLTEN gem\xE4\xDF den Anforderungen des geplanten Einsatzszenarios\ - \ \xFCber das MDM installiert, deinstalliert und aktualisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 - ref_id: SYS.3.2.2.A7.2 - description: "Das MDM SOLLTE die Installation, Deinstallation und Aktualisierung\ - \ erzwingen, sobald eine Verbindung zum mobilen Endger\xE4t besteht." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 - ref_id: SYS.3.2.2.A7.3 - description: "\xDCber das MDM installierte Apps SOLLTEN NICHT durch Benutzende\ - \ deinstalliert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 - ref_id: SYS.3.2.2.A7.4 - description: "Das MDM SOLLTE eine Block- oder Allow-List f\xFCr die Installation\ - \ von Apps erm\xF6glichen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A12 - name: Absicherung der MDM-Betriebsumgebung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 - ref_id: SYS.3.2.2.A12.1 - description: "Das MDM selbst SOLLTE durch technische Ma\xDFnahmen abgesichert\ - \ werden, um dem Schutzbedarf der hinterlegten oder verarbeiteten Informationen\ - \ zu gen\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 - ref_id: SYS.3.2.2.A12.2 - description: "Das zugrundeliegende Betriebssystem SOLLTE geh\xE4rtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A14 - name: "Benutzung externer Reputation-Services f\xFCr Apps" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 - ref_id: SYS.3.2.2.A14.1 - description: "Wenn die Administrierenden einer Institution die erlaubten Apps\ - \ nicht selbst ausw\xE4hlen k\xF6nnen und die Benutzenden selbstst\xE4ndig\ - \ Apps auf ihren Ger\xE4ten installieren d\xFCrfen, SOLLTE ein sogenannter\ - \ Reputation-Service eingesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 - ref_id: SYS.3.2.2.A14.2 - description: "Das MDM SOLLTE dann mithilfe dieser Informationen aus dem Reputation-Service\ - \ die Installation von Apps zumindest einschr\xE4nken." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A17 - name: "Kontrolle der Nutzung von mobilen Endger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 - ref_id: SYS.3.2.2.A17.1 - description: "Es SOLLTEN angemessene Kriterien definiert werden, aufgrund derer\ - \ die Ger\xE4te zu \xFCberwachen sind, ohne gegen gesetzliche oder interne\ - \ Regelungen zu versto\xDFen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 - ref_id: SYS.3.2.2.A17.2 - description: Insbesondere SOLLTEN sogenannte Jailbreaks oder sogenanntes Routen - erkannt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A19 - name: Einsatz von Geofencing - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.1 - description: "Durch die Hinterlegung einer Geofencing-Richtlinie SOLLTE sichergestellt\ - \ werden, dass Ger\xE4te mit schutzbed\xFCrftigen Informationen nicht au\xDF\ - erhalb eines zuvor festgelegten geografischen Bereichs verwendet werden k\xF6\ - nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.2 - description: "Wird der geografische Bereich verlassen, SOLLTEN entsprechend\ - \ klassifizierte Informationen oder das Ger\xE4t vollst\xE4ndig gel\xF6scht\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.3 - description: "Bevor das Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht wird,\ - \ SOLLTEN die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ - \ sowie die Benutzenden informiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.4 - description: "Erst mit einer angemessenen zeitlichen Verz\xF6gerung SOLLTE das\ - \ Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.5 - description: "Die Bereiche, an denen diese zus\xE4tzlichen Sicherheitsma\xDF\ - nahmen n\xF6tig sind, SOLLTEN identifiziert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 - ref_id: SYS.3.2.2.A19.6 - description: "Anschlie\xDFend SOLLTEN die Sicherheitsma\xDFnahmen unter Beachtung\ - \ gesetzlicher und interner Regelungen umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A20 - name: "Regelm\xE4\xDFige \xDCberpr\xFCfung des MDM" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 - ref_id: SYS.3.2.2.A20.1 - description: "Sicherheitseinstellungen M\xDCSSEN regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 - ref_id: SYS.3.2.2.A20.2 - description: "Bei neuen Betriebssystemversionen der mobilen Endger\xE4te MUSS\ - \ vorab gepr\xFCft werden, ob das MDM diese vollst\xE4ndig unterst\xFCtzt\ - \ und die Konfigurationsprofile und Sicherheitseinstellungen weiterhin wirksam\ - \ und ausreichend sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 - ref_id: SYS.3.2.2.A20.3 - description: "Abweichungen M\xDCSSEN korrigiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 - ref_id: SYS.3.2.2.A20.4 - description: "Die zugeteilten Berechtigungen f\xFCr Benutzende und Administrierende\ - \ M\xDCSSEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie weiterhin\ - \ angemessen sind (Minimalprinzip)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A21 - name: Verwaltung von Zertifikaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 - ref_id: SYS.3.2.2.A21.1 - description: "Zertifikate zur Nutzung von Diensten auf dem mobilen Endger\xE4\ - t SOLLTEN zentral \xFCber das MDM installiert, deinstalliert und aktualisiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 - ref_id: SYS.3.2.2.A21.2 - description: "Die Installation von nicht vertrauensw\xFCrdigen und nicht verifizierbaren\ - \ (Root-) Zertifikaten durch Benutzende SOLLTE durch das MDM verhindert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 - ref_id: SYS.3.2.2.A21.3 - description: "Das MDM SOLLTE Mechanismen unterst\xFCtzen, um die G\xFCltigkeit\ - \ von Zertifikaten zu \xFCberpr\xFCfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A22 - name: "Fernl\xF6schung und Au\xDFerbetriebnahme von Endger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - ref_id: SYS.3.2.2.A22.1 - description: "Das MDM SOLLTE sicherstellen, dass s\xE4mtliche dienstliche Daten\ - \ auf dem mobilen Endger\xE4t aus der Ferne gel\xF6scht werden k\xF6nnen (Remote\ - \ Wipe bei bestehender Datenverbindung)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - ref_id: SYS.3.2.2.A22.2 - description: "Werden in dem mobilen Endger\xE4t externe Speicher genutzt, SOLLTE\ - \ gepr\xFCft werden, ob diese bei einem Remote Wipe ebenfalls gel\xF6scht\ - \ werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - ref_id: SYS.3.2.2.A22.3 - description: "Diese Funktion SOLLTE vom MDM unterst\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - ref_id: SYS.3.2.2.A22.4 - description: "Der Prozess zur Au\xDFerbetriebnahme des mobilen Endger\xE4tes\ - \ (Unenrollment) SOLLTE sicherstellen, dass keine schutzbed\xFCrftigen Daten\ - \ auf dem mobilen Endger\xE4t oder eingebundenen Speichermedien verbleiben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 - ref_id: SYS.3.2.2.A22.5 - description: "Dies SOLLTE insbesondere dann gelten, wenn das Unenrollment aus\ - \ der Ferne ausgef\xFChrt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 - ref_id: SYS.3.2.2.A23 - name: Durchsetzung von Compliance-Anforderungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.1 - description: "Verst\xF6\xDFe gegen die Regelungen der Institution oder sogar\ - \ eine Manipulation des Betriebssystems SOLLTEN mit einer geeigneten L\xF6\ - sung erkannt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.2 - description: "Die folgenden Aktionen SOLLTEN bei Verdacht auf Versto\xDF gegen\ - \ Regelungen oder Manipulation des Betriebssystems ausgef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.3 - description: 'Hierzu SOLLTEN entsprechende Funktionen bereitgestellt werden:' - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.4 - description: "1. selbstst\xE4ndiges Versenden von Warnhinweisen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.5 - description: "2. selbstst\xE4ndiges Sperren des Ger\xE4ts," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.6 - description: "3. L\xF6schen der vertraulichen Informationen der Institution," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.7 - description: "4. L\xF6schen des kompletten Ger\xE4ts," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.8 - description: 5. Verhindern des Zugangs zu Unternehmens-Apps sowie - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.9 - description: 6. Verhindern des Zugangs zu den Systemen und Informationen der - Institution. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 - ref_id: SYS.3.2.2.A23.10 - description: "Bei Verdacht auf einen Versto\xDF oder eine Manipulation SOLLTE\ - \ ein Alarm an die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ - \ in der Institution gesandt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.2.3 - name: iOS (for Enterprise) - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A1 - name: "Strategie f\xFCr die iOS-Nutzung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 - ref_id: SYS.3.2.3.A1.1 - description: "Wird ein MDM eingesetzt, so M\xDCSSEN die iOS-basierten Ger\xE4\ - te \xFCber das MDM verwaltet und konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 - ref_id: SYS.3.2.3.A1.2 - description: "Hierzu MUSS eine Strategie zur iOS-Nutzung vorliegen, in der Aspekte\ - \ wie die Auswahl der Endger\xE4te oder Strategien f\xFCr Datensicherungen\ - \ festgelegt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 - ref_id: SYS.3.2.3.A1.3 - description: "Es MUSS geregelt werden, ob zus\xE4tzliche Apps von Drittanbietenden\ - \ genutzt werden sollen bzw. d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 - ref_id: SYS.3.2.3.A1.4 - description: "Au\xDFerdem M\xDCSSEN Jailbreaks organisatorisch untersagt und\ - \ nach M\xF6glichkeit technisch verhindert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A2 - name: Planung des Einsatzes von Cloud-Diensten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 - ref_id: SYS.3.2.3.A2.1 - description: "Bevor iOS-basierte Ger\xE4te verwendet werden, MUSS festgelegt\ - \ werden, welche Cloud-Services in welchem Umfang genutzt werden sollen bzw.\ - \ d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 - ref_id: SYS.3.2.3.A2.2 - description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass iOS-basierte Ger\xE4\ - te grunds\xE4tzlich eng mit iCloud-Diensten von Apple verzahnt sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 - ref_id: SYS.3.2.3.A2.3 - description: "Au\xDFerdem SOLLTE ber\xFCcksichtigt werden, dass beispielsweise\ - \ bereits die Aktivierung von Einzelger\xE4ten mit einer Apple-ID hiervon\ - \ betroffen ist." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 - ref_id: SYS.3.2.3.A2.4 - description: "Daher SOLLTE gepr\xFCft werden, ob zur Ger\xE4teregistrierung\ - \ Apple Business Manager (fr\xFCher Device Enrollment Program, DEP) genutzt\ - \ werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A7 - name: "Verhinderung des unautorisierten L\xF6schens von Konfigurationsprofilen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 - ref_id: SYS.3.2.3.A7.1 - description: "Damit Konfigurationsprofile nicht unautorisiert gel\xF6scht werden\ - \ k\xF6nnen, M\xDCSSEN geeignete technische (z. B. durch den betreuten Modus)\ - \ oder organisatorische Ma\xDFnahmen getroffen und umgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 - ref_id: SYS.3.2.3.A7.2 - description: "Benutzende von mobilen Endger\xE4ten SOLLTEN f\xFCr den Sinn und\ - \ Zweck der Sicherheitsma\xDFnahmen sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A12 - name: Verwendung von Apple-IDs - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 - ref_id: SYS.3.2.3.A12.1 - description: "Statt einer pers\xF6nlichen Apple-ID der Benutzenden SOLLTE eine\ - \ anonymisierte Apple-ID verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 - ref_id: SYS.3.2.3.A12.2 - description: "Falls m\xF6glich, SOLLTE der Apple Business Manager f\xFCr Volumenlizenzen\ - \ (fr\xFCher Volume Purchase Program, VPP) sowie eine zentralisierte Installation\ - \ von Apps verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A13 - name: "Verwendung der Konfigurationsoption \u201EEinschr\xE4nkungen unter iOS\u201C" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 - ref_id: SYS.3.2.3.A13.1 - description: "Alle nicht ben\xF6tigten oder erlaubten Funktionen bzw. Dienste\ - \ von iOS SOLLTEN deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 - ref_id: SYS.3.2.3.A13.2 - description: "Basierend auf dem Einsatzzweck und dem zugrundeliegenden Schutzbedarf\ - \ SOLLTE gepr\xFCft werden, welche der Funktionen \u201ESperrbildschirm\u201C\ - , \u201EUnified Communication\u201C, \u201ESiri\u201C, \u201EHintergrundbild\u201C\ - , \u201EVerbindung mit Host-Systemen\u201C und \u201EDiagnose- und Nutzungsdaten\u201C\ - \ einzusetzen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A14 - name: Verwendung der iCloud-Infrastruktur - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 - ref_id: SYS.3.2.3.A14.1 - description: "Bevor die umf\xE4ngliche oder selektive Nutzung der iCloud-Infrastruktur\ - \ f\xFCr eine dienstliche Nutzung freigegeben wird, SOLLTE bewertet werden,\ - \ ob die allgemeinen Gesch\xE4ftsbedingungen der Firma Apple mit den internen\ - \ Richtlinien hinsichtlich Verf\xFCgbarkeit, Vertraulichkeit, Integrit\xE4\ - t und Datenschutz vereinbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 - ref_id: SYS.3.2.3.A14.2 - description: "Wird die Nutzung der iCloud-Infrastruktur erlaubt, SOLLTE die\ - \ Identit\xE4t am iCloud-Webservice durch eine Zwei-Faktor-Authentisierung\ - \ gepr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 - ref_id: SYS.3.2.3.A14.3 - description: "Ansonsten SOLLTE die iCloud-Nutzung f\xFCr einen rein dienstlichen\ - \ Bedarf auf ein geringes Ma\xDF reduziert oder komplett ausgeschlossen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A15 - name: Verwendung der Continuity-Funktionen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 - ref_id: SYS.3.2.3.A15.1 - description: "Wurde die Nutzung der iCloud-Infrastruktur nicht grunds\xE4tzlich\ - \ durch das Sicherheitsmanagement der Institution untersagt, SOLLTE die Vereinbarkeit\ - \ der Continuity-Funktionen mit den internen Richtlinien unter Ber\xFCcksichtigung\ - \ der Aspekte Vertraulichkeit und Integrit\xE4t bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 - ref_id: SYS.3.2.3.A15.2 - description: "Auf Basis der Bewertungsergebnisse SOLLTE geregelt werden, inwieweit\ - \ diese Funktionen technisch bzw. organisatorisch eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A17 - name: "Verwendung der Ger\xE4tecode-Historie" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17 - ref_id: SYS.3.2.3.A17.1 - description: Im Konfigurationsprofil SOLLTE die Anzahl der eindeutigen Codes - bis zur ersten Wiederholung auf einen angemessenen Wert festgelegt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A18 - name: "Verwendung der Konfigurationsoption f\xFCr den Browser Safari" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 - ref_id: SYS.3.2.3.A18.1 - description: "Die bereits in der Institution etablierten Browserrichtlinien\ - \ SOLLTEN entsprechend auch f\xFCr Safari durch technische und organisatorische\ - \ Ma\xDFnahmen umgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 - ref_id: SYS.3.2.3.A18.2 - description: "Dabei SOLLTEN die bereits etablierten Anforderungen f\xFCr Browser\ - \ auf station\xE4ren und tragbaren PCs als Grundlage f\xFCr die Absicherung\ - \ der iOS-basierten Ger\xE4te dienen sowie die Einsatzszenarien." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 - ref_id: SYS.3.2.3.A18.3 - description: "Das Einsatzumfeld der Ger\xE4te SOLLTE beachtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A21 - name: Installation von Apps und Einbindung des Apple App Stores - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 - ref_id: SYS.3.2.3.A21.1 - description: "Um sicherzustellen, dass den autorisierten Benutzenden die ben\xF6\ - tigten Apps zum notwendigen Zeitpunkt ausreichend zur Verf\xFCgung stehen,\ - \ SOLLTE \xFCberlegt werden, den Apple Business Manager in die MDM-Infrastruktur\ - \ zu integrieren." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 - ref_id: SYS.3.2.3.A21.2 - description: "Zahlungen im App Store SOLLTE NICHT \xFCber biometrische Verfahren\ - \ best\xE4tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A23 - name: "Verwendung der automatischen Konfigurationsprofill\xF6schung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - ref_id: SYS.3.2.3.A23.1 - description: "Ger\xE4te, die \xFCber einen klar definierten Zeitraum durchg\xE4\ - ngig offline sind, SOLLTEN ihren Zugang zur internen Infrastruktur verlieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - ref_id: SYS.3.2.3.A23.2 - description: "Nach Ablauf des definierten Zeitraums oder an einem bestimmten\ - \ Tag, SOLLTE das Konfigurationsprofil ohne Zutun des IT-Betriebs gel\xF6\ - scht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - ref_id: SYS.3.2.3.A23.3 - description: "Falls Benutzende des Ger\xE4ts vor Ablauf der Frist auf das interne\ - \ Netz zugreift, SOLLTE der Zeitraum bis zur automatischen L\xF6schung des\ - \ Konfigurationsprofils erneuert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - ref_id: SYS.3.2.3.A23.4 - description: "Falls sicherzustellen ist, ob die Benutzenden noch im Besitz ihres\ - \ Ger\xE4tes sind, SOLLTEN sie aktiv zum Zugriff innerhalb einer Frist aufgefordert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 - ref_id: SYS.3.2.3.A23.5 - description: "Falls die Frist ohne Zugriff verstreicht, sollte das Konfigurationsprofil\ - \ der entsprechenden Benutzenden automatisch gel\xF6scht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A25 - name: "Verwendung der Konfigurationsoption f\xFCr AirPrint" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 - ref_id: SYS.3.2.3.A25.1 - description: Freigegebene AirPrint-Drucker SOLLTEN den Benutzenden durch ein - Konfigurationsprofil bereitgestellt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 - ref_id: SYS.3.2.3.A25.2 - description: "Um zu vermeiden, dass Informationen auf nicht vertrauensw\xFC\ - rdigen Druckern von Benutzenden ausgedruckt werden k\xF6nnen, SOLLTEN stets\ - \ alle Kommunikationsverbindungen \xFCber die Infrastruktursysteme der Institution\ - \ gef\xFChrt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 - ref_id: SYS.3.2.3.A26 - name: Keine Verbindung mit Host-Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26 - ref_id: SYS.3.2.3.A26.1 - description: "Um zu vermeiden, dass iOS-basierte Ger\xE4te unautorisiert mit\ - \ anderen IT-Systemen verbunden werden, SOLLTEN die Benutzenden iOS-basierte\ - \ Ger\xE4te ausschlie\xDFlich mit dem MDM verbinden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.2.4 - name: Android - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 - ref_id: SYS.3.2.4.A2 - name: Deaktivieren des Entwicklermodus - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2 - ref_id: SYS.3.2.4.A2.1 - description: "In allen Android-basierten Ger\xE4ten SOLLTE der Entwicklermodus\ - \ deaktiviert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 - ref_id: SYS.3.2.4.A3 - name: "Einsatz des Multi-User- und G\xE4ste-Modus" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 - ref_id: SYS.3.2.4.A3.1 - description: "Es SOLLTE geregelt sein, ob ein Ger\xE4t mit anderen Personen\ - \ geteilt werden darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 - ref_id: SYS.3.2.4.A3.2 - description: "Es SOLLTE festgelegt werden, ob dazu der Multi-User- oder G\xE4\ - ste-Modus verwendet werden muss." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 - ref_id: SYS.3.2.4.A3.3 - description: "Benutzende auf einem Android-basierten Ger\xE4t SOLLTEN nat\xFC\ - rliche Personen sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 - ref_id: SYS.3.2.4.A5 - name: Erweiterte Sicherheitseinstellungen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 - ref_id: SYS.3.2.4.A5.1 - description: "Es SOLLTEN nur freigegebene Sicherheits-Apps Rechte zur Ger\xE4\ - teadministration bekommen oder sich als \u201ETrust Agents\u201C eintragen\ - \ lassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 - ref_id: SYS.3.2.4.A5.2 - description: "Dies SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 - ref_id: SYS.3.2.4.A5.3 - description: "Weiterhin SOLLTE es nur erlaubten Apps m\xF6glich sein, auf Nutzungsdaten\ - \ und auf Benachrichtigungen zuzugreifen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.3.3 - name: Mobiltelefon - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A1 - name: "Sicherheitsrichtlinien und Regelungen f\xFCr die Nutzung von Mobiltelefonen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 - ref_id: SYS.3.3.A1.1 - description: "Im Hinblick auf die Nutzung und Kontrolle der Ger\xE4te MUSS eine\ - \ Sicherheitsrichtlinie erstellt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 - ref_id: SYS.3.3.A1.2 - description: "Jeder benutzenden Person eines Mobiltelefons MUSS ein Exemplar\ - \ der Sicherheitsrichtlinie ausgeh\xE4ndigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 - ref_id: SYS.3.3.A1.3 - description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsrichtlinie\ - \ eingehalten wird." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 - ref_id: SYS.3.3.A1.4 - description: "Die Sicherheitsrichtlinie zur dienstlichen Nutzung von Mobiltelefonen\ - \ SOLLTE Bestandteil der Schulung zu Sicherheitsma\xDFnahmen sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A2 - name: "Sperrma\xDFnahmen bei Verlust eines Mobiltelefons" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 - ref_id: SYS.3.3.A2.1 - description: Bei Verlust eines Mobiltelefons MUSS die darin verwendete SIM-Karte - zeitnah gesperrt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 - ref_id: SYS.3.3.A2.2 - description: "Falls m\xF6glich, SOLLTEN vorhandene Mechanismen zum Diebstahlschutz,\ - \ wie Fernl\xF6schung oder -sperrung, genutzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 - ref_id: SYS.3.3.A2.3 - description: "Alle notwendigen Informationen zur Sperrung von SIM-Karte und\ - \ Mobiltelefon M\xDCSSEN unmittelbar griffbereit sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A3 - name: Sensibilisierung und Schulung der Mitarbeitenden im Umgang mit Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 - ref_id: SYS.3.3.A3.1 - description: "Mitarbeitende M\xDCSSEN f\xFCr die besonderen Gef\xE4hrdungen\ - \ der Informationssicherheit durch Mobiltelefone sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 - ref_id: SYS.3.3.A3.2 - description: "Sie M\xDCSSEN in die Sicherheitsfunktion der Mobiltelefone eingewiesen\ - \ sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 - ref_id: SYS.3.3.A3.3 - description: "Den Benutzenden MUSS der Prozess bekannt sein, durch den die Mobiltelefone\ - \ gesperrt werden k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 - ref_id: SYS.3.3.A3.4 - description: "Die Benutzenden M\xDCSSEN darauf hingewiesen werden, wie die Mobiltelefone\ - \ sicher und korrekt aufbewahrt werden sollten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A4 - name: "Aussonderung und ordnungsgem\xE4\xDFe Entsorgung von Mobiltelefonen und\ - \ darin verwendeter Speicherkarten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 - ref_id: SYS.3.3.A4.1 - description: "Mobiltelefone M\xDCSSEN vor der Entsorgung auf den Werkszustand\ - \ zur\xFCckgesetzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 - ref_id: SYS.3.3.A4.2 - description: "Es MUSS \xFCberpr\xFCft werden, ob alle Daten gel\xF6scht wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 - ref_id: SYS.3.3.A4.3 - description: "Es SOLLTE zudem sichergestellt werden, dass die Mobiltelefone\ - \ und eventuell darin verwendete Speicherkarten ordnungsgem\xE4\xDF entsorgt\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 - ref_id: SYS.3.3.A4.4 - description: "Falls die Mobiltelefone und Speicherkarten erst zu einem sp\xE4\ - teren Zeitpunkt beziehungsweise in gr\xF6\xDFerer Anzahl entsorgt werden,\ - \ M\xDCSSEN die gesammelten Mobiltelefone und Speicherkarten vor unberechtigtem\ - \ Zugriff gesch\xFCtzt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A5 - name: Nutzung der Sicherheitsmechanismen von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - ref_id: SYS.3.3.A5.1 - description: "Die verf\xFCgbaren Sicherheitsmechanismen SOLLTEN auf den Mobiltelefonen\ - \ genutzt und vorkonfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - ref_id: SYS.3.3.A5.2 - description: "Die SIM-Karte SOLLTE durch eine sichere PIN gesch\xFCtzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - ref_id: SYS.3.3.A5.3 - description: "Die Super-PIN/PUK SOLLTE nur im Rahmen der definierten Prozesse\ - \ von den Zust\xE4ndigen benutzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - ref_id: SYS.3.3.A5.4 - description: "Das Mobiltelefon SOLLTE durch einen Ger\xE4te-Code gesch\xFCtzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 - ref_id: SYS.3.3.A5.5 - description: "Falls m\xF6glich, SOLLTE das Ger\xE4t an die SIM-Karte gebunden\ - \ werden (SIM-Lock)." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A6 - name: Updates von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 - ref_id: SYS.3.3.A6.1 - description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob es Softwareupdates\ - \ f\xFCr die Mobiltelefone gibt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 - ref_id: SYS.3.3.A6.2 - description: Der Umgang mit Updates SOLLTE geregelt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 - ref_id: SYS.3.3.A6.3 - description: "Wenn es neue Softwareupdates gibt, SOLLTE festgelegt werden, wie\ - \ die Benutzenden dar\xFCber informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 - ref_id: SYS.3.3.A6.4 - description: "Es SOLLTE festgelegt werden, ob die Benutzenden die Updates selber\ - \ installieren d\xFCrfen, oder ob die Mobiltelefone an einer zentralen Stelle\ - \ hierf\xFCr abgegeben werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A7 - name: Beschaffung von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 - ref_id: SYS.3.3.A7.1 - description: Bevor Mobiltelefone beschafft werden, SOLLTE eine Anforderungsliste - erstellt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 - ref_id: SYS.3.3.A7.2 - description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ - \ Produkte bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 - ref_id: SYS.3.3.A7.3 - description: "Das Produkt SOLLTE danach ausgew\xE4hlt werden, ob die Herstellenden\ - \ f\xFCr den geplanten Einsatzzeitraum Updates anbieten." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 - ref_id: SYS.3.3.A7.4 - description: "Es SOLLTE gew\xE4hrleistet werden, dass Ersatzteile wie Akkus\ - \ und Ladeger\xE4te in ausreichender Qualit\xE4t nachbeschafft werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A8 - name: Nutzung drahtloser Schnittstellen von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8 - ref_id: SYS.3.3.A8.1 - description: "Drahtlose Schnittstellen von Mobiltelefonen wie IrDA, WLAN oder\ - \ Bluetooth SOLLTEN deaktiviert werden, solange sie nicht ben\xF6tigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A9 - name: Sicherstellung der Energieversorgung von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 - ref_id: SYS.3.3.A9.1 - description: "Es SOLLTEN angemessene Ma\xDFnahmen getroffen werden, um die dauerhafte\ - \ Energieversorgung von Mobiltelefonen sicherzustellen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 - ref_id: SYS.3.3.A9.2 - description: Je nach Bedarf SOLLTEN Wechselakkus oder Powerbanks eingesetzt - werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A10 - name: "Sichere Daten\xFCbertragung \xFCber Mobiltelefone" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 - ref_id: SYS.3.3.A10.1 - description: "Es SOLLTE geregelt sein, welche Daten \xFCber Mobiltelefone \xFC\ - bertragen werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 - ref_id: SYS.3.3.A10.2 - description: "Die daf\xFCr erlaubten Schnittstellen SOLLTEN festgelegt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 - ref_id: SYS.3.3.A10.3 - description: "Au\xDFerdem SOLLTE beschlossen werden, wie die Daten bei Bedarf\ - \ zu verschl\xFCsseln sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A11 - name: Ausfallvorsorge bei Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 - ref_id: SYS.3.3.A11.1 - description: "Die auf einem Mobiltelefon gespeicherten Daten SOLLTEN in regelm\xE4\ - \xDFigen Abst\xE4nden auf einem externen Medium gesichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 - ref_id: SYS.3.3.A11.2 - description: "Muss ein defektes Mobiltelefon repariert werden, SOLLTEN zuvor\ - \ alle Daten gel\xF6scht und das Ger\xE4t auf den Werkszustand zur\xFCckgesetzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 - ref_id: SYS.3.3.A11.3 - description: "Es SOLLTEN immer Ersatzger\xE4te vorhanden sein, um ein ausgefallenes\ - \ Mobiltelefon kurzfristig ersetzen zu k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A12 - name: Einrichtung eines Mobiltelefon-Pools - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - ref_id: SYS.3.3.A12.1 - description: "Bei h\xE4ufig wechselnden Benutzenden dienstlicher Mobiltelefone\ - \ SOLLTE eine Sammelaufbewahrung (Pool) eingerichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - ref_id: SYS.3.3.A12.2 - description: "Die Ausgabe und R\xFCcknahme von Mobiltelefonen und Zubeh\xF6\ - r SOLLTE dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - ref_id: SYS.3.3.A12.3 - description: "Vor der Ausgabe SOLLTE sichergestellt werden, dass die Mobiltelefone\ - \ aufgeladen und mit den n\xF6tigen Programmen und Daten f\xFCr die neuen\ - \ Besitzenden ausgestattet sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - ref_id: SYS.3.3.A12.4 - description: Zudem SOLLTEN die Benutzenden auf die Einhaltung der Sicherheitsleitlinie - hingewiesen werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 - ref_id: SYS.3.3.A12.5 - description: "Nachdem die Ger\xE4te wieder zur\xFCckgegeben wurden, SOLLTEN\ - \ sie auf den Werkszustand zur\xFCckgesetzt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A13 - name: Schutz vor der Erstellung von Bewegungsprofilen bei der Nutzung von Mobilfunk - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 - ref_id: SYS.3.3.A13.1 - description: "Es SOLLTE gekl\xE4rt werden, ob sich die Erstellung von Bewegungsprofilen\ - \ durch Dritte negativ auswirken kann oder als Problem angesehen wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 - ref_id: SYS.3.3.A13.2 - description: "Um eine Ortung \xFCber GPS zu verhindern, SOLLTE diese Funktion\ - \ abgeschaltet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 - ref_id: SYS.3.3.A13.3 - description: "Falls eine Ortung \xFCber das Mobilfunknetz verhindert werden\ - \ soll, SOLLTE das Mobiltelefon abgeschaltet und der Akku entfernt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A14 - name: Schutz vor Rufnummernermittlung bei der Nutzung von Mobiltelefonen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 - ref_id: SYS.3.3.A14.1 - description: "Um zu verhindern, dass die verwendeten Rufnummern bestimmten Personen\ - \ zugeordnet werden k\xF6nnen, SOLLTEN Rufnummern f\xFCr ausgehende Anrufe\ - \ unterdr\xFCckt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 - ref_id: SYS.3.3.A14.2 - description: "Au\xDFerdem SOLLTEN KEINE SMS- und MMS-Nachrichten versendet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 - ref_id: SYS.3.3.A14.3 - description: "Rufnummern von Mobiltelefonen SOLLTEN NICHT ver\xF6ffentlicht\ - \ oder an unbefugte Dritte weitergegeben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 - ref_id: SYS.3.3.A15 - name: "Schutz vor Abh\xF6ren der Raumgespr\xE4che \xFCber Mobiltelefone" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 - ref_id: SYS.3.3.A15.1 - description: "Damit vertrauliche Informationen nicht abgeh\xF6rt werden k\xF6\ - nnen, SOLLTE daf\xFCr gesorgt werden, dass keine Mobiltelefone zu vertraulichen\ - \ Besprechungen und Gespr\xE4chen in die entsprechenden R\xE4ume mitgenommen\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 - ref_id: SYS.3.3.A15.2 - description: "Falls erforderlich, SOLLTE das Mitf\xFChrungsverbot durch Mobilfunk-Detektoren\ - \ \xFCberpr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.4.1 - name: "Drucker, Kopierer und Multifunktionsger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A1 - name: "Planung des Einsatzes von Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.1 - description: "Bevor Drucker, Kopierer und Multifunktionsger\xE4te beschafft\ - \ werden, MUSS der sichere Einsatz geplant werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.2 - description: "Dabei SOLLTEN folgende Kriterien ber\xFCcksichtigt werden:" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.3 - description: "\u2022 Unterst\xFCtzung sicherer Protokolle zur Daten\xFCbertragung\ - \ und Administration," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.4 - description: "\u2022 Verschl\xFCsselung der abgespeicherten Informationen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.5 - description: "\u2022 Authentisierung der Benutzenden direkt am Ger\xE4t," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.6 - description: "\u2022 Nutzung physischer Schutzmechanismen, wie \xD6sen zum Diebstahlschutz\ - \ oder Ger\xE4teschl\xF6sser," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.7 - description: "\u2022 Existenz eines zuverl\xE4ssigen und leistungsf\xE4higen\ - \ automatischen Seiteneinzugs der Scaneinheit," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.8 - description: "\u2022 Unterst\xFCtzung geeigneter Datenformate," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.9 - description: "\u2022 Bei Bedarf Unterst\xFCtzung von Patch- sowie Barcodes zur\ - \ Dokumententrennung und \xDCbergabe von Metainformationen," - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.10 - description: "\u2022 Existenz einer Funktion zum sicheren L\xF6schen des Speichers\ - \ sowie" - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.11 - description: "\u2022 Verf\xFCgbarkeit von regelm\xE4\xDFigen Updates und Wartungsvertr\xE4\ - gen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.12 - description: "Es MUSS festgelegt werden, wo die Ger\xE4te aufgestellt werden\ - \ d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.13 - description: "Au\xDFerdem MUSS festgelegt sein, wer auf die Drucker, Kopierer\ - \ und Multifunktionsger\xE4te zugreifen darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 - ref_id: SYS.4.1.A1.14 - description: Die Ergebnisse SOLLTEN in einem Basiskonzept dokumentiert werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A2 - name: "Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsger\xE4\ - te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - ref_id: SYS.4.1.A2.1 - description: "Der IT-Betrieb MUSS Drucker, Kopierer und Multifunktionsger\xE4\ - te so aufstellen und absichern, dass nur befugte Personen die Ger\xE4te verwenden\ - \ und auf verarbeitete Informationen zugreifen k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - ref_id: SYS.4.1.A2.2 - description: "Au\xDFerdem MUSS sichergestellt sein, dass nur berechtigte Personen\ - \ die Ger\xE4te administrieren, warten und reparieren k\xF6nnen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - ref_id: SYS.4.1.A2.3 - description: "Mit Dienstleistenden (z. B. f\xFCr die Wartung) M\xDCSSEN schriftliche\ - \ Vertraulichkeitsvereinbarungen getroffen werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - ref_id: SYS.4.1.A2.4 - description: "Drucker, Kopierer und Multifunktionsger\xE4te M\xDCSSEN mit Ger\xE4\ - tepassw\xF6rtern versehen sein, um so den Zugriff auf Webserver und Bedienfeld\ - \ f\xFCr die Administration zu sperren." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 - ref_id: SYS.4.1.A2.5 - description: "Diese M\xDCSSEN die Vorgaben des Identit\xE4ts- und Berechtigungsmanagements\ - \ der Institution erf\xFCllen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A4 - name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Druckern,\ - \ Kopierern und Multifunktionsger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 - ref_id: SYS.4.1.A4.1 - description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr Drucker,\ - \ Kopierer und Multifunktionsger\xE4te entwickeln." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 - ref_id: SYS.4.1.A4.2 - description: "Darin SOLLTE geregelt werden, welche Anforderungen und Vorgaben\ - \ an die Informationssicherheit der Ger\xE4te gestellt und wie diese erf\xFC\ - llt werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 - ref_id: SYS.4.1.A4.3 - description: "Es SOLLTE auch festgelegt werden, welche Funktionen von welchen\ - \ Benutzenden unter welchen Bedingungen administriert beziehungsweise genutzt\ - \ werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A5 - name: "Erstellung von Nutzungsrichtlinien f\xFCr den Umgang mit Druckern, Kopierern\ - \ und Multifunktionsger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 - ref_id: SYS.4.1.A5.1 - description: "F\xFCr die Institution SOLLTE der oder die ISB eine Nutzungsrichtlinie\ - \ erstellen, auf der alle Sicherheitsvorgaben zum Umgang mit den Ger\xE4ten\ - \ \xFCbersichtlich und verst\xE4ndlich zusammengefasst sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 - ref_id: SYS.4.1.A5.2 - description: Die Nutzungsrichtlinie SOLLTE allen Benutzenden bekannt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A7 - name: "Beschr\xE4nkung der administrativen Fernzugriffe auf Drucker, Kopierer\ - \ und Multifunktionsger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - ref_id: SYS.4.1.A7.1 - description: "Der IT-Betrieb SOLLTE sicherstellen, dass der administrative Fernzugriff\ - \ auf Drucker, Kopierer und Multifunktionsger\xE4te nur einer klar definierten\ - \ Gruppe des Administrations- und Servicepersonals erm\xF6glicht wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - ref_id: SYS.4.1.A7.2 - description: "Das SOLLTE auch dann gew\xE4hrleistet sein, wenn die Institution\ - \ eine zentrale Ger\xE4teverwaltungssoftware einsetzt." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - ref_id: SYS.4.1.A7.3 - description: "Es SOLLTE festgelegt werden, ob die Anzeige des Bedienfelds \xFC\ - ber ein Datennetz eingesehen werden darf." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - ref_id: SYS.4.1.A7.4 - description: "Wenn dies gew\xFCnscht ist, SOLLTE es nur an den IT-Betrieb \xFC\ - bertragen werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 - ref_id: SYS.4.1.A7.5 - description: Auch SOLLTE dies mit den betroffenen Benutzenden abgestimmt sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A11 - name: "Einschr\xE4nkung der Anbindung von Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 - ref_id: SYS.4.1.A11.1 - description: "Der IT-Betrieb SOLLTE sicherstellen, dass netzf\xE4hige Drucker,\ - \ Kopierer und Multifunktionsger\xE4te nicht aus Fremdnetzen erreichbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 - ref_id: SYS.4.1.A11.2 - description: "Wenn Multifunktionsger\xE4te an das Telefonnetz angeschlossen\ - \ werden, SOLLTE sichergestellt werden, dass keine unkontrollierten Datenverbindungen\ - \ zwischen dem Datennetz der Institution und dem Telefonnetz aufgebaut werden\ - \ k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 - ref_id: SYS.4.1.A11.3 - description: "Netzdrucker und Multifunktionsger\xE4te SOLLTEN in einem eigenen\ - \ Netzsegment, das von den Clients und Servern der Institution getrennt ist,\ - \ betrieben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A14 - name: "Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 - ref_id: SYS.4.1.A14.1 - description: "Nur berechtigte Personen SOLLTEN auf die ausgedruckten oder kopierten\ - \ Dokumente zugreifen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 - ref_id: SYS.4.1.A14.2 - description: "Es SOLLTEN m\xF6glichst nur zentrale Drucker, Kopierer und Multifunktionsger\xE4\ - te eingesetzt werden, bei denen sich die Benutzenden am Ger\xE4t authentisieren,\ - \ bevor der Druckauftrag startet (\u201ESecure-Print\u201C)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 - ref_id: SYS.4.1.A14.3 - description: "Nachdem sich die Benutzenden authentisiert haben, SOLLTEN ausschlie\xDF\ - lich nur die eigenen Druckauftr\xE4ge sichtbar sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 - ref_id: SYS.4.1.A14.4 - description: "Nur die f\xFCr die jeweiligen Benutzenden notwendigen Funktionen\ - \ SOLLTEN freigeschaltet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A15 - name: "Verschl\xFCsselung von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 - ref_id: SYS.4.1.A15.1 - description: "Wenn m\xF6glich, SOLLTEN alle auf ger\xE4teinternen, nichtfl\xFC\ - chtigen Speichermedien abgelegten Informationen verschl\xFCsselt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 - ref_id: SYS.4.1.A15.2 - description: "Auch Druckauftr\xE4ge SOLLTEN m\xF6glichst verschl\xFCsselt \xFC\ - bertragen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A16 - name: "Verringerung von Ausfallzeiten bei Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - ref_id: SYS.4.1.A16.1 - description: "Um die Ausfallzeiten von Druckern, Kopierern und Multifunktionsger\xE4\ - ten so gering wie m\xF6glich zu halten, SOLLTEN unter anderem" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - ref_id: SYS.4.1.A16.2 - description: "\u2022 Ersatzger\xE4te bereitstehen," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - ref_id: SYS.4.1.A16.3 - description: "\u2022 in Wartungsvertr\xE4gen auf eine angemessene Reaktionszeit\ - \ geachtet werden," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - ref_id: SYS.4.1.A16.4 - description: "\u2022 eine Liste mit Fachhandlungen gef\xFChrt werden, um schnell\ - \ Ersatzger\xE4te oder -teile beschaffen zu k\xF6nnen und" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 - ref_id: SYS.4.1.A16.5 - description: "\u2022 falls erforderlich, h\xE4ufig ben\xF6tigte Ersatzteile\ - \ gelagert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A17 - name: Schutz von Nutz- und Metadaten - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.1 - description: "Nutz- und Metadaten wie Druckauftr\xE4ge und Scandateien SOLLTEN\ - \ nur so kurz wie m\xF6glich auf den Ger\xE4ten gespeichert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.2 - description: "Die Daten SOLLTEN nach einer vordefinierten Zeit automatisch gel\xF6\ - scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.3 - description: "Dateiserver in den Ger\xE4ten und Funktionen wie \u201EScan in\ - \ den Ger\xE4tespeicher\" SOLLTEN vom IT-Betrieb abgeschaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.4 - description: "Die daf\xFCr ben\xF6tigten Protokolle und Funktionen SOLLTEN,\ - \ soweit m\xF6glich, gesperrt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.5 - description: "Generell SOLLTE vom IT-Betrieb sichergestellt werden, dass alle\ - \ Metadaten nicht f\xFCr Unberechtigte sichtbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 - ref_id: SYS.4.1.A17.6 - description: Es SOLLTE von der Institution geregelt werden, wie mit Metadaten - versehene Ausdrucke an Dritte weitergegeben werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A18 - name: "Konfiguration von Druckern, Kopierern und Multifunktionsger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.1 - description: "Alle Drucker und Multifunktionsger\xE4te SOLLTEN nur vom IT-Betrieb\ - \ konfiguriert werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.2 - description: "Nicht ben\xF6tigte Ger\xE4tefunktionen SOLLTEN abgeschaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.3 - description: "Insbesondere SOLLTEN alle nicht ben\xF6tigten Daten- und Netzschnittstellen\ - \ von Druckern, Kopierern und Multifunktionsger\xE4ten deaktiviert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.4 - description: "Die Ger\xE4te SOLLTEN ausschlie\xDFlich \xFCber verschl\xFCsselte\ - \ Protokolle wie HTTPS und SNMPv3 verwaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.5 - description: "S\xE4mtliche Protokolle, mit denen unverschl\xFCsselt auf Drucker\ - \ und Multifunktionsger\xE4te zugegriffen werden kann, SOLLTEN vom IT-Betrieb\ - \ durch verschl\xFCsselte ersetzt oder abgeschaltet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 - ref_id: SYS.4.1.A18.6 - description: "Das SOLLTE insbesondere f\xFCr Protokolle umgesetzt werden, mit\ - \ denen sich die Ger\xE4tekonfiguration ver\xE4ndern l\xE4sst, z. B. SNMP,\ - \ Telnet und PJL." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A20 - name: "Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.1 - description: "Es SOLLTEN auf dem Druckserver die Namen der Druckauftr\xE4ge\ - \ nur anonymisiert angezeigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.2 - description: "Alle Schnittstellen f\xFCr externe Speichermedien SOLLTEN gesperrt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.3 - description: "Weiterhin SOLLTEN ger\xE4teinterne Adressb\xFCcher deaktiviert\ - \ und den Benutzenden alternative Adressierungsverfahren (z. B. Adresssuche\ - \ per LDAP) angeboten werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.4 - description: "Bei Druckern und Multifunktionsger\xE4ten mit E-Mail-Funktion\ - \ SOLLTE sichergestellt sein, dass E-Mails ausschlie\xDFlich mit den E-Mail-Adressen\ - \ der authentisierten Benutzenden versendet werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.5 - description: "Auch SOLLTEN Dokumente nur an interne E-Mail-Adressen verschickt\ - \ werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 - ref_id: SYS.4.1.A20.6 - description: "Eingehende Fax-Dokumente sowie Sendeberichte SOLLTEN nur autorisierten\ - \ Personen zug\xE4nglich sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A21 - name: "Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsger\xE4\ - ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 - ref_id: SYS.4.1.A21.1 - description: "Der IT-Betrieb SOLLTE die Sicherheitseinstellungen von Druckern,\ - \ Kopierern und Multifunktionsger\xE4ten regelm\xE4\xDFig kontrollieren und,\ - \ falls notwendig, korrigieren." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 - ref_id: SYS.4.1.A21.2 - description: "Wenn ein automatisiertes Kontroll- und Korrektursystem verf\xFC\ - gbar ist, SOLLTE es genutzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 - ref_id: SYS.4.1.A21.3 - description: "Zudem SOLLTE eingeschr\xE4nkt werden, dass die Ger\xE4te \xFC\ - ber das Bootmen\xFC auf die Werkseinstellungen zur\xFCckgestellt werden k\xF6\ - nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 - ref_id: SYS.4.1.A21.4 - description: "Es SOLLTE sichergestellt sein, dass keine Firmware oder Zusatzsoftware\ - \ auf Druckern und Multifunktionsger\xE4ten installiert werden kann, die nicht\ - \ von den jeweiligen Herstellenden verifiziert und freigegeben wurde." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 - ref_id: SYS.4.1.A22 - name: "Ordnungsgem\xE4\xDFe Entsorgung ausgedruckter Dokumente" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 - ref_id: SYS.4.1.A22.1 - description: "Nicht ben\xF6tigte, aber ausgedruckte Dokumente mit vertraulichen\ - \ Informationen M\xDCSSEN in geeigneter Weise vernichtet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 - ref_id: SYS.4.1.A22.2 - description: "Sind Heimarbeitspl\xE4tze mit Druckern, Kopierern oder Multifunktionsger\xE4\ - ten ausgestattet, SOLLTE gew\xE4hrleistet werden, dass die ausgedruckten Informationen\ - \ auch direkt vor Ort geeignet vernichtet werden k\xF6nnen, wenn sie nicht\ - \ mehr ben\xF6tigt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.4.3 - name: Eingebettete Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A1 - name: Regelungen zum Umgang mit eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - ref_id: SYS.4.3.A1.1 - description: "Alle Benutzenden und Administrierende M\xDCSSEN \xFCber Verhaltensregeln\ - \ und Meldewege bei Ausf\xE4llen, Fehlfunktionen oder bei Verdacht auf einen\ - \ Sicherheitsvorfall informiert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - ref_id: SYS.4.3.A1.2 - description: "Alle eingebetteten Systeme inklusive Schnittstellen M\xDCSSEN\ - \ erfasst werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - ref_id: SYS.4.3.A1.3 - description: "Die eingebetteten Systeme M\xDCSSEN sicher vorkonfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - ref_id: SYS.4.3.A1.4 - description: Die vorgenommene Konfiguration SOLLTE dokumentiert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 - ref_id: SYS.4.3.A1.5 - description: "Weiterhin SOLLTEN Regelungen festgelegt werden, um die Integrit\xE4\ - t und Funktionsf\xE4higkeit der eingebetteten Systeme zu testen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A2 - name: Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten - Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 - ref_id: SYS.4.3.A2.1 - description: "Es MUSS sichergestellt werden, dass nur auf ben\xF6tigte Schnittstellen\ - \ zugegriffen werden kann." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 - ref_id: SYS.4.3.A2.2 - description: "Alle anderen Schnittstellen M\xDCSSEN deaktiviert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 - ref_id: SYS.4.3.A2.3 - description: "Zudem D\xDCRFEN NUR ben\xF6tigte Dienste aktiviert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 - ref_id: SYS.4.3.A2.4 - description: "Der Zugang zu Anwendungsschnittstellen MUSS durch sichere Authentisierung\ - \ gesch\xFCtzt sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A3 - name: Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 - ref_id: SYS.4.3.A3.1 - description: "Sicherheitsverst\xF6\xDFe M\xDCSSEN protokolliert werden (siehe\ - \ OPS.1.1.5 Protokollierung)." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 - ref_id: SYS.4.3.A3.2 - description: Ist eine elektronische Protokollierung nicht oder nur sehr begrenzt - realisierbar, SOLLTEN alternative, organisatorische Regelungen geschaffen - und umgesetzt werden. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A4 - name: "Erstellung von Beschaffungskriterien f\xFCr eingebettete Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.1 - description: Bevor eingebettete Systeme beschafft werden, SOLLTE eine Anforderungsliste - erstellt werden, anhand derer die infrage kommenden Systeme oder Komponenten - bewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.2 - description: 'Die Anforderungsliste SOLLTE mindestens folgende sicherheitsrelevante - Aspekte umfassen:' - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.3 - description: "\u2022 Aspekte der materiellen Sicherheit," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.4 - description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Hardware," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.5 - description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Software," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.6 - description: "\u2022 Unterst\xFCtzung eines Trusted Plattform Module (TPM) durch\ - \ das Betriebssystem," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.7 - description: "\u2022 Sicherheitsaspekte der Entwicklungsumgebung sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 - ref_id: SYS.4.3.A4.8 - description: "\u2022 organisatorische Sicherheitsaspekte." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A5 - name: "Schutz vor sch\xE4digenden Umwelteinfl\xFCssen bei eingebetteten Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 - ref_id: SYS.4.3.A5.1 - description: "Es SOLLTE sichergestellt werden, dass eingebettete Systeme entsprechend\ - \ ihrer vorgesehenen Einsatzart und des vorgesehenen Einsatzorts angemessen\ - \ vor sch\xE4digenden Umwelteinfl\xFCssen gesch\xFCtzt sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 - ref_id: SYS.4.3.A5.2 - description: "Die Anforderungen hierf\xFCr SOLLTEN bereits bei der Planung analysiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 - ref_id: SYS.4.3.A5.3 - description: "Zudem SOLLTE sichergestellt werden, dass die Vorkehrungen, um\ - \ einzelne Komponenten vor Staub, Hitze, N\xE4sse und Verschmutzung zu sch\xFC\ - tzen, keine Probleme mit den Anforderungen des \xFCbergeordneten Systems verursachen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A6 - name: "Verhindern von Debugging-M\xF6glichkeiten bei eingebetteten Systemen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 - ref_id: SYS.4.3.A6.1 - description: "Eventuelle Debugging-M\xF6glichkeiten SOLLTEN m\xF6glichst vollst\xE4\ - ndig aus eingebetteten Systemen entfernt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 - ref_id: SYS.4.3.A6.2 - description: "Wird On-Chip-Debugging genutzt, MUSS sichergestellt werden, dass\ - \ Debugging-Funktionen nicht unberechtigt genutzt oder aktiviert werden k\xF6\ - nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 - ref_id: SYS.4.3.A6.3 - description: "Weiterhin SOLLTE sichergestellt werden, dass keine Eingabeschnittstellen\ - \ f\xFCr Testsignale und Messpunkte zum Anschluss von Analysatoren aktiviert\ - \ und f\xFCr Unberechtigte nutzbar sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 - ref_id: SYS.4.3.A6.4 - description: Zudem SOLLTEN alle Hardware-Debugging-Schnittstellen deaktiviert - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A7 - name: Hardware-Realisierung von Funktionen eingebetteter Systeme - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 - ref_id: SYS.4.3.A7.1 - description: "Werden eingebettete Systeme selbst entwickelt, SOLLTEN bei der\ - \ Designentscheidung zur Hardware- und Software-Realisierung Sicherheitsaspekte\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 - ref_id: SYS.4.3.A7.2 - description: "Auch bei der Entscheidung, eine bestimmte Hardware-Technik zu\ - \ implementieren, SOLLTEN Sicherheitsaspekte ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A8 - name: "Einsatz eines sicheren Betriebssystems f\xFCr eingebettete Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 - ref_id: SYS.4.3.A8.1 - description: "Das eingesetzte Betriebssystem und die Konfiguration des eingebetteten\ - \ Systems SOLLTEN f\xFCr den vorgesehenen Betrieb geeignet sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 - ref_id: SYS.4.3.A8.2 - description: "So SOLLTE das Betriebssystem f\xFCr die vorgesehene Aufgabe \xFC\ - ber ausreichende Sicherheitsmechanismen verf\xFCgen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 - ref_id: SYS.4.3.A8.3 - description: "Die ben\xF6tigten Dienste und Funktionen SOLLTEN aktiviert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 - ref_id: SYS.4.3.A8.4 - description: "Das Betriebssystem SOLLTE es unterst\xFCtzen, ein Trusted Plattform\ - \ Module (TPM) zu nutzen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A9 - name: Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten - Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 - ref_id: SYS.4.3.A9.1 - description: "Wird ein zus\xE4tzlicher Mikrocontroller f\xFCr die kryptografischen\ - \ Berechnungen verwendet, SOLLTE dessen Kommunikation mit dem System-Mikrocontroller\ - \ ausreichend abgesichert sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 - ref_id: SYS.4.3.A9.2 - description: "F\xFCr das eingebettete System SOLLTEN die n\xF6tigen Vertrauensanker\ - \ realisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 - ref_id: SYS.4.3.A9.3 - description: Auch SOLLTE eine Vertrauenskette (Chain of Trust) implementiert - sein. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A10 - name: Wiederherstellung von eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10 - ref_id: SYS.4.3.A10.1 - description: "Eingebettete Systeme SOLLTEN \xFCber Rollback-F\xE4higkeiten verf\xFC\ - gen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A11 - name: Sichere Aussonderung eines eingebetteten Systems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 - ref_id: SYS.4.3.A11.1 - description: "Bevor eingebettete Systeme ausgesondert werden, SOLLTEN s\xE4\ - mtliche Daten auf dem System sicher gel\xF6scht werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 - ref_id: SYS.4.3.A11.2 - description: "Ist dies nicht m\xF6glich, SOLLTE das System vernichtet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 - ref_id: SYS.4.3.A11.3 - description: "Die L\xF6schung oder Vernichtung SOLLTE dokumentiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A12 - name: "Auswahl einer vertrauensw\xFCrdigen Lieferungs- und Logistikkette sowie\ - \ qualifizierte herstellende Institutionen f\xFCr eingebettete Systeme" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - ref_id: SYS.4.3.A12.1 - description: "Es SOLLTEN in der Logistikkette wirksame Kontrollen durchgef\xFC\ - hrt werden, sodass sichergestellt ist," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - ref_id: SYS.4.3.A12.2 - description: "\u2022 dass eingebettete Systeme keine manipulierten, gef\xE4\ - lschten oder getauschten Komponenten enthalten," - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - ref_id: SYS.4.3.A12.3 - description: "\u2022 die Systeme der Spezifikation entsprechen und keine verdeckten\ - \ Funktionen bei der Herstellung implementiert wurden sowie" - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - ref_id: SYS.4.3.A12.4 - description: "\u2022 Unbefugte nicht an vertrauliche Informationen \xFCber das\ - \ eingebettete System gelangen k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 - ref_id: SYS.4.3.A12.5 - description: Die beteiligten Unternehmen SOLLTEN nachweisbar qualifiziert sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A13 - name: Einsatz eines zertifizierten Betriebssystems - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13 - ref_id: SYS.4.3.A13.1 - description: Das Betriebssystem SOLLTE nach einem anerkannten Standard auf einer - angemessenen Stufe evaluiert sein. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A14 - name: Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.1 - description: "Der Bootprozess eines eingebetteten Systems SOLLTE abgesichert\ - \ sein, indem der Bootloader die Integrit\xE4t des Betriebssystems \xFCberpr\xFC\ - ft und es nur dann l\xE4dt, wenn es als korrekt eingestuft wurde." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.2 - description: "Umgekehrt SOLLTE auch das Betriebssystem die Integrit\xE4t des\ - \ Bootloaders pr\xFCfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.3 - description: "Es SOLLTE ein mehrstufiges Boot-Konzept mit kryptografisch sicherer\ - \ \xDCberpr\xFCfung der Einzelschritte realisiert werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.4 - description: Sichere Hardware-Vertrauensanker SOLLTEN verwendet werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.5 - description: Bei einem ARM-basierten eingebetteten System SOLLTE ARM Secure - Boot genutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 - ref_id: SYS.4.3.A14.6 - description: Bei einem Unified Extensible Firmware Interface (UEFI) SOLLTE Secure - Boot genutzt werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A15 - name: Speicherschutz bei eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 - ref_id: SYS.4.3.A15.1 - description: "Bereits beim Entwurf eingebetteter Systeme SOLLTEN Speicherschutzmechanismen\ - \ ber\xFCcksichtigt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 - ref_id: SYS.4.3.A15.2 - description: "Die Art des Speicherschutzes sowie Anzahl und Gr\xF6\xDFe der\ - \ Schutzr\xE4ume SOLLTEN f\xFCr den Einsatzzweck angemessen sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A16 - name: Tamper-Schutz bei eingebetteten Systemen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 - ref_id: SYS.4.3.A16.1 - description: "F\xFCr eingebettete Systeme SOLLTE ein Tamper-Schutz-Konzept entwickelt\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 - ref_id: SYS.4.3.A16.2 - description: Es SOLLTEN angemessene Mechanismen etabliert werden, die Tamper-Angriffe - erkennen, aufzeichnen und verhindern. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 - ref_id: SYS.4.3.A16.3 - description: "Schlie\xDFlich SOLLTEN angemessene Vorgaben etabliert werden,\ - \ wie auf einen Tamper-Angriff zu reagieren ist." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A17 - name: "Automatische \xDCberwachung der Baugruppenfunktion" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - ref_id: SYS.4.3.A17.1 - description: "S\xE4mtliche Baugruppen eines eingebetteten Systems mit erh\xF6\ - hten Anforderungen an die Verf\xFCgbarkeit und Integrit\xE4t SOLLTEN integrierte\ - \ Selbsttesteinrichtungen (Built-in Self-Test, BIST) besitzen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - ref_id: SYS.4.3.A17.2 - description: "Tests SOLLTEN w\xE4hrend des Einschaltvorgangs sowie in angemessenen\ - \ zeitlichen Intervallen w\xE4hrend des Betriebs die Integrit\xE4t des Systems\ - \ pr\xFCfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - ref_id: SYS.4.3.A17.3 - description: "Soweit m\xF6glich, SOLLTEN die Selbsttestfunktionen auch Sicherheitsfunktionen\ - \ und Sicherheitseigenschaften der Baugruppe \xFCberpr\xFCfen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - ref_id: SYS.4.3.A17.4 - description: "Regelm\xE4\xDFig SOLLTE die Integrit\xE4t der Speicher und I/O-Komponenten\ - \ im Rahmen des BIST gepr\xFCft werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 - ref_id: SYS.4.3.A17.5 - description: "Bestehende BIST-Funktionen SOLLTEN, falls m\xF6glich, um die erforderlichen\ - \ Funktionen erg\xE4nzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 - ref_id: SYS.4.3.A18 - name: "Widerstandsf\xE4higkeit eingebetteter Systeme gegen Seitenkanalangriffe" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18 - ref_id: SYS.4.3.A18.1 - description: Es SOLLTEN angemessene Vorkehrungen gegen nicht-invasive und (semi-)invasive - Seitenkanalangriffe getroffen werden. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.4.4 - name: "Allgemeines IoT-Ger\xE4t" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A1 - name: "Einsatzkriterien f\xFCr IoT-Ger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 - ref_id: SYS.4.4.A1.1 - description: "IoT-Ger\xE4te M\xDCSSEN Update-Funktionen besitzen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 - ref_id: SYS.4.4.A1.2 - description: "Die herstellenden Unternehmen M\xDCSSEN einen Update-Prozess anbieten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 - ref_id: SYS.4.4.A1.3 - description: "Die Ger\xE4te M\xDCSSEN eine angemessene Authentisierung erm\xF6\ - glichen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 - ref_id: SYS.4.4.A1.4 - description: "Es D\xDCRFEN KEINE fest codierten oder herzuleitenden Zugangsdaten\ - \ in den Ger\xE4ten enthalten sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A2 - name: Authentisierung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 - ref_id: SYS.4.4.A2.1 - description: Eine angemessene Authentisierung MUSS aktiviert sein. - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 - ref_id: SYS.4.4.A2.2 - description: "IoT-Gerate M\xDCSSEN in das Identit\xE4ts- und Berechtigungsmanagement\ - \ der Institution integriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A5 - name: "Einschr\xE4nkung des Netzzugriffs" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.1 - description: "Der Netzzugriff von IoT-Ger\xE4ten MUSS auf das erforderliche\ - \ Minimum eingeschr\xE4nkt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.2 - description: "Dies SOLLTE regelm\xE4\xDFig kontrolliert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.3 - description: 'Dazu SOLLTEN folgende Punkte beachtet werden:' - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.4 - description: "\u2022 Bei Verkehrskontrollen an Netz\xFCberg\xE4ngen, z. B. durch\ - \ Regelwerke auf Firewalls und Access Control Lists (ACLs) auf Routern, D\xDC\ - RFEN NUR zuvor definierte ein- und ausgehende Verbindungen erlaubt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.5 - description: "\u2022 Die Routings auf IoT-Ger\xE4ten und Sensoren, insbesondere\ - \ die Unterdr\xFCckung von Default-Routen, SOLLTE restriktiv konfiguriert\ - \ werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.6 - description: "\u2022 Die IoT-Ger\xE4te und Sensoren SOLLTEN in einem eigenen\ - \ Netzsegment betrieben werden, das ausschlie\xDFlich mit dem Netzsegment\ - \ f\xFCr das Management kommunizieren darf." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.7 - description: "\u2022 Virtual Private Networks (VPNs) zwischen den Netzen mit\ - \ IoT-Ger\xE4ten und Sensor-Netzen und den Management-Netzen SOLLTEN restriktiv\ - \ konfiguriert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 - ref_id: SYS.4.4.A5.8 - description: "\u2022 Die UPnP-Funktion MUSS an allen Routern deaktiviert sein." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A6 - name: "Aufnahme von IoT-Ger\xE4ten in die Sicherheitsrichtlinie der Institution" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 - ref_id: SYS.4.4.A6.1 - description: "In der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN\ - \ die Anforderungen an IoT-Ger\xE4te konkretisiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 - ref_id: SYS.4.4.A6.2 - description: "Die Richtlinie SOLLTE allen Personen, die IoT-Ger\xE4te beschaffen\ - \ und betreiben, bekannt und Grundlage f\xFCr deren Arbeit sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 - ref_id: SYS.4.4.A6.3 - description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ - \ regelm\xE4\xDFig \xFCberpr\xFCft und die Ergebnisse sinnvoll dokumentiert\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A7 - name: "Planung des Einsatzes von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 - ref_id: SYS.4.4.A7.1 - description: "Um einen sicheren Betrieb von IoT-Ger\xE4ten zu gew\xE4hrleisten,\ - \ SOLLTE im Vorfeld geplant werden, wo und wie diese eingesetzt werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 - ref_id: SYS.4.4.A7.2 - description: "Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die klassischerweise\ - \ mit dem Begriff Informationssicherheit verkn\xFCpft werden, sondern auch\ - \ normale, betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit\ - \ nach sich ziehen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 - ref_id: SYS.4.4.A7.3 - description: Alle Entscheidungen, die in der Planungsphase getroffen wurden, - SOLLTEN geeignet dokumentiert werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A8 - name: "Beschaffungskriterien f\xFCr IoT-Ger\xE4te" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 - ref_id: SYS.4.4.A8.1 - description: "Der oder die ISB SOLLTE bei allen Beschaffungen von IoT-Ger\xE4\ - ten mit einbezogen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 - ref_id: SYS.4.4.A8.2 - description: "Bevor IoT-Ger\xE4te beschafft werden, SOLLTE festgelegt werden,\ - \ welche Sicherheitsanforderungen diese erf\xFCllen m\xFCssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 - ref_id: SYS.4.4.A8.3 - description: "Bei der Beschaffung von IoT-Ger\xE4ten SOLLTEN Aspekte der materiellen\ - \ Sicherheit ebenso wie Anforderungen an die Sicherheitseigenschaften der\ - \ Software ausreichend ber\xFCcksichtigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 - ref_id: SYS.4.4.A8.4 - description: "Eine Anforderungsliste SOLLTE erstellt werden, anhand derer die\ - \ am Markt erh\xE4ltlichen Produkte bewertet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A9 - name: "Regelung des Einsatzes von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 - ref_id: SYS.4.4.A9.1 - description: "F\xFCr jedes IoT-Ger\xE4t SOLLTE eine zust\xE4ndige Person f\xFC\ - r dessen Betrieb benannt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 - ref_id: SYS.4.4.A9.2 - description: "Die Zust\xE4ndigen SOLLTEN ausreichend \xFCber den Umgang mit\ - \ dem IoT-Ger\xE4t informiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A10 - name: "Sichere Installation und Konfiguration von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - ref_id: SYS.4.4.A10.1 - description: "Es SOLLTE festgelegt werden, unter welchen Rahmenbedingungen IoT-Ger\xE4\ - te installiert und konfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - ref_id: SYS.4.4.A10.2 - description: "Die IoT-Ger\xE4te SOLLTEN nur von autorisierten Personen (Zust\xE4\ - ndige f\xFCr IoT-Ger\xE4te, Administrierende oder vertraglich gebundene Dienstleistende)\ - \ nach einem definierten Prozess installiert und konfiguriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - ref_id: SYS.4.4.A10.3 - description: Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert - werden, dass die Installation und Konfiguration durch sachkundige Dritte anhand - der Dokumentation nachvollzogen und wiederholt werden kann. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - ref_id: SYS.4.4.A10.4 - description: "Die Grundeinstellungen von IoT-Ger\xE4ten SOLLTEN \xFCberpr\xFC\ - ft und n\xF6tigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie\ - \ angepasst werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 - ref_id: SYS.4.4.A10.5 - description: "Falls m\xF6glich, SOLLTEN IoT-Ger\xE4te erst mit Datennetzen verbunden\ - \ werden, nachdem die Installation und die Konfiguration abgeschlossen sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A11 - name: "Verwendung von verschl\xFCsselter Daten\xFCbertragung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11 - ref_id: SYS.4.4.A11.1 - description: "IoT-Ger\xE4te SOLLTEN Daten nur verschl\xFCsselt \xFCbertragen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A13 - name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - ref_id: SYS.4.4.A13.1 - description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Protokolle,\ - \ Anwendungen und weiteren Tools auf den IoT-Ger\xE4ten installiert und aktiviert\ - \ sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - ref_id: SYS.4.4.A13.2 - description: "Nicht ben\xF6tigte Protokolle, Dienste, Anmeldekennungen und Schnittstellen\ - \ SOLLTEN deaktiviert oder ganz deinstalliert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - ref_id: SYS.4.4.A13.3 - description: "Die Verwendung von nicht ben\xF6tigten Funkschnittstellen SOLLTE\ - \ unterbunden werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - ref_id: SYS.4.4.A13.4 - description: "Wenn dies nicht am Ger\xE4t selber m\xF6glich ist, SOLLTEN nicht\ - \ ben\xF6tigte Dienste \xFCber die Firewall eingeschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 - ref_id: SYS.4.4.A13.5 - description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ - \ dass nachvollzogen werden kann, welche Konfiguration f\xFCr die IoT-Ger\xE4\ - te gew\xE4hlt wurden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A15 - name: Restriktive Rechtevergabe - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 - ref_id: SYS.4.4.A15.1 - description: "Die Zugriffsberechtigungen auf IoT-Ger\xE4te SOLLTEN m\xF6glichst\ - \ restriktiv vergeben werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 - ref_id: SYS.4.4.A15.2 - description: "Wenn dies \xFCber die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ - \ SOLLTE \xFCberlegt werden, dies netzseitig zu regeln." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A16 - name: "Beseitigung von Schadprogrammen auf IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 - ref_id: SYS.4.4.A16.1 - description: "Der IT-Betrieb SOLLTE sich regelm\xE4\xDFig informieren, ob sich\ - \ die eingesetzten IoT-Ger\xE4te mit Schadprogrammen infizieren k\xF6nnten\ - \ und wie Infektionen beseitigt werden k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 - ref_id: SYS.4.4.A16.2 - description: "Schadprogramme SOLLTEN unverz\xFCglich beseitigt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 - ref_id: SYS.4.4.A16.3 - description: "Kann die Ursache f\xFCr die Infektion nicht behoben bzw. eine\ - \ Neuinfektion nicht wirksam verhindert werden, SOLLTEN die betroffenen IoT-Ger\xE4\ - te nicht mehr verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A17 - name: "\xDCberwachung des Netzverkehrs von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17 - ref_id: SYS.4.4.A17.1 - description: "Es SOLLTE \xFCberwacht werden, ob die IoT-Ger\xE4te oder Sensor-Systeme\ - \ nur mit IT-Systemen kommunizieren, die f\xFCr den Betrieb der IoT-Ger\xE4\ - te notwendig sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A18 - name: "Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 - ref_id: SYS.4.4.A18.1 - description: Sicherheitsrelevante Ereignisse SOLLTEN automatisch protokolliert - werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 - ref_id: SYS.4.4.A18.2 - description: "Falls dies durch die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ - \ SOLLTEN hierf\xFCr Router oder Protokollmechanismen anderer IT-Systeme genutzt\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 - ref_id: SYS.4.4.A18.3 - description: Die Protokolle SOLLTEN geeignet ausgewertet werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A19 - name: Schutz der Administrationsschnittstellen - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.1 - description: "Abh\xE4ngig davon, ob IoT-Ger\xE4te lokal, direkt \xFCber das\ - \ Netz oder \xFCber zentrale netzbasierte Tools administriert werden, SOLLTEN\ - \ geeignete Sicherheitsvorkehrungen getroffen werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.2 - description: "Der Zugriff auf die Administrationsschnittstellen von IoT-Ger\xE4\ - ten SOLLTE wie folgt eingeschr\xE4nkt werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.3 - description: "\u2022 Netzbasierte Administrationsschnittstellen SOLLTEN auf\ - \ berechtigte IT-Systeme bzw. Netzsegmente beschr\xE4nkt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.4 - description: "\u2022 Es SOLLTEN bevorzugt lokale Administrationsschnittstellen\ - \ am IoT-Ger\xE4t oder Administrationsschnittstellen \xFCber lokale Netze\ - \ verwendet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.5 - description: Die zur Administration verwendeten Methoden SOLLTEN in der Sicherheitsrichtlinie - festgelegt werden. - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 - ref_id: SYS.4.4.A19.6 - description: "Die IoT-Ger\xE4te SOLLTEN entsprechend der Sicherheitsrichtlinie\ - \ administriert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A20 - name: "Geregelte Au\xDFerbetriebnahme von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 - ref_id: SYS.4.4.A20.1 - description: "Es SOLLTE eine \xDCbersicht dar\xFCber geben, welche Daten wo\ - \ auf IoT-Ger\xE4ten gespeichert sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 - ref_id: SYS.4.4.A20.2 - description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ - erbetriebnahme von IoT-Ger\xE4ten abgearbeitet werden kann." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 - ref_id: SYS.4.4.A20.3 - description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ - \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ - \ aller Daten umfassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A21 - name: Einsatzumgebung und Stromversorgung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.1 - description: "Es SOLLTE gekl\xE4rt werden, ob IoT-Ger\xE4te in der angedachten\ - \ Einsatzumgebung betrieben werden d\xFCrfen (Schutzbedarf anderer IT-Systeme,\ - \ Datenschutz)." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.2 - description: "IoT-Ger\xE4te SOLLTEN in der Einsatzumgebung vor Diebstahl, Zerst\xF6\ - rung und Manipulation gesch\xFCtzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.3 - description: "Es SOLLTE gekl\xE4rt sein, ob ein IoT-Ger\xE4t bestimmte Anforderungen\ - \ an die physische Einsatzumgebung hat, wie z. B. Luftfeuchtigkeit, Temperatur\ - \ oder Energieversorgung." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.4 - description: "Falls erforderlich, SOLLTEN daf\xFCr erg\xE4nzende Ma\xDFnahmen\ - \ bei der Infrastruktur umgesetzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.5 - description: "Wenn IoT-Ger\xE4te mit Batterien betrieben werden, SOLLTE der\ - \ regelm\xE4\xDFige Funktionstest und Austausch der Batterien geregelt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 - ref_id: SYS.4.4.A21.6 - description: "IoT-Ger\xE4te SOLLTEN entsprechend ihrer vorgesehenen Einsatzart\ - \ und dem vorgesehenen Einsatzort vor Staub und Verschmutzungen gesch\xFC\ - tzt werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A22 - name: "System\xFCberwachung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - ref_id: SYS.4.4.A22.1 - description: "Die IoT-Ger\xE4te SOLLTEN in ein geeignetes System\xFCberwachungs-\ - \ bzw. Monitoringkonzept eingebunden werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - ref_id: SYS.4.4.A22.2 - description: "Der Systemzustand und die Funktionsf\xE4higkeit der IoT-Ger\xE4\ - te SOLLTEN laufend \xFCberwacht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - ref_id: SYS.4.4.A22.3 - description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ - \ SOLLTEN an das Betriebspersonal gemeldet werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - ref_id: SYS.4.4.A22.4 - description: "Es SOLLTE gepr\xFCft werden, ob die verwendeten Ger\xE4te die\ - \ Anforderung an die Verf\xFCgbarkeit erf\xFCllen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 - ref_id: SYS.4.4.A22.5 - description: "Alternativ SOLLTE gepr\xFCft werden, ob weitere Ma\xDFnahmen,\ - \ wie das Einrichten eines Clusters oder die Beschaffung von Standby-Ger\xE4\ - ten, erforderlich sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A23 - name: "Auditierung von IoT-Ger\xE4ten" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23 - ref_id: SYS.4.4.A23.1 - description: "Alle eingesetzten IoT-Ger\xE4te SOLLTEN regelm\xE4\xDFig auditiert\ - \ werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 - ref_id: SYS.4.4.A24 - name: Sichere Konfiguration und Nutzung eines eingebetteten Webservers - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 - ref_id: SYS.4.4.A24.1 - description: "In IoT-Ger\xE4ten integrierte Webserver SOLLTEN m\xF6glichst restriktiv\ - \ konfiguriert sein." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 - ref_id: SYS.4.4.A24.2 - description: "Der Webserver SOLLTE, soweit m\xF6glich, NICHT unter einem privilegierten\ - \ Konto betrieben werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - assessable: false - depth: 2 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys - ref_id: SYS.4.5 - name: "Wechseldatentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A1 - name: "Sensibilisierung zum sicheren Umgang mit Wechseldatentr\xE4gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 - ref_id: SYS.4.5.A1.1 - description: "Alle Benutzenden M\xDCSSEN f\xFCr den sicheren Umgang mit Wechseldatentr\xE4\ - gern sensibilisiert werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 - ref_id: SYS.4.5.A1.2 - description: "Die Institution MUSS insbesondere darauf hinweisen, wie die Benutzenden\ - \ mit Wechseldatentr\xE4gern umgehen sollten, um einem Verlust oder Diebstahl\ - \ vorzubeugen und eine lange Lebensdauer zu gew\xE4hrleisten." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 - ref_id: SYS.4.5.A1.3 - description: "Die Institution MUSS die Benutzenden dar\xFCber informieren, dass\ - \ sie keine Wechseldatentr\xE4ger, die aus unbekannten Quellen stammen, an\ - \ ihre IT-Systeme anschlie\xDFen d\xFCrfen." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A2 - name: Verlust- und Manipulationsmeldung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - ref_id: SYS.4.5.A2.1 - description: "Die Benutzenden M\xDCSSEN umgehend melden, wenn ein Wechseldatentr\xE4\ - ger gestohlen oder verloren wurde oder der Verdacht einer Manipulation besteht." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - ref_id: SYS.4.5.A2.2 - description: "Die Benutzenden M\xDCSSEN bei ihrer Meldung angeben, welche Informationen\ - \ auf dem Wechseldatentr\xE4ger gespeichert sind." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - ref_id: SYS.4.5.A2.3 - description: "Hierf\xFCr MUSS es in der Institution klare Meldewege und Zust\xE4\ - ndigkeiten geben." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - ref_id: SYS.4.5.A2.4 - description: "Die Institution MUSS festlegen, wie Wechseldatentr\xE4ger behandelt\ - \ werden sollen, die nach einem Verlust wiedergefunden wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 - ref_id: SYS.4.5.A2.5 - description: "Wiedergefundene Wechseldatentr\xE4ger D\xDCRFEN NICHT ohne vorherige\ - \ \xDCberpr\xFCfung auf Manipulation und Schadsoftware verwendet werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A4 - name: "Erstellung einer Richtlinie zum sicheren Umgang mit Wechseldatentr\xE4\ - gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.1 - description: "Es SOLLTE eine Richtlinie f\xFCr den richtigen Umgang mit Wechseldatentr\xE4\ - gern erstellt werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.2 - description: "Folgende grundlegenden Aspekte SOLLTEN dabei ber\xFCcksichtigt\ - \ werden:" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.3 - description: "\u2022 welche Wechseldatentr\xE4ger genutzt werden und wer diese\ - \ einsetzen darf," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.4 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.4 - description: "\u2022 welche Daten auf Wechseldatentr\xE4gern gespeichert werden\ - \ d\xFCrfen und welche nicht," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.5 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.5 - description: "\u2022 wie die auf Wechseldatentr\xE4gern gespeicherten Daten\ - \ vor unbefugtem Zugriff, Manipulation und Verlust gesch\xFCtzt werden," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.6 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.6 - description: "\u2022 wie die Daten auf den Wechseldatentr\xE4gern gel\xF6scht\ - \ werden sollen," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.7 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.7 - description: "\u2022 mit welchen externen Institutionen Wechseldatentr\xE4ger\ - \ ausgetauscht werden d\xFCrfen und welche Sicherheitsregelungen dabei zu\ - \ beachten sind," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.8 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.8 - description: "\u2022 ob Wechseldatentr\xE4ger an fremde IT-Systeme angeschlossen\ - \ werden d\xFCrfen und was dabei zu beachten ist," - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.9 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.9 - description: "\u2022 wie Wechseldatentr\xE4ger zu versenden sind sowie" - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.10 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.10 - description: "\u2022 wie der Verbreitung von Schadsoftware \xFCber Wechseldatentr\xE4\ - ger vorgebeugt wird." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.11 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.11 - description: "Die Institution SOLLTE in der Sicherheitsrichtlinie festlegen,\ - \ unter welchen Bedingungen Wechseldatentr\xE4ger gelagert werden sollen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.12 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.12 - description: "Insbesondere SOLLTE die Institution vorgeben, dass nur berechtigte\ - \ Benutzende Zugang zu beschriebenen Wechseldatentr\xE4gern haben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.13 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.13 - description: "Die Institution SOLLTE festlegen, dass Angaben des herstellenden\ - \ Unternehmens zum Umgang mit Datentr\xE4gern ber\xFCcksichtigt werden m\xFC\ - ssen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.14 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.14 - description: "Die Institution SOLLTE die Verwendung von privaten Wechseldatentr\xE4\ - gern untersagen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.15 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 - ref_id: SYS.4.5.A4.15 - description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsvorgaben\ - \ f\xFCr den Umgang mit Wechseldatentr\xE4gern aktuell sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A5 - name: "Regelung zur Mitnahme von Wechseldatentr\xE4gern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 - ref_id: SYS.4.5.A5.1 - description: "Es SOLLTE klare schriftliche Regeln dazu geben, ob, wie und zu\ - \ welchen Anl\xE4ssen Wechseldatentr\xE4ger mitgenommen werden d\xFCrfen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 - ref_id: SYS.4.5.A5.2 - description: "Insbesondere SOLLTE festgelegt sein, welche Wechseldatentr\xE4\ - ger von wem au\xDFer Haus transportiert werden d\xFCrfen und welche Sicherheitsma\xDF\ - nahmen dabei zu beachten sind." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A6 - name: "Datentr\xE4gerverwaltung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 - ref_id: SYS.4.5.A6.1 - description: "Es SOLLTE eine Verwaltung f\xFCr Wechseldatentr\xE4ger geben." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 - ref_id: SYS.4.5.A6.2 - description: "Die Wechseldatentr\xE4ger SOLLTEN einheitlich gekennzeichnet werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 - ref_id: SYS.4.5.A6.3 - description: "Die Verwaltung f\xFCr Wechseldatentr\xE4ger SOLLTE gew\xE4hrleisten,\ - \ dass Wechseldatentr\xE4ger sachgerecht behandelt und aufbewahrt sowie ordnungsgem\xE4\ - \xDF eingesetzt und transportiert werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A7 - name: "Sicheres L\xF6schen der Wechseldatentr\xE4ger vor und nach der Verwendung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7 - ref_id: SYS.4.5.A7.1 - description: "Bevor Wechseldatentr\xE4ger weitergegeben, wiederverwendet oder\ - \ ausgesondert werden, SOLLTEN sie in geeigneter Weise sicher gel\xF6scht\ - \ werden." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A10 - name: "Datentr\xE4gerverschl\xFCsselung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10 - ref_id: SYS.4.5.A10.1 - description: "Wenn Wechseldatentr\xE4ger au\xDFerhalb eines sicheren Bereiches\ - \ verwendet oder transportiert werden und dabei schutzbed\xFCrftige Daten\ - \ enthalten, M\xDCSSEN die Daten mit einem sicheren Verfahren verschl\xFC\ - sselt werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A11 - name: "Integrit\xE4tsschutz durch Checksummen oder digitale Signaturen" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 - ref_id: SYS.4.5.A11.1 - description: "Es SOLLTE ein Verfahren zum Schutz gegen zuf\xE4llige oder vors\xE4\ - tzliche Ver\xE4nderungen eingesetzt werden, mit dem die Integrit\xE4t von\ - \ vertraulichen Informationen sichergestellt wird." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 - ref_id: SYS.4.5.A11.2 - description: "Die Verfahren zum Schutz vor Ver\xE4nderungen SOLLTEN dem aktuellen\ - \ Stand der Technik entsprechen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A12 - name: Schutz vor Schadsoftware - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 - ref_id: SYS.4.5.A12.1 - description: "Die Institution MUSS sicherstellen, dass nur Daten auf Wechseldatentr\xE4\ - ger \xFCbertragen werden, die auf Schadsoftware \xFCberpr\xFCft wurden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 - ref_id: SYS.4.5.A12.2 - description: "Bevor Daten von Wechseldatentr\xE4gern verarbeitet werden, M\xDC\ - SSEN sie auf Schadsoftware \xFCberpr\xFCft werden." - implementation_groups: - - B - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A13 - name: "Kennzeichnung der Wechseldatentr\xE4ger beim Versand" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 - ref_id: SYS.4.5.A13.1 - description: "Wechseldatentr\xE4ger, die versendet werden sollen, SOLLTEN so\ - \ gekennzeichnet werden, dass die Absendenden und die Empfangenden sie sofort\ - \ identifizieren k\xF6nnen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 - ref_id: SYS.4.5.A13.2 - description: "Die Kennzeichnung der Wechseldatentr\xE4ger oder deren Verpackung\ - \ SOLLTE f\xFCr die Empfangenden eindeutig sein." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 - ref_id: SYS.4.5.A13.3 - description: "Die Kennzeichnung von Wechseldatentr\xE4gern mit sch\xFCtzenswerten\ - \ Informationen SOLLTE f\xFCr Au\xDFenstehende keine R\xFCckschl\xFCsse auf\ - \ Art und Inhalte der Informationen zulassen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A14 - name: Sichere Versandart und Verpackung - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 - ref_id: SYS.4.5.A14.1 - description: "Die Institution SOLLTE \xFCberpr\xFCfen, wie vertrauliche Informationen\ - \ bei einem Versand angemessen gesch\xFCtzt werden k\xF6nnen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 - ref_id: SYS.4.5.A14.2 - description: "Es SOLLTE eine sichere Versandverpackung f\xFCr Wechseldatentr\xE4\ - ger verwendet werden, bei der Manipulationen sofort zu erkennen sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.3 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 - ref_id: SYS.4.5.A14.3 - description: Die Institution SOLLTE alle Beteiligten auf notwendige Versand- - und Verpackungsarten hinweisen. - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A15 - name: "Verwendung zertifizierter Wechseldatentr\xE4ger" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 - ref_id: SYS.4.5.A15.1 - description: "Die Institution SOLLTE nur Wechseldatentr\xE4ger verwenden, die\ - \ zertifiziert sind." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 - ref_id: SYS.4.5.A15.2 - description: "Die Zertifizierung SOLLTE insbesondere eine integere Datenerhaltung\ - \ sowie m\xF6glicherweise vorhandene Verschl\xFCsselungsverfahren umfassen." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A16 - name: "Nutzung dedizierter IT-Systeme zur Datenpr\xFCfung" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16 - ref_id: SYS.4.5.A16.1 - description: "Die Institution SOLLTE dedizierte IT-Systeme als Datenschleuse\ - \ verwenden, bei denen Daten von einem Wechseldatentr\xE4ger auf einen anderen\ - \ \xFCbertragen werden und dabei auf Schadsoftware untersucht werden." - implementation_groups: - - E - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 - assessable: false - depth: 3 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 - ref_id: SYS.4.5.A17 - name: "Gew\xE4hrleistung der Integrit\xE4t und Verf\xFCgbarkeit bei Langzeitspeichern" - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17.1 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 - ref_id: SYS.4.5.A17.1 - description: "Falls Wechseldatentr\xE4ger verwendet werden, um Daten f\xFCr\ - \ lange Zeitr\xE4ume zu speichern, SOLLTE die Institution sicherstellen, dass\ - \ die verwendeten Wechseldatentr\xE4ger geeignet sind, um die Integrit\xE4\ - t und Verf\xFCgbarkeit der Daten w\xE4hrend des gesamten Nutzungszeitraums\ - \ sicherzustellen." - implementation_groups: - - S - - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17.2 - assessable: true - depth: 4 - parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 - ref_id: SYS.4.5.A17.2 - description: "Die Integrit\xE4t der Daten SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ - ft werden." - implementation_groups: - - S diff --git a/tools/bsi/bs-it-gs-2023-app-anwendungen.xlsx b/tools/bsi/bs-it-gs-2023-app-anwendungen.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..8d9f27026a94e5b57f67b1b9e552d1ac36dc8601 GIT binary patch literal 109865 zcmeFXgR|&R*XDU_+qP}nwr$(CZQHhO+vYvC?m1`f`+YOjJ=HybK~Ji(Q>ogON_L*# zTF+XEf;2D)3IG@Y1ONa4A;1A;yRI`J001r+001%o1dz6{y`77xor}JTr-P}pE}e(1 z4M7nI5Jdq1(7*Zr|Mq|I3e2SFS`RUxgx!IE!IQQZ$8up9YxHi6pOVdd2h?!34*Db_ z=l*=%%#=nKWl)sIVo*wPVSY-f6z`dKv9Rf zp-HuYnH(>kjyiO`24Jdc(`X_W_aEa_gT)LCc{Z>pcN>V5tTPwN^Ig2yd7RpS zU_WhGH7wo(S~V^(dh0Bn!%70g(sb|B*z`(~^{iJRB}#lOP2tmhtQ8hawSZxtK14BK z+__ko`>}7V^(t5gB_+s;M9dE%fazQQ91i{6?euKaF9}{+ZLJdMvNEgy2K@vOG6F`3 zrCZX#D7=pIj`!D!;eq{T4sQ8P4~aj)_=_BO#eWpx@)KBoeyN>g0%rp-)(Xb+#wb%1 zo`a1j&^IO^>F5@4xAnzwfhQaEBoT>p@J@G4R9rj93n>@@)hASZ_2|o~gq6GFX7MB! z#Ix3|W#DpV@)au+&MAM$_Xz?3@cRo4pz!}<6Q4mlc|j}J>7rC z|DVzSgTeft9=#?>RvMTQA?z;bmvE++dz*@A$%bC^Le}IPkTLVyfITyzr0e@lOwgsU z4bLm5-aXGV^Tn*G*rOQ1+YKpA6f!8sY`I%)Ncy{@0~|5gNi6nSVknTvrs}Htg*le$ zv~c5vFRJFKD1?smHvq#`Tx~Rnw^PTGLnGA*L+e=zzKT>Q^%OU3A4_4DWpqvgg4-Fm zi0{4Uqlb-Mw%&5u%YL$ym^z_MWG+GTJz-Pm&l78rT45>4V1wV(WyI7MkufkHxz>07 z#hvw{l9Cu{Xclnp*~c{pXiHCts57$vPNta8IYSQUy<2^{HFL1GAqCU09XJJfF3sV|4og%y_2<(y}k8+65Rho5a7Qo_iyh1*;`NY zywxxR%-CIUZ}6h8W0IX|3RiE8V7>Mm0GZ;^!U$X1E4e*?vT&EcBwZnTFv(wE{)O`I z!}7ZkbTF%2)dW&Xh?df7t!;{Tj$S^VV1l)_rQGHU1A!o6NB?&JVL9i&B4sZmMNy=n zVVid)B})eNl#Y0|IV*I}S;m-Hm#&^`uv0v;?M#1H1B}Wj<5GhhYS;+mg5&3Yt-HJI zq#X=ThQdMS^EfU!(x4axTG97?aV=!-@ z2&?{n)e$a~cwTCyY;3Ue@xARi+tbmt7dfoSSkg^nBr?Nu*2tKSO{>P-+L_-%aBeLy z6^GJj#<Ckyjl`++VQp-XYX$ZnDtaH}8gp)134M0}q{h5+2tpFf8 z1ZD3AL*XQfJ*!rt%0fAKO@qm;4U&h@KN>u6XAitQp&C>sZPm$Q4j7}oME;EohvbAB zd}RT<6NYLqvbJ;HXjVD|*9_%VdxsM1kuOF}P%BP_2znE2F`SR(hErS0E9%qdvnsG&=9z-hZH@%`k8{O5y#ioRYMV@sGT)DK|^$y>-v@!-I?4yOh_14}9q^`08 z>13D!eD`z-FENGR6^0Us(Bum`PY7N-es1}0D@1lO*86BTr;7we?9PG-v%6`6mIDtd zGyH^pFBGasWoi59yG3gj12pjvc}c$OhIS;%I>}B~9-;6PDJ?A(8*;EubX*(Sx8uL_4q;thH-b|OgosIxHK;1|>Odk*3F0i#+Jm`% zcS~LYB}1AanDY|U83>p<+djX&)gHp6B%~0p=1#!vK_Znt#-^fS4Kb&tdC4$)u$>Z( zLE?z@B0%_nyD7CbYE-eQD9bbgm~w&FH-`yfATO+w2F_AF(+7;oO7tNzI2KDIn}!XG z6;+5%MBFk3!ZTWc_mS_4`8*1MMjBKei%?W&$Tc>4x`WuGWMygBv^Q6o@{RQy2(fCg z@`&(eGS$6WPgAckeSi$D5m#>AxpuB%^8gMQL1k)bOtV_{y<2%pG=bOaqFcFAy-Lmx zq@UK%Ozhh?ZoQflMv+(v-&)!O_3BuywW{Fu0%-dB1M6GbxpKpU*a@TTX!pI;vtqNO z*a|}yY+3@=;jdnxFPJ71n{nuUaQ81#fceD)SZ0f*nlPSaX`@YDDDni2q@NI9>E7o*xe{op`^3WlL`wutwHe4Fqn+xZ+|}C>ht(T|LvT9@7M2# z^5gM%xcq+?mz>yc4`}G@eLil?{r$cfKaVfj>GAy!$ETTo*75m1PS5AR1ttnQMdH9vP-|q0d543^cr|$V=BSqRL5Vy`LFU(+$rR2ble7HX$%jV#60Bqqe>!ffF zY9Y<|bh10fx~U61-UHUh-*7eIkr>rhhCjrTxCV6RG_#@W0qrdGNTJ`xHLuO-#!Pqk z#=`mbaC128ZsMFPvX%>6Z1yE1h|lnbGlv)_BZNM2@ez*}Z}Cdwbloi}I!=T`ZxvU@ zR;-iwa5(~5_FIIN@25w~nLD-`XK!^^&SuJA*f?Dh6A&^yL++5zG9I|_sB=CgULB{V z!1^OqkB}b?h=!Qzs8Kz*$YP4^L`t4-I%x&=la}obD%ADb@0uk45QP>IT7tkKX7alBV0v;&v$oy)!l;qesp!y zq|a;Fo`a%gop|cobe*_ZCi9fU;8s8qvzJ~blj5K$!lTIo+n050E~Jp(w^H1~(V=Zz z3kFrkS4hDjCsj(JiDxFubDP#I{RAAA})j;Y(1nq&= z>;xd{PQx`rnvpEIwL3qp&}O}ac1e(N5QWCK>_zicVUf!kn_`LK;a_szq2Q->u(EEp zAGo2Br*5vMHDr6;+4ivD+MVkyd3qD!YO2Y}r4<&dE!5Pn0izuCpu!l|gw|Wa>7{o) z4AX>l7b-wvzm}6VL#}tSXa6+R49SMJegzH5;ZB6AY-^CQvCLExfoPb8IS~I^;m&v| zLTyO+15>W85n}wXQ4Yk_Sx-7h2&uZcS&r@~VhAWoeP|#$CWwez42&7!2YCRzw;`K=a4$+HKJR=Ky)fYg;1xEu--s)oiaB87J*k99OR{3KR3LNn&L=c<7O(sQmC`PMC*G(jvf)gStk~*2%jo>E< z4SjWiu)b~J6oCrtt0fe`VD3ymJLg2fV2yT8Kb5)hvS&|i;9cAev}wEkV|pcORG+2A z1(&>EGV-j{;Pspv^PVePQLP0JR^Kz?ws7fu62E~@@lgqz_~g%lTjyU2+K7MG47RC3 z6n!Vz@FdVBwDG_fI5tJGWwKIiHKJ}`hqfs?66v^hG4&^w*e_k?Ew445&zhW_9$t3O zKVoz>HX2O2gl82Xb0 zoV3reYP0|Tb722#T4Dq2@5%hYPkz;% zT?AI8NhWf=Pq`zYhSFqil+NY9b#^-_R7X-krU#YHCAQ6dUB|miR>$Y;-B7MV=tQu& zzG|^c&s#_H)=GMlVpAQIBvp}NwOO6F#uk;>#467A4!jZ9lgV)OhMVg4j7Z9^tP3Bb zHQ7a&X^&;{Y3ajNMW2S}CPdkA3f$c1pi~SeLMfDwN!L85dt0edY)(n(2kOhKp;BMe zI~dcyN;tlPf%jq!-oY+3 zcX+lSd(-&-z00c=e4;2z7i9=&^`{Lm%gI;5$gl|{kShu1u0@JEx_9;y(WWe`cwOFtgebyZYh zkhuWh+9FnB`M&tlY1q17dozpc&YojCGV7H}6UcVgeo>F=6<21~TVa4R^c;x~DhpK% zNM2&#pLAyBa@qA2UP>Ro zsaC0CT5_D{Pr5Q9@sm*5ocUAaS+dd=9>%&%&eWqNFo^1=dOoFaD-VN3f4{x?AXi`C z+%CjCk$dntH2YZlM(-s1)g~1b`v=!w!%a?4&;nC;JInnXt0&m@S-&7SOlnI}IGz1` zIOX%69}#J{isR%p^jCsb*F>)K7xAa4qlq0r8DE>j%V2*Og_!_--SO;g9tZRvtHU{S z7MEj(R>$EFuhz|zM*R0H{A9@^{TW2J`#`^;C(~)eEd}8Q;Rttg%|9}1ygu3d0lcGl z;EDdoM*Fkod~WB6njO&=XkDHW!Lls+yJ4Ipei*G>IDL+L_q;J*lcNFf=~=5O%#2Q~ zOf0EDk`3Ro2zwJD?s-(r`TtvMDHZ1T^ZJi&=YRGR7v5A8QiGEjtTo6fMgLuXVN@*@n&yLUpT_GhtjhKYw`?|#y897mx0%^xdk$dJCRE>t%SyRgWq9Bzbk##7IDXN=)27zb7l zaW|-1rr)ouq=aGXdg(*b+Xn8>TV02qMI5gA4up&+jQOJqGu9lmK z)W{rHZCw}o3T9B{GXf5Mf(6HOvLFh~(66zE{U!c?>E*wMl*C=AAp(prd(obNzqMly zLe}g=WG*d6`8KX^zJe9WxGl`*PeWgPa|65~932-mnRw8dTvQZ+<=BAowM8eSEl)Q$ zydd|6F}SDTlC=-}7og1^!0)`;rW-b}PyB1?GIg7+CR~hR&`U6##$aa4Fp75+g-5fF z-EgwMZDTfVbt|8!C$pB_a(5NOHf_g6US~-~d!2ubKfwL}$4xd-O328+$kIs7&rqvP zNXk+-sxmDwt1D4V$;<~dNHC6G{@P?C!A zE74U~t^YSG+SPsD<0jlnUWmC-qXzfvzx>R3e7GjUZUwOlwqnDA0+1~_sYSZx&)e%m z*vdvU*3xSgXiQ!p!ue+Q`!a7*_A;;rkVsm|i(6ZCFTTUp2{SM%;Iw{~DQPoD)p}oL z%L7w>i8g;JAjJAiib~0as_+dfs*rHfqU=dqUO^TY7@|LAX}O#WC4V5~n0hze@YI`x zN2FMW@VqHVlgj6>)GXVq7TySDFv!7U%|q0EAeZO&MU#T8O;t?6C0^yT?r!A&M$W&d zy4?K|%4ED_xecM-hehd;Q{w1pF2bVqBe8W2>2$etp_+>MgGU3!H{7Qk`rM92le|4j zKFndCPktGqoJ!)M`Cr&*LDe)ki?XO-=7wJq;VAjD-C$pI2lRSA$khDd6Ea0#V8NUf zmhz({?RPkfLMOc#W4)HDjMe^#5dw-aEC9UK3TMD^bI^qvj7MpbCEJ?5wO1y8WnI=YEiHuR#Tg_mx?!Nw?s`E1x>l@RGp z6uKR=5q!N6|HbUYgfXs&5Wcu@Gi7`in}mv?4FO&rVjrveNHiGP|G1z!@7&4pbadb! zps|`fpvWUE-oV zUy2Z)XpzkIkUnJX2nmq)p7HW{rZmf}@OUQpD?~0!h;}9f3E?&f_8blIJjTv2 zqg2?kUm9|%_yEt0`j#)ahW>8FWX>Ai(DV`>3R=A2M@>7mN7`g zW(2Guie~EYRQ3jU;gOC<%iTpRa*-h+iwP*g=3OV)gUVj(01fdzb0^qFEDoCKWmqR8 zT+TZVSjNsvm};=5f2Wx^B=vrTvMcVY@>uz?0JYwwe(A zU?6OFJzNU3PJ6)hKZ%c5f(Fb9PCYh4trL@mSTepua>S?WVGX7@R2vUZVmOp)@MXxV zQ%{e2)Zb7xc5D0J3wwN9w`z+ZsDWK#A$k7Xh#CHfxd&bmbCj=k^C%`;LGo=2K3l*4 z+S9+KTYR;5t#O|Wqhz!2#bUT)QHC(}b=rPiFM0_7o&WRS(rF@dTu zwok+*MC+I09E*0MAnuvWz451;JRy3|WlnU{|8HZ%D)-^`kc-d zhEAp?$}UcpcIN+WsePxNaMY7d{btVahdPR8GExLmDJo@^uqEzQi74R&(rm1h(Exx1 z(3pr95i>y|Rp~#m%~aW17uhXJaeqqsP39cmz9Kr_#K@*>YPzd6BWEJM?yusH$G?B> z@AA{4{}?a7JgI&i_x6VC?^b8Mnz(Y=&-?eh9ezJ;y1!NV>9&`@7_GAL?|tn&zx{ld z|9Y1TjJcR$g8Ro7L@e?^yR z(xdD1eg3H)*QdMk^seX9wB34%f9v}=+a73#$_Wss%S#4jP z*43X=uOGx;zg4}JXxC(zF}!Do-^F*${4xBH`Z9XH4EEJ0+357zE$~&!v{tKzf*}-}2-|+BbLf%Xa zW2VCM7o$MK7Y~Q+y8AP?);_zf_##eT1Omz&!-PP>oKRuQ5bPTloI+^u# zE%`>>mrcsU*xOa(PKJ9t_|`m4mS0!f{9G|0+%NrXvqpix@xzTFDJ0HuZHHGTpYNtG zC6?@0*fKEip3YzK#l`0K)zA=QIKg@c{0zTy_GssBQHwER@w3oD&jN3cUVG0TCAW%9 zHN-rfmknL*zvtIAte4yxx^@(o@AWx$PnNqbf3s&BJG?JPRQB+1{d1@G_{ej;eOz~T zY8pyB3h^WK5$#SECqYxj|JeBIy34wLjXN&uy0-i0gy!K5W687VEY8dhzK!9IVo^BQ#sx z`{~Qee-a0O>B_7YviZA0pgKg=@mxMAG#a>Kv<33OygUzv4#<^^1O2xb>Wa;@u@JfA(7 zNBZ^HciD+%+Z?#@D+-$wc`h-TmU?_#RKh2B`arwaaw_VlNvT^to8%YYuRcwEF?sx9)YtcIt4n)+Ri!zs=ZMV^{e9b!S?}%BV~3`}e!Z0a*`)mfA2iYK zF|=+9@XnT4zo?}47Jmlo_6LZ*dsC&qhr4Lj^Sy(siJ19#>y@ap`CONo zzn(B#zog30=q0K6vBv#KAavE`e5Y^JNcV+~(uue= zww$axY}qkvQO(?}fuWa@_ltvJHuWWxv!$7xyE$h$A&0TL4 zdks`uE_s!vdv!CjqGE9E$UFm=)%_4ApUqr0XdapKOS8{fT_aoiCpf3W{Fd@{@ z-?cC6L%GUOe)og9zD%dD(wlPz`vncR@fWRZt<0~W>r;c*qk`KMWVJH0itf{EN>_R1 z4o)M~xm}?RZ`GHA#Cw#DXG6rQ8#o23{O?n5z0&OWx~%ut_9Uo}5-w4T^UGTp5E`}F z?P)X|_E<3VU_nr}bKB$qzDo6Rl|C&;zj@2sd)qeCjIzywXm95by++e^>nj#=OgY=?z1u_}(8ypPp?3?ApQ^Hf|a` zlv&cpQ%zry^6YSckDqqVs-~cVR|X`HA5CUHM}rIDD4O}f2PsaRE`C$X(em%+RIJ_C2GqR(}xVTh;9e=&cLOx zmu1k2pg~a5`St3XO%X8N%2AX^TD&4|zLcxUMJt>b#k+uAgEr&i+RQor7^xm8+*krm z8y3t3G#+luhxfS}Inp1H7q%7*PkElhmelXJrt2*3@Ymv4#K$c<5AXJl6j5cPT*iac zZs*=LG0M3Ss|Mxf{^#=2X0^)I2W%W2j^oGrzM@QqpA1OfT=Yip>D))olMYsUBL%Xx zA>FDu9YK);=JwzacLCv^)b5uu5Rml^XKFGBy74yu!SB>SA|Df zT*^`%yjOGoegHoFk}Rlx!2jtSfB$&C9*tGRv2{R9u8&`lSz(7)?>gU*O34Hekub#n z020^b`7efpx<4QuP%?x(y7|?yRbxkCs7>|s_CBIQ$#B3}Z=y$#^p{KHR?b{p9o9o< z!-=Us0j!;lP1_priZ&Nz>o<1y!Z)WkmHgwl^kX$yBg|FWEcD{t%7FjO*@;zr;i{d zz;lZ8=C?NMZDM5`1)_WWG(`uRYC9%TbWAC11UR`$c;Nc1Y|q||;V+@Tj0{4DH8!!_ zjBz~&=CxZ$d+{R<185jU${ARJXocN&zX6@Yl?f6Zq6Q%X;=o8o@qe6#_KSqdvJZP5 zMKFs<4AQwoG(#xN9=nA-Ft5P)&;Be25A!$DbOy&Do5P5YgN{`_ApRU75ZfmZyU5Ptv7j7PBu8)atEBb{wrn03>k`7oP;tH% zRr180$V_dk%j@^mKOW)EEivkljX5KCF$T*Hbc&;Z*2uZ}gXFjtn@Z?3fj3DuAROsK zVnvCrOk^HIRtshW>5B+m8F)*3vEcmHFE77DfwOhL+cmp5yKWvG{DeEeWzbWqvmOC-P|n_=~wNR0EP=m08iy}le~=@JWQD3-A9>HY`!9`Tl3 zjx)grPpXmo9z^HDR>+%2+@vXw<8i+v1BA%puGy6McO=-uz+!JnKsFVS-kW101#E!$ z-0@oX*+ajwUXlQH9E+nr;|(`n4HIZ@+F+o_L#0(-LWPDcXg12986mqM1}Fie0f~!# zQ*(C|(>q5h+YHdg2s!p14#}ByBc;!ofT!_t;mdT)3*<+Uaq@8%%MNS zAZ_ta5rNDP_FXwU3?re zZ@`v)v$>qXJxsWWw}4)Vg3$+<{dW;gMDNWs!R(#~kPip3vV14yJ-g|Vy^Q=QNcVBx zBQy9izU-GFs9|=qnLNA^r=*@q7;zVuz$af6*5jJKtet&!YU>b(&*aUJbYg_4Bj3?o zQaHvW7}6rv3bMTjR6@ytPpE%Mk3nG+^QmHVBq6a}AmeB%otbbm;1gT~cK0UAEQ0`? z7chXl!M&Ti0GYHYX$2Z-NWw_4I7jf+06-X6L3SA01e&U*vFfhAiBGEH)bj;ODNbqe z41+591{x6c8Esr(0NW=d$eul%q1MAxL^@k*_DXk%!gJB+K~??$OHUG;V18@pz^uT2Q|)b$_R|Nhza|NXpxe#(959G9!Olc>$etNNpgDJG}NXj;j@nuE;g6}8G4 zS;jf=HLe(J%w5^QY%#*99R@xUtQ6l%a~7}U{}n78A!Y&+H*%b?&8fDy(@bvJ14;@D z%YT3R^@i}sx)h@U->+;KuZPz=P6i0q@qP1}zk2vozItrm|LfMlUc^xl1x4;)!r?H3 z9JH$cfY~D+aTKyhLEwTA2qRE_%QVWP1rx}kGRnOG<&=iKP@jEUrnw_B9Hb4Y+rH*f zx_Bt&0zu9*#9OSInDhL#iClp71hzv+hD7B`wvv?+N*;W>nL?2~#ib-cKfmut5c_x$ z)5HFp%5ayFOj5!eBfrR#gN1#ug0W1yx$~1OX%-TG0xd_oU|~;$Sb{DtC zCrNX+!r{gZY62n<9b6{#re=u+bU1&MF3hYmgKj=?kiZEZgh@b7$UiXsz@-vfYC-Xy z4^b;e7dpevuMQ-E-(P7ygqkx%nhFUKpVk643;}qTGWp5%g7GF9^ z*(wFfo)KviSV{l%0zotC(p4!c3yX=yP^026NkoYlDL9l=&Bn*uD+N3jE(}-Wqb;Ww z=YoW`6nDm=ef?|9QVyHp86}%*FR=m;B|ZR;*zks!cvvFM*bsoqbC)lOqY;c$d5b=V zO)LdqlfX+uNW*k?H)iI-Vm7Q%5kD?j<_jhiMJIL3@EGP|9n4g9uo8tvJw&x9;PZX| zMJqg21vbQhdVaqsGIe(Vl9zA+OwCaj?FR0p^@o2ifLQ%0X@hNg3-HIS?J zjXr|+sOkhxT8&|-tFU1QgNotjrZB~w4p`CQc#8?=#k$53x5X`Dy58P@>_RG0`}G)7 zVDj!qKx)Uz7*{xu%)6mLgoKATW*8$bK1_?jQ()gj4(dEQZABx+{={seGr_`n6AZkI zK_FMFnFXD}l8)G$B-Gol3ETr9ysyAMKP6-s2ysP_|E?ZVi;*MJp0{H$2PWk%+7jma{{6k{$x{>i!pZCB9lnwY`CBS7*|M+V-mCp54O#+LHbS(oxl!xP6CXc z(9$2&SD$WlS;#-MNL!2qN`Pd}9xTkKTPx6`CPe!9D1F!oV#L9SC@lvA@9YcHr{WA4 z+C-Z&V-Q78R4FP@L!3dzaA4acm)F3O%aS^27AOp!CFzCN)G^dIb{ivpOKN#cyBjBh z;At=p$P z&mo9saMfFJ%M>sY1RzT~4YEPvz&gWEW_d*7Z>Ol&0(4MT8Sqezc|ny7h8*ZKb#dE7 zIa%oe|Dh`-fee^9bxv?eDJ5y_0tGL%xy(34#bt6EvNUDs!{NirOj_NFChlOD=|>}Oa8J%K`TyE5PU9B7biy|rxZm7Cvo6`e=ryTRS^O~w499=DMurr zV%QYCHPPiG_Y%gkk8q=&8m&8c0k_ZZtHAh(?teJ{GX5z+b)Iq2sncp6;WPn1OeSg8 z%GbBaFgtA2#!_xoiX77mEEky%7Rv*Cu#1C^X}6JKBDOd9%{Ol!oq51!JgId+8{S2CF1-~TMX!Y^+K0llP}*YF z$XFqrNTKPaKy45xFODgpBZOiiN(P>L+zkZlvgAY+0!D3#r#cDPei;LF31G|{8ADEg z!9+n1DNCMbH0qn&opy0%t^wwwbMezBow1tc8l{~04JS#BQ|t7YEO~e42*dyqXF|;Y)0!YMIOF zPk3)jYsR%X5u3M~cNz(gr56*H8{w#@&m<0_g}H+ls>HFcJZ%EC(m!yf5C}Xyg0VdJ zGK}O#t6f@929(e7iu)XNI08xW30P@p;Qe_7gf~1>;n{RT1*7UHHBerq_Hj^A&ui>K zt>$Zu4Ly!CohqrAF`7nZRYeiyngMuHZ4-@qz8GVCtR*-di;b&j3e22OK9ODvq@o-L zj2Az%53NO5zdr7%+r#NebipXoA0gi>unP&n6$caCn!26Ad+FNWyhU)x>1Q zC7u#MmVB{MyAXm1L#2eVwhG0%_zZ&3cBKZPzJmD;V+PJO?GrJA{~U3bmN*q{Ew6xx z|77s{uvHAAFcpe4@}o{wAq=w9wN5PDF_Qm)Yq!3ZyuQ&(H(&N8zfTs7!&Vdc#lrGrk}xVyx7gK5rP$U>+T6 zvI7&&(oLy_ph=;>g%!FY!-0O?D?`Fb=-?4l>7;FV(YhjJ#k-hMS;#@R-dQXrsvV(lt@<`+$0_~Fg`ugUw99)`Ll7nL3Gx=^IiWE$>(TE}nEk#?Od z1QZ1L(x~yTJR;dh5yQ?na<7aJz+wtu%}DE;XthKLEDY-j8`C>4n}rZE))n0(>7AjX z{YXJpl|hwhW#*C#T8!^zBuj~uIN)D{F76C(0=IOl2w9@=5(&v|YWM0#QEnOE6>$DJ*q_F*oiwJh$ zVT8m|#9!liwkq@kiC${Ra2hEVXtOIT&hR98s zWkcpWVC3;fZ`2e{ps(Ye%GkI?^jzBad>c(um+=IfL)Jf(i)YMP z0~A1(je0@06$P)Ar(#G@LfO`G! zK`q-hmIk;NKx2!fX-C-iu(v4l>)+PU^<@d*f9X+DI6sjh=q6C{`WlvL6f()CA;|}tI-XBh? zgj~T`q_DFNDi3u#CCqM@nV-}=5m^;c$FloD;_<{i?T6e=1XOxT0j|&VnR1C^7Krr* zN8d60NsQMklH+?i71-?klY>o1%^H`$`k1j02>Y;Jj!_0fIcw5?{$O;Zco^{N)3q{- z6(I$zv|&j-*V)G?QZ9|oKC+sSX|4Y z_R&CuxprM|n9meiK65W)ZuR909w%cn;Vy4{E&UbCgGU{ARv@n2Q9!kfABHXzVwSD^ z@z+tk$*L@5D%$v%5=-OY^xyU1V~B;gCql$yU{kQmy3ryuqOt&(SADoh3p ztQX4T*{@#AS+Y&z+1bv8f+4q2fn6wyz9?7@{BNy1(tPtLf{Fh#sL->?0QBs8oMTtJnaXz6Jkf_j%{hc_2koWY24RBh} zOnn!;0eC4PWhJ7y09;7utBaFh}OB067XoFU9u3Ya^No$kkhC^5Y%$=xiRW!5@@?Kt;2>Ieo`**+^8B7oTA`j4F!OcN{`$i zQEGnzShyk($aDeR1vYFDX6kQ{^sk?>V&iAi-x9gZ$5g7gE((={!UkIB3&tr!b-nL5 zwM-4v8W>5eFO5lKz#5}m&|Vh@ngm1Qe*X78$f(?Yy!peaZ&Zx)gw7+dd^}MV%d5u5IzX37@p}f|3A_T>9g;0w=q~ zQwV>Ko&wv9uHC9k2J*4`KpMWS?!*mpSX@~&&)%P)!b7BBS&Ig{L@qRCBfZE<;~cnL z5^+%9&@@*xA-!?YzCcDHu0r+N~bo^Ce zGjKgFAL$^blj`3Ki{N52O&+5XOGssG=n{Yu1dHMYt-VP7GwE5q_qo**+Ew%m$q3<* zxRV*(Czwc?y}`w4CTr6d<{2&dN2fp+Mj)tI!taP<#iAzUP#W$Ppe+d{&U@NP(KII3 zjHJ#065hH3V_k0M{fv-Bd6Cc?Mb8*%d4QjoCp9HV5oYeI&%_f($-Q72Fjb3d1uMQJfS1jT10F+g?uBi=BVIg`K`kK zVo;J|Q=GU4e*#cg+flg()b!0!b@$kcN8eb}O#w7n4n2~Eu`>#K%eWbQ*3o67gMvjN z;D>I`DNeQeu5`_9IkQ^Mo(8?R7#a7qHBObc^Pi)=$RyU z(veN;cQ!hJK53F9^3FeH2mIq~?7l7~=Nk-&iaF)2TUI#i)yCGA6T;A+)$(^>Akt8% zg(fFb@UDLD_vDENxn{~E8{$5pl6w}`Sfw~;w#rNmxfTR~z?r!wRnKv(drm1ygp>h@ zleun9F&ZZsZE4|Qr*JLtFo3#WeV&V@unaxkD%`gMPb-%%G(6~fuPg3Uz{SAz+L&+>74s&B1mqFfafUx!<_cCkWDvBnQpfI0=i>+k#= zzHxI#hSeBNCT`5gPRqiKuol`3A%-UmHsBC(S#QY9+`}s;NnoL2OfT)%keL&hNt0Ve zcp30d)+U2MKgr&9HErz3Z>YOBy*5bts$yi3@-rHUAv4?M@+%$QVm{kZg}&U2~DUj97ea0}KcF>t2D1$o$T10RIi)8*9e50)#wXMI=PK#iM;oT`v%x1vafq~@jJr_WfdMCPvX}wGd>E(DG#Rmm` zCOc=^dbepnW2Ih|i^Zo0$)#y#Ycmv&x$pY<4jXsSg`X@J4uk8QAFM(|cx4}9qsmf&WN zM=W{V>Qn$j2KQ2=EO#1^{P%?E0DMdccSNl*16K8$jzBi(DFdj}%w!yA;2o9fd|cdVyQ zDBPOT<6r}p9_RQlfq+}WixJ2Ii-D|moX4D>etN43Kf{Ojbhik2VY7QdP~!u^w!X$) zQ?ziG^r(-eyfGCp;o{%aWA!U4xj>eO_F?3D08j=bz-q<$gOTdlHJ559llo0(IuDV& zyFII{jOf)GST-86NH9+-H~&QyUkc!Y$2=Bh!ZYzWlE%&mp|i8yomEc_vP9M!bN|?e zEPm*q)~f}ATwIsl@tdw3MiqA&`&@pxsH5lQE~!pUk<#w2gWJ@zsWTOAsp*LT>SB}7 z(QLzD{>f#sl_1}YbiP~Td+=7Y8c1fyz>^4YR-h%}AKMT{+E%~{oM5;%LJB7*@F*Il zBNR$c3cXx~CjZw*U18|7Q@=6)yaUTS)X(|BMR@3CBI!#X9EmTfL)%33w$}kAlzHL2 zkaPG(+?q$vvt@7+jVt9Wz;42GP?l zzP^<6)9>IHyWhB%@wNcV$=}-kpX7B z8bL*2}PxSM}aZ^zG^co{S8_oaMH)m?L2;LHC3 zO#%eX-%qJ{T=0J5HlL7aI5DM+^tHEG^t%z$2ik=2u$$f5&9coqcGKK4YAee+{zwf; z6vKwmTLPP=x4b1UOSj%bL<18})Iheb#s!DlCIzu<+4F_zQ>WP=EcNxnWzS=7(@0o2U(Omd&O9>gBKXzn@W2nhj0d`bB@eh#UG4xO_)EO!HAjPIY8i)<*dq z&4Z^~ct5S~9yWq$C7NQG#LG7lL43j)yX#217lKVSEJ=oT))ztY3%P!F85EB!_pe2Hj-Zb1ZD?=o z*mAMdZr3EnhYO1syhxIZA9~wnKfBWWuqa_FPpaOhRzm91dMg-EQVn9eXHly_kGB6W z04qS$zq6GYU?-?}$O~!2e3SW@OYh1Wm{WoKGvH)rMzal!kryWC^$ncEGeCLbjq|E| zRnBg=p?#N`sXLrJGWJmA=;6U*GnuE8Q6x)Z{bz<;dqy&Mb%tF~qMg~SaOH^aatRi4-T3bVu& z_aQwkJzw1CDY;JQJw*Dt74Kp)Y9qyD|DZZJ3U$mw9(C-`N#mlGYg;6WmOHph!KqF& z6XIf949sM}$qva%z6fR`ETHFdD2k3bLoK3|84V2D^$L?Xe1kq)-Z}AJiG8g?cgN-n zRcAPuQSSj8LC6=e+e}PdENk2h>l+&+khkGzKYZezUZXymF(T!Yl9$wB(cXTd%vLMWaX8d&s8V@SAGkxGP zS)qblK7m@>Sfi5csfg-2q`6cdxcX|~jbw(oD*7g*>$qa*0kDoUx%pX`u^MZ`8R2dB zsHU^+IA7S^NJf$%s_3r*@y8$rC~ zLzL+h%FM;1%-*cY=<#^24fP?_By?vcU$t(q69JYCAkz{AcZbPAv{f@_a)*}!Zg5FD zzv4KEgpNk8ttW%Tj3p4S-7E1c8G>DbGy1jARtM-IODngzuUU6`za>cSJmb6=?dJDB z&h*hF67}j}cHiGp^vdYOP4~qN7qi3k^3{w*!>gm-U}aH_`fl#nH(F0t_U?4Tv5|tq zNx-O~k*wvAw)X^fKuxj*_z{^(&hN`wOR)38Kr$9u8{#J9K_^}UI&5Oa8dWLy;R(m< zrQ(A6Z$K3qScVq;H|ve1sC+<}J0}oXDH=#5^uPb}{~p0YXbA4$D(zJ8-~aiK?X~_N ztzTamiMt!sBAYdHQd_s-L%-53m z3OyXSK}^JNzd_mrWNRF5JK++@$YD2Ylz9-5Ig(AbOHt-d0qqFl2aE*K88Y~qV_FzAkux&M6NO>Hs9iCvI*67zx*XMrd;M-7as5|v!1MP>xL~~GOamR9p zIE$@;P|!2P4@?4h{RwDGxUlc`x6T~I$Y+ylPXGoox8hP$qJNaUET?{qCpfc|YuP*s zVz~O^OycoBlSaf{DIVNHni^Z5$x@S1A0Dqy=boAXk6VIA2U_Gfx(6C#Qwk~?T;QQN zeIW~=6(6JPuM=+`a>sk-CHphF)kR`>%b#dRO-4(_B`72-u>_f1r3LOIyKf6X(6;%H z4J#W-Y#X<^3Sq&| zeER5{$I+)-^AcVmWYUMyMv?XSj8uW1@mg!SjU4TGln{s3#$s>Zzkc)aQB>J5 z?2|O4oYBqo>lHT&zzJl*{MJmZtX*2H2p8z}o7p(uLwzE{+Y9yK(QT5`5mqjh2|$+uPHLky;qLSN5_V-GV5cet{)qDK2ek!E|{7=pF%L^?t=xQ}>@f zd5>amp}G`rFcL-R`DE$b%9)BnXB?vKnX;BaAnki`!cc~r(?wNn?DkToE3YKB6(V3v zWOB)32+p8-3G&LeT^qF3C6186swDp|5woDZ@J+|%PnpfNb`o*jL4I#Hy#zKcA{lk7 zn2d|ct6WCW^7LorP4v|zt}mAI&v5C5@{-I16GBes?qOMI$|y{(*P1$XxENafI}?yNyQ2h?PtYmRITSjBFh929`*>@j zEy!l^Vd{rNkrZ1jXg9j&uyUZIP2`0#H})NnE-wx$&Km^p#YSarre608^wNL?n(LYv zh;4Za%p+?iN4YH@Z$u6}EZb+)PkaCW&kVo#-z)>UBR!6i`Zz@b-r=qvG|C0p5ZY20 zQxPWS!aYTEd`!U#F$BptnWRvK$OMN=%OU-hWHQcadxk+JLMO=z4Jd6#olM<-(XBRD zK&_>3Ag&?TRC~3rET!lQlU+nBG22LQ2=MUQF7Jz3Pu`KkQFW3|KOu=Nr6^l@r0mCf zc8prl3t~R~8R9VM(kbl*?r`&+;5b;R^afYWMMn+VS$aS3EcNENl>rc^AE0ir@GOVp z(}u%3c^NBYVMkr#y;zJgd&AejUebeSe0Oy4as>>inT{{yfQ-Ig$soJ)Dj%0!KpBx=Eqyjyj+TP;*gi2 zjT{gAFT<<&CL%#i*J(=-SFrC>ellWqCbTkP0U%@9NwRxa7oS0Plb(|=R}d`!!|nDl zL&5e%q$3V&VLw!giO*RwJGA4E7lfvf6h$(M&1s$_Rw<147i9P?Ne;A7vYOc}`2`#4 zg+4#LY8}ZgSaZ#QGM;nw@evyQF9DxrUL(D)96cPzal8^2*e0#sNh<76B@@XJmo2L4 z#LimZO;%hwFqk@c&<}_er1X(PhGg`};ZD4@nmD%59Jp%Lu5#c*i(;F z(=IXS#iGo$DN&laa=FGYBfZ{xE@<4rBM}uB3QL17o^w}XB-2M*67}}9EIx(Vy?A7oHQX8iYLP0xWT|!1+5`ibHmJjh%)M|qa zCiGy$)c8#|NxdGzzi*UZBgzUx88{@^`_ZZ}K|08-C7S4vtxW6&F#7&_-ypHL(WAJ1 zh|1!Iu=}m>-TJFDw!teeb(sSDDAW9R03I`mvS>a@21O9U;iy#qtN*3BvrS8GAesWh zM*z^F9dDqoX<&yHf-!q2%$x=>euvkVSX{t@$}}7_FDT!DA~6@HINehzHzRGtL1AO# ztGJ^@tW9BkbUdsVQEK`9QBClh`3VwhD|Cu`_6aTHz$g2{CmS4UEb^G4PVu^-!JTl< zts4K`+<`^wyc8arx^<(psj%EtMY_F9CPu6_cdru8S#)v+H(m{R^ODYuKwuU3(H2v&B&=BN z;wWAt-M|cM*2j-}<+>v9SXtyMNuHy#G=%w~hR{Mf@`EDwHw+I`QPZ#?mL$vV$4Ud$ zVUAP+V99?U!~4QsL#?3P6Wi@&b-~t%KdwgaJWThQ@K-Ub=)eB6Qvc5f_rXt0T0wO?$^kimE5GIlA+r9CpeG z(^gP=MbVUyMYLF7f{b(~S=C!f0rJxHaIy!^)(bglrQDv(y!=~abcq&z7y%CIVKYbF zFgr1@OaE?-m1S5-s=*-|aSfgq3YT@@sE}^F*+@4A(Ig^X0>x>kV2(;b;#q7}cSO(2 zB{{xW@A~FsecX<3o%&RJv(R$g-Mh&NjQke2R*r@=(FscyDVrg*iW?{*#3_tI z*<8b}7#52aV*lP4;=Dm(xRsV48aQC1R!nr~NQ>UW(v*Q_EpOg*WyitujO9vzi=FNk zkP+llhI}Zy0K`>|*#U&2f3#;nv}9=&tvkUL2QH_oC1AT=eIz4Gl0SsPhcgAx63n2S)`7W=D zvfFC;Qg=IOIQ4pW`p<^?1l6N{qxWqPLJ+4~|prprT8NO^F;XoOXdB<9(~TFR*$r#oX;Am?G9Nnuhq@ zv{mN|H2!5Hc{-YM!2vf3#HkxJKG%GK8zTW@qA?4FFz+MR4#Ws)B>A{{jgNa|>V>prDGi~ zi(B?f1!qwXKcVYatWeLBEJ%U-%$pqF$P(oL`}w()=`@a4hPQZ zY=3bMta^QcPJ`QPNT`Xd1&t~r=?Y<&%whEyp>Nd^g=8&8pP`=bBS3)?5JTxAP8R}8 z4&S|epi9*4-sL*%M-Sz_iClTb5IF8*U1}lFuj2gVn#5H^Ly1~1g{a3n9kE70<2DPB z-|$b+VNScv30l;JuI^>&&-6yq`vGl;3>kUXHQNxAIW$@pWW&QH`#>dTa3n22DeZX{6)P&ga|R^Guo< zIwfv^*CQziRTPqP`|k1>m%gmt;+`!?_c3HpwGek1Ga-}2IslHYw%FFP$az6SD0C2~ z6#de@Li;R;%U-5^7Uku`6`dMC$x?2`<`5nn|R@C0Rr<6QJw+Y!$DiVcU{buIqt z9jgJOPb!ySm4ybQ&gCG{`do%BAi6MQ4iW0reV9kCkZl|~`(bj=d{kx_3ZE+7aRo$D zVhOSNyEI$ZWltM#7`M^V*>r7q8FR>7g$7umpS7fW?sVX=cB$%vxKi0Wrh^qRI*$1f z5Z@~(U~Fv|ja^w!)_wy>Sk z;D#irMsnbZKZyNr(CxU)A6LE?f`fP9|4YwMMQE}8&o`~Kn7}{p=n7@;t`S>{8dg!U z`eIrg^GH@J4VgX|31Q<-;dKL!yrmoq%~n3ku<ZPEg5m7w&m=u zK-e;NhlJk;Sdp+1m8JzD_Ds619p^`CwkVMa&{s+c|XQX{=QS z4txn1h}_7xEkm^N*-7bncO zxH7Iq-gE~T8(2!Eq>gfSd-BRD$l-oi7NHU6T%!NS+P5snl^j|AN?I@4Kp9g~aY~Pw zwpoA#QKX7QQ3NTD)ut>#BtSHPOmrqd7P-=g$VO&k^$oSsj(?&rnRAYNylzC?n=JLB zTSbDnH*P#U+>akWt~2Idp|*?FE&g<_)CYH+@Pk!K1lth=-glYATXsA4tjbBu$9lQ>cyqf3_tKJUg3?eF3adXdy6Wo8 zpE&fH;Ru{fKCwzr`ZyzP7#}=&lfxB@h9Bn%#s%{Pa6^GM>aeJ!VfT(1xQJs$Bf}4oULcrKjSjtZUs@ zE26*(WP-&&ks@w?$+&KHyR`}67L7H*CI8WMr{elmu?0v8>d=%JNZ(Q(bUQiJNb~x( zs8PmMM87c-s@1jKz$I>tq+(Wg3@T7Ov-M49z!3^ z)#sm4Py~Oi|0UsC&*YXyGVWp4Yig@-0Rlxq7{N*CtXWQ~p4m7dN%ybD@z4aSuGT{` zKjnn@m$m(Dq9hYLW!P!G?~Py_%?tS;PAV3ExF%?w_3G7&`E!?k>|XD)frBy{ zx>CSbV>#~*{tcelynu1hqaApFk!{a{h9?zMW(IfiT0=m}Cz}3`?y?!JF+cfNsLl5@hF< zu>lMTAYIKDGLby|Joe~z!`UB7lV4}2twpfg5i!V}G3D{)WJpk33z z6IvkGcrYw?fRlotXLM-XVViVmB3xFYN0^|K4QdEj<%DqP^FMAsbq7g`&jJFAZl0_s zlgZ4^4#8)GTvfYbS6iiB>+CTrVB56qsHOw9f*1#=P%Znr;q(xtySZ!pbbgPx3}}y zQ7t}k^ifT>B8=(P$D5Jp5d&$u4gY7J|Ni_tEG-sh;;O{Mn*M^?GwXq%0go7juNwMP zbe2QoYuF!c6JNK?NzXD1M3ZC6r&|LU_InkvKU%LZllb1z%z{dk1AbD?cQE_0PcC?N zTy*ryJw{s;9t9nMcel6L$yXnz5*;s)&%^z%*#+Im;-i<#_ek5XSN${GtQWU$`sKk+ z)xjXcDx8oT&ajXc(ZbprFRx?WCh^KWdj%~w&m5dLxDp6+I>4gbOS$-oi)OxMjj6G^1P!) z+ZTn;Z8CovpUYJK)8mI0dX6O--OpQg@&a`|rW4<*Y8-R9-B)byWy;$0e^NUmynFc} zyd1K0FLTK8hR2Usi~%1=rH1boA#sc!DB0{jDuuCDr-3734ZU&2t(NbA)OI#B$J=u} znd!23hq~V-#+ePv+KVGaXCxLD3$H~E^AdLaTa%3^n+_WT)QYiTH0cU)@w_ijkmNXD zUM_A>fJuM>{e;E8GJ1qnbVRlDto2Ka#*|kqN*Q`=gw=k3S~C2CnU0aal`o}lpo3?V zWj#GsvrLXk+}$8(#q(nYhCk(1qx@*Jc>0(Y{X?D`YQBFL7EFBb`*#+ z%cY#E9cTChc}Lu_K~y*Jk)*6LMGmxDy2Gmn_>u>;e!`lf*qu1a6WH#!+5@D6jj*|U z9y^x~C2@9REJ*_=vO2tvP+VOT@RjuZ z`JnTqQK@%Q$$?e|Kdt)gz_jSI_Ny#B$p>LGm*{PVMTozjNK!#&V(-nHH}f}lfGn=y z2?gNdUVlTOUShb0g#HGmVWcAf{xJufR%#1VdWKuiBp;Nk&*hr%xve1*TS1K97M-Hr zr%&)s>?rM>Av%_`C~a&7w8JU4qBFLGK@Jwm4&CY{A53Ks@WcqvIG`WQfkp7~-2W0N zLp!WG|Am9(TEWGI*CKx8NK#xoSEGT?_VXFQg+_mJwz?P?60CNMOqMNKU8LH;nhK9D z@uP`&gBjf%E}hGc`HN|Y%rJj%P$ zlD_P`w2WOB=fw**O(ka}YU13~=0&mqVT!#C8F;0H*dwzF{r>=2Ay6Zoc0>bWkbM=% zmG#=|-cB8C6a(%+qXT=`peSTL{${a3h%874BGAj4oCE8HU=c;x)FCBZIx)T;+9Vnb zd7+Luo0?^o%z+uS7MDB^P<+IV2%M~xmb&kLO{^c2HyVZAczK$G1uhhUeAbM16T%vD zlh2SCB>>Qigh2m3`?{^vGfdNqOc0~HK`@J!zarF5#Az6Kvp`x$zfmBq8r*_XT~_#& zC8QBU$K01x>QsAcEb0sWXqA_Zu* zcMn~M!H8*WFc?w3$apB^xbuMRsWfg}&F%mY8eo*0yOS$p`5PDAd~qXwb5OWOA_Z4m zLn3@x21?$zz7TQMf z9XcPru|em<{o#;p-q+`}=Dpvy>%{cxAx!WAeVYSy&H{_9;6xFO{Zoj^=`$HKJ3-J% z4lG9RTZ2Eg6zufEvSV|=m7+RKnUPfVXj@9!sur~QV-(M_ok*fbT zONJ5q<-JqK#$Bhw!MGMg5QWxpJVK2JEiPY;W9SVT(srPad&-im8EzVI zNVCqiCQb-#&D0fb3JK~G46&se1jDqY1jDpnjtyLDSb5zcry_5Thnaewx~Foo(p9 z-fG`7Bd}6b71wt;lI(R^N7*4W!OmVFpA-P2>p!6M37?$y1bhM3{lUA%f}tiAHn-m2 zE9yy-$i zbs0v+Bk-EcF~j^=9^hT9J+sOWP@=0tYYnUsFA{Q7+?)i3{~`Z0d%@yATxC)+?mLsM zGGC^N(n+!?3SEqllWgt{o||xUVvmykr$){brvh)TL4=|#J=-UN?_FX77C4_HX+#@& zW}3M;QwHdT#w*X3@6kSNA6znAmpH6@$Itffxh=D6aJ=|{h-{;vm$QV=&aNJu!K_n7 zxE)xj2{UIqwV-OUdM?&Z>FmITT&Q?(l$>A#YT$}OVEjdqj*cb465ar&$i0#K;zsAU z0-Rme1>+-hahdsU3vI#{icfv(rKk8ER^6h{G}v512mL9HQJZn4FDrxS++GXqYp4;1+}ETBQE5wpT}b{ulV_$uRrEruV$ z#G(vQ+6?AfzIt}tPb!S$8(Ou+HE<^9Sa1|xp9Bt!#cOzrV;hiA{(vi<0;Uo~&~~(1 z7j`J^j~@ARmAs*o9uuC&BVb>v7}(42Bp%Z5{8+S_75@&yR-auBEmFB-{xz$8w<$N=w_T#KZJ|e z({(iutC5f9jaf`_aDe#&{GYWRK(zTB+-~Y2;KsH~S_7HkCrUG?N_8+ko#M+ci5qLi zEcd6okba+-{^~NNKnn{m?LLlAjsE%|Gn02OFYI|l$IT~U1R*6WSQ$z_W5|j=t{I~) zR`P|>c|jLIsGVp|@=*ECV=6crZ#Rn%K+pQ8x{o}6)qtLPB?n5k`>g(kf={4TdAVjt zJBRc-brn#S6vPXMj^oHtXv)W17@sItf-n-TlRKX6pkW*Go{e_#TR1`&ERH+B@w0@J ztrgXetUY%eeFrQtt$OQrEM1l)>fqT=rf-C}Q<9!VHvLuUgUjHFRvracrM3F1 zCWMA_XqE<6Gk^hHFg8jyX3y?-= zuef!eVX_{d9)F{Ut7_x9w%mybF=1MQ@6uRZZ_%ZVW0w~wW%Q+%*qQ-Pi|Qoscd4eF z^jp~Cfb)_MdOVHuRa0!zu7;-Cq=Zli8hLx@|9-j{C$iD6RTKH&NE5Tyj2PNRuhp1p zYxO|Q?8(7$b+Ndbug|1+4cQo|c{>HRzhnErY_m09afJof!(l)}*GD@Iq)%x;sRx3R z!D3YJ9$)D!Y>S0wre6*w5jnaEjuPB(us)8TO|uVoMHq}iSCkU)k6;2VPH;1zCY;qM z)tv*a(yX1=KAI42Z-|d0r8q`WX$rkrYQH1&c6WUS$Je=jMxr*1DBhrUhEq8=l)}IW z04i3FDz)OtGABV*a?HbN5#b}kb2NjaP3ak!14?<*tZt1QrX?s4VB*OEDKMa*iRQuG z6)-x5V_;xSGG&gv`TkRkMn)Sz(4y;7D3f#k3HhD? z@9P)Pcp4Z{6tjOQ5~lzJUa*c07EoxaTk1f8VU=QOW@E(<(Jj^tciR?Jll?d=^mw`d z^kD8cLx-aUeY8$c$e--S(TZ9^B542-O@n3xFw2IK=XJa&aU^x4A=F$ds{f$u8I}MQ zW%M4TNu^ieVfb6*p%lv*p^?Lfdg1IX`4*kBNk>-RF^q(?4w;9|9}WqX}6>c+6Xq+pcMAy;v!O(mgi% zE!BV{VHW}xh-0WTX%f}NiKR027}q=3@!-bTX2;#KpJi&pGYOp>GsUgD+os`D3T}ut zaXu6g$+X8w-+*|`6wSV)KaK;NtXSam20M;T;yVD6Yf4=YCxJPvTNdOoUixGS?^2AhaNXiX>V>E*J26C@GJ$CA-#<8nBo

IKW{u@F%copa2 zkq=p@`t%xtZ_xb4Z_zIMriM6Zk<9R%zyMqFQbl2);lT!o9=>|f3Gp?5%`5*I`;TI5 z7LbSHTX4!3pA=%--#-L;V)7Ds``Fc|#k(toFqr_o{elpoxC4}=OA3xhO@$c7PH8pC zFwNB}`~03FPpPQXq$2uzxkGNjBu&e6j2gjs|kgvGEqlG zK3A|1DYN|0T^LLnT^+20WRg8RX*Ey;B#sWdiX$ncizZahK?dY>G;)Q_7s^fi6Pksh zwIh}7qYRy;JNn!54~^oPEG>>bVSC$dH#6W-8|zN8`IMd(Vv0|UK?zYws-|5p!Qn?v zChbtWzw%y8)>xOhG=P9iYFbygNbI&5rd9)f(o)jPTEm9UCf?esYc)HeAtrs4v!i(q zudA6M*|u|ul9NxUFJQ&d2w6feZQ?-Lxo*P)sc$!W7V0oy0z&IwvO&GkOXzfF!2MLK zFm1ku}!y%T9)8HCsx_x4XK531UvZ9 z@ia7=2cUEX)Bv+c{!x^vmH^>$w)bLlfsVhMIozb>C3Zjm+q!_hf?c@4AHzWIS#k?y zGD$0jA;%s&GtBRmGM24%oo=3zeMfbwoxbV@Gne{QEd$1ohE;53Y%KD^dJ^%>XGB53 zY$a<|z-)BYkI3Hzz%N8zc;fjq-Oc0UN$~zSk;(}Q8>h`2sR=wL;9Lw^r~OLpOyW?wnI4< zLh8(4*!%O{`gVa%R{SAk0L1O;do(TL#y$)dTqD#eMLYaFQ$po%Qik1gD;{VMr0Wws zLZoXY+h|nlj6U$yVngr-ny|CMEONhOuCq^f zz%)o55TcoQNYhs$MpO;gI6L97%#{|zCS7O_wTti)hUYYljCv7~0j!^0-NmD}!Nhg?5x@LCWzDZ zk_6lGR?7D20pTEZL=U3&Q!n1!^@~Fsb3U zD$qHLVNZOzBMT#T0=iqp4l|@m#F4Ylm9&aeHCC2y2kKt_Vw%~hs!khZBPNvX^!Xz5 zvMk|G!k(M5+fXoph~q@p*%1oDV%DXlz+sF)oG;IqJEgss60OK(Wx5cn#hoFn*wt(R z8O<&)(yX^+y9Osm9v^Qu>kTwgSOh`>B>r>M-gOuWocf&^33Q%VLk2rR+zO_h7Wd@S zhhO_&Q>OUB=%T?EJ3PUQV^p2T22z>1C!s-!?*jFoXw(UQiO<=T>gqTJ#<;ei|31n( z41Y=173T)mkPG1kP8Exxxovn^q9x?=!v#I`*&B%63i@A>%ca&=m`7#Sxcn+Sk?K6z z{}Ri@?GDumH3wKB3SJTHgM!GKAx)5V{QNT)qFehzk1RXFeJ83zgW$R}3fUeCMV6CZ zz(3;U>b?&MNtq8ap@k^mKo~kph=9Sc)|sc#&wddLt|Uhm?3R>7=ed!Ps^E00PRqV( zvQW!69c3mk@79tvwL;+6m)IgVc}~}}8@0iFhjZ9kwCJ#7%IizV!fyGMbdR{V4nF_w z<>6yAqu0ILJe?yN65@V~25P{|n?B0U2?Z%EN4EpZdQdW`4*HXTc&c0w5is86P} zk8k#EmNNVY@EtDBWgh~MYd@m`flgdT{8|P(HW-dy5|*4u{zY5e7aCM2i?&UuE{w5i zLOsV@ws!#Xue;Jc{K;;~W|{?jpNvSTN<+lOj|eYEA|Z7jvtuTVOc8dEwW|@-)}Xu- zY`2Hbg%Z2*x!xkvv)Ej$vs^xV9H~3zKKQkQptx)Dks?02{QQsA8Np#WiV|#QLR{m; zRclXR*|ql87R4l1{OFyl#`JXbMYRdJ`}}vh7T1;>?<0(?6k$70ONqi$B55DjX}0zERW#B8e_H1&{Y)4A1w4E&`xmy&Yyk$dCSFq^y=W@Y|sC8_G$xh zjs>0M1$qu{mkOhY?4p(whJw&pcxb*`P{8wPDdD;?Tuh^`ESH62HccG-KAf`mOLdEW z3ozy5d~g5Yo~II-d4-+RTs^y3-Ti2=>g(0TkAbk!sBj&Yd?O^42g!)?Oss@K-#uJ0 zR{srL7V+@Zm8kEkp;z2+R^ABHV$+G#P`4L=bDH>14vLe=xxKj2wLqJ8aebreq}yr8 zUgK&S%iIzKL-}%f0m75&=A4X;>I19?f|0kE3$V23h%ImLK)IuP;nO|e`^(|+y}64f z)q+q?eki#T#dc zp>ou^#yTCIZ;7;-pSIf-)q#aD<2&-9n4vDryww(zz4bbdnBLM4fdUJ}me(XxA#G=O zq7uZ0LPig|Dl4#>og1~4nOfqODiqGOB{f5@p3IW*E@YD0#=x3mCQtnq$unV82yox$k$b?h`j^^Kv+$-2CkAi+?x%D&lCxQN?QH6G(GhDx?tSi>hM zA_7dV10_VzQb}IPwH*`Svsln5aR%kXv5i^Z4XI<7SP3?g_>E&H z{P-i7pFhfzZfLbxeOTyu)OVyc$<@`6^(9I@li7h93|zHQezX5-5IE)fkDYT7>`P0v zayQe`K@ss0twJ4k#6WjZ(Sxqt+qt6T-r@w_&U_Ef(7pMg%3mXn=TV@GAcEQpj}hbp zZ0kA?Y{(t1OAt&Cj}*-K5cDgIyjSaR*I4N@=8u~Dr@Vj~cEgHIRRlx~K z;@LCo$?a@!|Iss~Z!o%KO1yb9D!`ag767jhG4gcmat{2ku_0G>E^oLM_yQ7N=m6;h z4o{FGrui2up8EsUm`owra9Kc2!+~`i8(3387O8fkAL$05H9da*5T$?HEm&#Li8x=8 z(iTh{vPl%f%~I|ZUpSLe6mAPIwL`T%8b=_dyP?YrbH@QLf5iODN7rrJ5+wnt4sda! zJ{%)#l@DMA*`k8(7z4GVSBJ;*#}wuPp0hY(7?iX{^W)x$oxA-{aoQVjYdSg1Y4N~n z_H?hMjbuj_-*vS70AC6S&>E-gqkytNdfwy6@6D{fb^ibd`{V?aT^1u6@CXc{nKLFm;kA(Kg=P<(sXjssy| zEj96Mzq_0!P=Hn)DpNN#+&&Yk=(U#3c?{UKQ62I%zP&-dR$7xT9yY@oyB_G!+$5N)Z#KYjQy)w?ebTBbif;T}; z(3dpScr(Z-KPoTwpM$=2b$1SrkkxSB9Nrtz82Vy#7??nJMcRqb{`NmOI^JpPcevX4 zqNWfbb*^+9GsS{;INDt7kBnv!g7OGd_n*c&`4IIx(zhg(oF0MA5Rd=*t*upH)_99T$wa9(a`nSh@ocV>xoIT2nOb2<;Co zHxf40sBddZ`x)OgO6Ty{5mj59oT1K&5mbk2;b&+QukR=p7Dg4>s(pXe9_^J@4xU=4=tX0aJt*`E+GtG6HO|9Zz1 zVa@W&Lr_927^&jm5M?6^q+;mHET8)&>5v}vk^8WLT4u&cf_L@HRWQ6&!yWH-PjP}! z&STb$j)do8OI*tHR|>m^Ic7QL{Io&(1&f6ZhiQQzgw@dXFJF98y|air@r?>oN`Wu} z>K3yUXx~Gm8nLN^ATrAmcPlxRe2z_RUD^+W4MP@ot)>?kaA?B9o#K+;lexPV%`s2& zhI}MGdJsI*=nr26J!i{4uU+8`#85X5Uu!QJfZY z?X{)M5-Cf7pUAfU(r`1yu6pcNjWcRB#T&^#=T)b2lZn^+?+2h2zB~cY0O|b?(^;a) zW0W}j_Uy(s=iOy0yJtUzA?>NDqWhe{6Wn@9f_HwuOW65+m#~uuuxWhG9Qfiyv)$w!(s14X)5v?W2oKTqa9xW<8EZ^_fP4=04o8` zpUqqtZ%Y+x)ST)qHN-?+9YSTOmhQYz&EHT)Y|=*98OlBpKi!7jk-W*4Zy`s$0Bo5J zwkgcbcZ!8$xpVCBc0|QMY{D?ksnbm-zmcaz*>2>Di#m$olGi zXZnja(V?1j4B^x3n=D>?4|WjkfPZlz=p31|uV3nVkN>7Q!T`G01j0$)Nm{uMF%loq zA?NcaH8B$Bq%)1&RO3LtNB{*zIjp?c0b~ZoiI5#xT#6EhL(_4aG{$NP-nb5Ld!X^1 zyy)ouXB`(m-MMTgbN7%tS9!)#%3FvzM7~~PD_-e2HL~|Ml2CL;HNL<`=?;P zGh?^2I<}^y$vOPk0(MP&@qyjb~3naP?o`5cKLB zzfKkk-_XcHA;O&8a$G=&Q-Jw$ZBh}Lj(_v8o2)7Fa=5o!IvfT$X+T|X^b1`=#thl8 zrbZySAF4D4xu49r?%vs*90$ImrAL#J8et<+p$Il>XNgEXxH~~YlX9U+lPeY5_G%%1 za>zG$XIA>j3hPx2>^dq1lQ8KC$wY^0SZFUB$%STjoE)Sv*E!~TGDZzYw{5&xMo87& zqC51}@;$tFddtiNTXX4FaePM>PD5?V!a-LuC?;`V1gqcCfzxxEI&j%@Ox0V0O1nO? zsq*%izwHm(;~!@8nYaLAxx`|1l*vPs3_rd%Ht1%vcx)iwsK9G!QO6q1>Dw#A$mSna zZ@j`dS9YE5Hu6L9ILe2hw*9Jm96Pxx45=;6)3S59GC3@Wvl?LKGUl&!&DDUQB^ELi zmZZ;X^~wyu{j!+}ujKsL!Be|}kvbn~#2Bq)BZmc_6^Sz$bs!>i}w$e3`NiTr6rkUpH4tcs>WshdJI^R~UVOau)b5P-DxDB?UUg1wRRuL>A zHPKS&?WGVCsiC6jkYkA84y!~fp60LK2(RZuw_%!-u9gty{KBN5tBYlQK7^>G8;{yjg{w`T4 zvi$i(OU+y;+jw$IA75>ar=ZtO4UMc70fseRow)b3A6D4Y$N)xX&U(R(kXSUzMp?Qm zUHmH}&>nWsD5q5RzKv1PFP`Xju5O2!##Fr#hQCgQz-i zA}LJZj(vW=jkN|+$RMr)gE%Z0wA8}x<>8~)Ai_BV6C`JQX_J^e{?bgsn)0)hr7@k; zD7v|2c>!2?i0^|^lJr}cOi)=luZ}3HSlg~Ucx%e~;Z``vYMKK*cn6Ey6D8tTx2jz+ znbCa}$1cu$Y^?c?G(E`ySAj`~1_j z06Rd$zcnGx!QdXbJ7&ky0^(3zTlCyCvIL!>IOGyex=V=Y-JUFhsSahbK2Hdar7~h$E|WiN(<)rZX3f z-s4%+jT@sxJH!65W{|KgFv6nJ8zFze@@Z89T%jfzqi}d#3y8sm)<$5%v69S1>~ih; z49=mozhGrqWqy#SyJchbSd4)EF(w1g#p)x-EqRwVs?|Xn!=zy6Sz^*yg>b`gR=3M@ zwqe9XNFrjioEM6^2p_^%JzJj>7wX4LUv=`j{M-&b-=B$;pAujh^gbdpD$S@J&O?Jv zkDWXF(s!C75p%#hy|XeW&r`~Xrz5lo4W)}CSVLwV2i?v4hy!MNWNZDd?zA4GK>X$u zBG8ZZ@yojf`=gKe1%dtqcz|(Lp%l>rzySu~SsV_-g1=Eb2bf2fNNCvy$0G++s>7cV zb-f@h-^FhIXa5FNc>dzw;BjpL)!uFT*HIr`MQ5726BTw;dS5Q?%FAW;&%gfP7bIq! z;R1mxHJ|O@KoHCb+;jCKn16#a{bBJDKg<5*KmYo-`JRS+FAh0lLxg<%9&9EOGEzr4 zdi?6w@RMX@B>j1dG7A8^yy)g|kN}|dx?IvgG};0&>Krw3@}V<{LZ58r5U|`GeFPtTSw3fJT$3r}fw|0kmNvF~ifM4|ddyPWv zbgMD2zn_QdT@MKNjd?mp$H$K!^*2)=QU0n0Df?zZLg99ON!SBCai*Mj1z?xqRf(ec zVGYf9GH+UWHr%-&G;3e*pR`vI|A>V+(~1(@A1&^@5GY0yA=}Gq4f=vk!~xy)&Am8BJJS<~$= z$!&bqN3_1`Xe(ECjkex)owcEKKR|c?mBtwbrQpII#YZz+^?~ zHV2islc5pHULGnC@mQnJaOooq=(tqb@JPZe5#5Z<8$nm}U=dGh1cp%)z%a~a^U5a| zr)0W7lnO_?{}COLUL3{;jd&OvGBzGGJ{~+wQ+~#~I%eF0dh`gRDULLB-CWz)jdy0_ zo!fYkED6GTQWTreb|_@HvJGW$uAvZbp;moL?IR%GoArB^FZX9h0Ei#M&D@g*e)eewI3e0{}BIADm=|hFrL?;8`@9W`e4V! zgY(RAAviFG1N-9}*cWzF?7M@j;Xh%u;RP@ej%9@hM1qy7=Shhzn%WsTJVL=QP;mc& zB$imH4uXgmztN$fiJ)7<+*=g6C(eL0c-Ve;g%Y|f>!x28M%eY(goVWO z-LaS;OZIGHFK<-{3(E|ef{ExSnJe+{of?L9klq@}1sA1P} zGZGw4f*uRhE?H;2(j<%!WVO;Qr5J?)!jh!Ifh__9R(c3kg%v-I zfxb{h)W|{}0cDB!7n03*4jEt~Xi9F2{vlo<{)*Bg^jIQGjTs%HJE8n2Q@*~B48{f_ z_SMzgjqrU@Bypx)gH&`nOhbU_k=Mo)NiU2&R7osr@hG!EgHE9lb1s%RO^So;`qo)f z-G3Xo)5J9qBl}4Ua@fGmq`p?nFyiA(56e>C!%doBbMV@%%!C`21J!N&`DYB;$iMvM zU?hCtnda5h=56>nYA>7*LGQQz4V{@Hwcy>w)fx4^N&TVb4jksse}^s}rNnl)HRG;q z&|J}m!r6kYk1aKVhpdmxS78bdK1dQp<3?gJ)A?qN|D6A6eX^~tnzAICzmZ3*+(;ag zDI@Ud&YJ1k!6xXdz0<*bn~%2)vH6^`SxEmGJ346{a;#=Hh8I^`bRe!kt9Q4M2OMl{ z0J{!d3j#@Nw#h=nKDAD_Yt!OJ{%yWlA)O)vZE|x;=&;hB&c1V+W-m>;hd(nP6orU) zj9+r&;UYVgYSoE^crspi=gFaTWi3Y;>Ub=ZEar>3>o<{}7>oH@3Qu z8)W!Xc%Z=r;C18&64#1ztx=V0owUOcW_!n!qd&J@vnF(L3z!tX*ZSbz{nxqm`YxVp=PCDK zmvq*%QYK9cmKsJ3u@eKjAmi`8#i@ElK}kXGPV-!Ehx6`5nh`Ne~-l1tqTF@W5&xrKbBk{H`^8+qK>&Z+oURG90*!pKLk z$JXBJas$@As%rMtU=HIU!3_W7TQbP{vHB!BzGyzp`i7(;$J{xY7c5(6LxCU?5Ud5B zw+ELB(vp(>K#?4c2(*LfNS&f9?=EXnYb+>}xBJP%_@!-W0voRVM3*TuHW=y266QkH zKwL1hl|7FjAvj-fzG|uwKg3{cEGwkRJPOGMiUh`r?L^#k-BL}^7S0yR2)4iEwAY=r zd|C^$VlE8uaiR%o6^W5#r+{Y85)0Z#vt!z(FF5YCZ~=4mrC9~P1HMword>~a6jpyT zLD>x6O!GcMe+RaH7C6i)2(_4I+)vQtdBxBib3u^_Mu1R2gOmVkLYFf~s?pq9k`KHI zaMeeVsl9L34{;w;+UyCVy(|1fzV3w3;NFvO9^MO`*oY!$-7z`YIkEGXU&1wK;{cVy&oI#5DIzA(IPO05)f~mPk_S1|bDyATv+)kM_-L zz#jm(yjd<_4`(6$zh_bq7w9926pPD)@$!nf)lgbVj;Yf5=DU_(8SC)4EAn9|Vph{Ebv~h1o_& z=JU@GN>kv`Al0nHlH4?lk#t^LKcyk&5EwiZqe=0u5Ik@ zYc5!3Q*;lifl@-b@>=&CR=ZBX$nFtaqv1D>>%soZ!$jj_GJko!aM?=FOgX6OwG@5; z9Rrb^X`C+J-fBZN1seUKL5oVAS3H6Ym=r73J~&>LwAgt$q$1Eb1gL*gJP7WO;Wn?2 zU;b+L%K!2ne*<~}tg+4T?%rq{he0In+)Q?lM3Y{iZPF-a`kvMgwTsfFU?uhS`gX}) z?%uhM{XqBdZjgiWmq%x42u$6d@oxqOQT{J>H-F?-$f)tKN-*{@%Qcw{Y?Uve>NEuY zjIUIBP{C#Jf@#z3c27{(R?r~Y*OQi5;Oo2Z?pD+C2c-uoL?=ctJs}6+)u>4OrK4lkbkU0+5>KhG*(BNcT88GfB4NcE>I}pAx!!38{j=Ztkypu zv|9Z@)hoMZS8smGDmW3v{2F6{s9x|N!dI986g`tH z@3H_YiVzRM`PE0e@XcJ3UOdjK^&!>dp|UX+Z-K~K^9;SnWqlf7uzeL*hZXB?J1V{M zEo6JS`@NGuI;1<;Y<_Z47S8+3#rDTKv1y=9_LTjk&9o>V?5Y@K2BeI}AYJHj|9~s; zWx0+Od`_R3ru=tOFIl$@`%p%6UMb z(E1z%WniTnV%mphD~1f`TYo2Sx&59|YTgjb2M~TTLyMo6Q>z5+N z&3@|948*)NQNozlFRt=o)T}gM(a>Uq!1Gnj_kElz{FP#JMjsBEvxu0=tVq_IA`2{1 z938OJLS41R&fsGU{1NjT0NDPX=+kj}YMd#quj1NNq;RI#9qNMYsH*fo;Tyu~?8U@k zjWB5AMcnG0j(9UQwF@sCemi4qHfg}s(}1BvV)Gd+5RM;Ogb0?k)>_K;ua>dIaN4F| zl+8lO92g-p`S>?qEASp79zajyLTT9iS9xq3`VohMzA>NxgQ+||_F<0x99m(oQM<&p zh9T1sttSuXm!ac$U0oa;Le%68CV0^LV4Q*lAtxXp-h^X?V@!o-cwq(Y&{C=2OE!_% z0lGlU5NBv4exM~Tj!I~E;!DOAngTFqd*3U2Ylt83h}IKD5-Hw30@CB#dW~fl*SD~d zG50t7m3@RHq24Q^!Ik};TEXDDK~>aG4n>9&LcCtJU(~Uvl!f2$@N{EY zOP*j#a;hgWv7L8rowXps`e$^sw6w8(P?j+B{YdLkTTPGqYU+_o_V*MXCI zf0hwoiAj)axUu8XaR#E&WkyDtJ|+!n9Mcr`3{r}*6i*i0ck}(Lb0Dd=A`3-cF*aG~ zpyU5e0g#qCCzf~}Q#B!pd#BPFxm~cb$=eA%jz9}cJs(D#nnty4L9`4&l`bQGm&Th6 zyM4EpV|Oo2<4Bx=oov+Um~%9$Q3(t6H(H;h)~cALhyVKe9KgN?AK%&WUuGgvoD-W6 zy~eu*Oi|Rl&q!;5fw&t4usdqSo#9X)1aMUt7h5+p`&q10o&`5 z!v&feh>)~2i_=r&Zr`Jow|Xa8S4O*JzuheFKIOL*Hg>~AkL{-a8{BZR6&9AHiRav~s9XB6icKpM^ zudOJFlmQG*m)u$&MSUw2(1RE6UOuEItuMK6$)uYY8*eA}cqocL6P>M|OngCMl z&E$i16)sYA{`=ZUKINT?yky8%Ru@|;8o&baU=EG|6OzVlRkfBOXp~Tup0H6X)N)Y_ z+|BwE^0##(h234{gA8hvv%ks2a9&h^5- z@Ll=M9ZU|WQld5Ef02Io=;RI}A=}yiwoSRXN!wQc%C{^x3s?8)0k@968grqh!n6DV z(B`mC!x;2iT!(M%r}3Av)+fMe*rYFK(^X{mK|nEGCH5~`DmGl{o2h<6zg5RB9x~(k za&2%|inwG#o`y&BwQ(LgO}i?k*pb_ymHSV(f#v;%1rN3xS_W-k%;?VWuUb~bg4rF+ z$RBFp3IzZPnL<7H9TP) zHG;&^qc1AJzz`}o{n#28C#nG7&X-Cc!#)>AWAfE25z}HPJ7t#K6XyUTd z)k_a(sQKCC)9h}<1b76d;;=!b=ZHCIqu5@r2#N{&YO&@b1heF4UsahW-ZzqDB{ zH}5yEpO)<`yW8kNQ*}Y9u9oTojS%l*yde1MJm}UQD)f}g6EM}6P)iXg-Z+CTxEL5h zop#A@hAV()ck~|WV`$?w5)^KiEYn8iQZUY5U(gP8aZn7?hnvu{!;9@ z0UX6$c)qz{$D1Hn#BLHJ#n+93a1{@_QO78TeIvl#rFdqH<6(CFEGQR+r3*fy&9l|x zdQG1*`_Nn$P&pdJUmw#wM&-^0hdic(Zo9gbgTfmjXR(nn3*Z1AwhNF_3yxG%m65`@ zTQbUSzC!)2(+7(mG}_Ym5$(Mu99shW#S+BM-uUnxcy;lJw$NSE0|>TG)B2Fb%_^=e z+yeIs0-Ca7RCw`@wSciui`#_vB%_B=j-&JHLBnJah*@gNPJvjB0En$pVyoQE?Z+FG zVk;34V^NJ?Y1-JeXl9{14~tcGbO+%^B~%%fWup|q6ifYf_Q?DOZxek;(G3(|UG}k` z2YqPwL93rmv?!ykUWuHpVr%l*(?^F~SWHY4HS;8`pZ5CFayS zEY-&-Ib4i+t~IMGH$B-wVu7Fk0S_6PSgUE#q8OgWlMnC5CW||4$;Ta{u_SGwO^; z<|HV_5S2lUz4ADKqbjGlu(2xg_?piYUWG?2_g*7PKf2Js3s0?9yK+l-)J z^KGIdJ3kKpGGn-ir>ioM*wdGR>24iN?~vJvfnugB(!av{P|Sl?afM232cDlbiJ<4? zECyX1#uM`fcVI-vuMWlZiA{u}t7SplN)}d69H0kf0J7jW?}R_&gBmhZx^W=VD!mK90TBNrw6q}SJv^|DpVtPdHTk0;5GD%9+QD!NEUgd`~0XB*5{hF zbTD>m=V(eYyxxt>;prh55y{ewSm-|d^Po{(pa6cjM42Th-&->9C+Q0jCc&G>lCzjX z)b^pz=TB$1Tk{7@4T6d*y0>gUhTgDo^Mxw{NlK8o63xYo1KDQ}A-}kS(Sj{QVsdqd zy^&coOHdNE?&-Qjf3yMgq;40!ED^k{1rG3a4o+zc3<^~HQU{p1W-a6aR8R~`;B~=g zzFczV@CV*u-$PuAzOC_In>xSd&HS-WA+X|f(4fO=0Iib*u*jfm6dO$|Fz%bF2A^L= zwwCfNYw$-R!X{}yibIxbFfcPapaTHeO@_wg%FBFg|J(X_*@IShm<;VJ6TYD?ecA}M zdcxoYDd0{*IvEPraZQC=l_U%9BgQUw|DU#RS&r*Sviy}aE!s#krp74MW2)O`%s>zn zQ6xb$0ZLu9X-g0ZFbhB?8krD9F2?FZ%BD8@2CZtxKdCR7bNmsH8y+{4nwdpgs{ruc zxbg6CKYsl9PDUyp?*OdYYuLbY8*sM{Qr#6JjVZ7~4hHosCVxA2NgUqXUW?Fxky_Mb zGMUR0kJ1{A^ImC%1}-f6Ft{u-Oe!V-7>8tVyNms8AJzJHR7*6qWD5A|VA|_F*%?jb z5qMvYem7(}-56AWb5U$rYC^O@%E*w8MLCR^%K5|^5f00!jc!Hc6yDrD9z25SU_3EV z7Y<)uoWy4o<^v~3GmC%-1+hs3RvET0ZL3oUK-`Z+`_Sz4@>*4hr?30Tm2X2KR-NoX zh*essvOG$J3oAw)!6<9WlpQ8zCbLeGqzL0s6B{)dCM!uDj203z{DPC$4>MxbH>2M^ z9=nUB@C2Q3&?tyB$lLcbfZ4oZf_=T+c|)6*W6!BV-L-Ct;8l+*7WTrI^t^wR`Z-UUQW+3dCk+w-QF z(okHmrlOSg9cRr-fKuHX2EYx2Zgv=)5nu5$u0Cnr%q(V$oc_I(U}00>fEN8R^9g3i z4iObpG?gEx$mcywq=&zth~q8%aKtP^hmlr#nautaVGPtc&lYg>WO}yLPrm_TNcV4s z>YuG;`2kwtKAprH)!mpYaIM#zmltTRd>&ty-*y#=`J1**4*kSLv`KX!IfL2oS4&Y0 zXIMleWn;YjOR`9uVvIj!s2kg{qVfenGz!tNRIW(K`A1Mlkve(LmOC|^z@3+(n4vO? zYT%_sv}tx6X=vfb`uKo%%E@kxDeO;yWXQZ}vJD|J-9_yDyo-DQV~5w8gO34aGL$Bm zp^}umUyyLo`#aagAznY(69cjJu?;M#;tKU=!df{qLyjRecICX&`V8P6aBOIxMH*0= zn3Jxn@uv~lWb>UoQT9U?)7T}tSI1fABa%sx>DZE|eKeu`eEoe=kLhXOTpkaEXKWvb z6)y#%k?X9NOK#|$LW3vJ$yy_x_l`x@aFJ3WMKOw8Q5`4)v(rgX@i#%8Eu~Q0G7aBh zJB&?2w--6f^PAJn8ZJSbvXR+;4|=K;A=}P?!%6`2)4iw)so4goOG_@-1-Nl2x=i&l zl5N69OEQb2v_lzIGbJTQqSh+KNq&JFbpsHuk~-V|k}&yDuju#|#fN23S5Z`kU{D>x z$7_{eXB6MT_8|Ag{^@%v{y9M@ATERLSK8Nmoy-*`E=XJ*;jxvNi|=#E6>91zB?hs2 zz;gxs-Yrg-cQ$+I2evko`-vZw-=1~(Xp*wVi^x||Kj4l&l+azEb6Whn;U%++@u{I5 zZHRa=fjjWMG1}p?TA4EqXHv11c(*vcPhOoUHQd+xON!NG1Tm}QY|gB-%zNgT zX@%*h`8^xv>8y*LFU^QiL$`|ZCwm^?AjxhdiVlo+>eY-0V~uW1m;oh<0q(d&j`oI{ zs5{8z$Va!^o)zGA#ihSoa??8TSzb$c6I2cS3q4l`N2GP&KOO3mmVqFV_pgyZv@oJ< zcHU5f4aXnhCWeW;)Fyy0X1B9XQh$eOkl-G^DEb(dJxJh~sh$=s10r~W;6rCky4|N2 z@~WYSZus$|iPp%-E?6wDAhHBkU2EmV&4=eb_IYhK?F^U6@)B*fg;XK}J&>TA-LdM~ z&S=H8Zqd`+0|Wch6jhxZW8J*=Umtz_ZKtJhz#iMydexhj_FeW4zCm9lYP{OJaI-q7 z@VJV~&-0=qEK*ImZ);UwKPKOzV`<%Q?5ot2)iM|=je_Ha&4%lk?XgHB6^0f!Al*Aq z;6*xbPN_$h@qy5X?WebQ?G-|LhoK?2)wWv{v(?gQ zYcH$RmTTSp*MVxdcREmw{Hmj)EdZ@D+N`j&>uUPW=Y7Nf+x{Wjg=-`UrQ>S{Ph-Dz zH0TH-g)!Qo&y(x5`V-yJV!+#>v>e6+cnokAsODiuvv!(RS8>`TWRloGY>V|sjA(_- z=7nYtH5h*l#{42v$lQEu3*rWW8D%2fs`A@@jk8pKV(S*;n>u5*lhO_1e!YhbyI}RF zG2jK3psBnm;p$tahpQCzq<|EUx0PnTTo3tHA)#1M-Oum9osA z?j`siv0Gs;6lNR8L zYN0Of0Fh!;DXx<`&=Yf6vNJsN{4^~$c*?qUW4<4>^2!bsox0TEyzj(xs83v_sBP;g za$qMJj&qf3$jm1&XM*AqEG#?4h)#FO&)e!ZbjmD6C$zeOuI@hGZWt|GXsVy0a2GS- zxN_4Z1-9&paTlh-l!QJGLDWL6z?YO>=;O%?d7-7*+f|cE5Qj_pvUt}X46t9W#1-jq znB-Su{TXp?XY9aOOX(|i3c1J)*tR-`>iEbgDXTsR2X){e%VLgnjke>e0V9d!r}XLc zHPu5UH=1G^_(*JUnS(IEc`DqFYg2k0!K33k-ji?duqC)GZ4lPz*mb>ukt?CY8saJh ztRa$~lDlX1X<2x>D402h?t--WdjygcB^A-dNvlQO(REN+OQiZk&#}~Q;_f=~C`!Np z-25epIWv1CEP+Y(Hq?!`UIRJq97u{C7c5-z5IWW3)By6&An@8ugg-ia4)jE ziIfel^G4*cgH?njsAj#`H0_11rvb;}87#moYj&6EfsXA@v|m))kOQafPvIDNa5Fu@ z=0PvIk(j0r%SBatSase7%?k=?xFXQhstZ^lvSd!+EAWXO zZd2W;0){llz~j!*BOYQe`R?6*06MjMMN%d7^*a0G4H0ou!9YSx$faH1r&oA~8I20> zn8eq_U#SmIAY$mIIq_nbyp$NcY@~RQawG0;50FtYP$R=_!yP*J%!XE6#tas z6kWD-drG(*mjat%YQ@2NGi5Zx|E=y2_q|-lmUU~ZC`N9s=2e&vYrN@SX$|{CD2ngu z-!k~v7FfD3_*~J)%7V1VJ&9g#-O_k#3o{qWDm{0G<0|CU?5oA0FMDP^A*yXT;Frp3pGr^epV|#RB2f&P=fw%!WUUwLV1oRL#)IaUz|Gv!9F17e0uN( zzHv>*RgXwo)ZU@l(2oX&B?o9ZV)ro9q5OrMdy%?RAIdGrD5^119-{`KalVI*on&Jn z>zmF4>zbuYLb8{mi`Mv+1_{>iUFPjevxUBO>%-GgAM}J=9HAgCWzmpup`d~+kJ)$g zX4475w|#-V$E!m$x(e4!GAjF?i6icp6<#VeiQYW7Lkj1@1>iCX)kW(;McgDb;OB1C z$5W>1z_iah^l*Jq$Ue{6m;nHGV=Xk&sUhZ0pP}I9r}T(64jFxW*x&5{<@VBlNr|Z} zb#zGwf-OD<%;(OXCmL%oFto)JL|z2}p>l-LMPzK`7e> zL1e#8ym3i+-)mzv(h}{TcvoEn4|Q?A)NqYhj;I}Y8FZGzNl-FYJf}_4l^~M)NcC;u z6>_@=ICgu<$n90W-!TYglSClE3K#J={{5UF@#FjlDZ!f9Am%fVRK@EELm0Xoj%R5w zUE2N|)A9Xr-wH=om6aIMu%tZqZNw98xw~|49c)`J zisBTZk{I#e#R^4srf|6C=30v=l_pEkf|2RN3iDSuwIo5zJQIsi9iCd`F7#^PLwWJ} zb-PyLv4Q)KN(b(rwmv;6s-HiEk}ce7*5^_xPWdnj6UDeFvy3wzNbc{ad8Mo&yEbj;24qZ~`b18w2bL}c#6ht+$~*D<wwWih{AcWpmK&o1C6(I73lx~q z4dh>^Md1&01-}50!E6VZ{Lqn&NOq5eWu|m{^!JmdgIDr7rQecAH(rjRlh~Y3(3S<< z2tLy1v5Ej&Rs$Fs2)VyNW?DxQ^f|@+Vnbx~ocE^HC!{a#AJ0A;EYdL`qM5Ma3LIhd zYN%B;njNl_K(C;TOOK=k1UpLQ3cMXhb_`L_hX(DcYy}&f+p~R$GGu zh^zoUJU<7+Iz!jL_fmmDQ$0=eun`9_P>F3mmi_qdZ>MlWR~XYrN`goU?dW5h-N?tf zPe+P9=;~mNT`6DR=QQogN6dPca#APSE4X%#8~3L`N!(Gy>Py$A0q4FC1%A^}Xy7S} z6dDE(PJ6vN8Kh!yW<$g%_YLt5M1cVyRGun@MWd!>LfRN;KeXoO~2tj zH1Nh8S= zm*Fr#Z$)8y^4!UQz(d5YY~O$KWdT#v9aCv-Sn&CDuM~Yal}+B<`OK6H4WX1U<|?q6 z@cMT4j$Pkh%{Q~@DH?=BCLi{gMv&i5b>vc6ESc#ykTgTIs~aq1kiuB|aRGY0$5mQK zR6UM*DGs+#Kaf)-qUN2rOC~0)74bbL>nw4M&N%!%j(m!bIex2a^o-a4t z+97CcV69OtQao;(R0DDC*=2TDz_!G!=QBM`djV~`@1ZOPy&}4lBylCh5cyHsZy+eL zQn3dK%c3>c)e#I=xno(m0-E7cj+FP4wAtaLq~AsG$@)h~4TvM+UrHyx`Yhkel)Vc= z!qP_Vc}bwzDGqJ_@W1Up?OLb~tbs2NP>sy7AHJxfSMpLVCkRF=uM!6B+ zxY>Yfa6SiHO*^AXzJj8isbt`;>{I3+-IZigri^?>h#yv`ju#lVEBesjKVDMibp7e$ z6-^~&v*BH^n8!dx+WF*rQj>fG0Rjwhe8BygLg;2MQ+*6WZ&e9=K* zF)H;-kfqL5;VfQzL@6jV+|%k>UV7LTb|;F*jb|539&xO^%P{^K3fsI*gWbM-7J^*S zmjx+$nNSr_zpx~!-i+!DQi+nr=J^`l80+szkX0t3;G6^P?)?ccTE2CXqLA{9}>HHF%+ zthy?@l_k^`px0KMoJCoJv;vPN&zOXhHh99=D7}@*1Ad?(QQt!&3SL`5Ox2ByuTU~p zps-i?DKcGfc)NF62c5u@1hr~UF`e%3YVb3C!5~2m;So+4>?5m}^q3vO%aeri`le`= z$;z=OR9PaMjDf4HDWk0o>TsB_5$7ob=rlO|GcM*aop*7~vCyhWZCD+)!vp*$#50&x zBL(;Vr^4fvXTH0J;b)bttT5s^s)H?{ITME`|`Ixcc%h`j@V`Qh;2{HlDuT5p!{-pvP#l(!i_C#Zr(*<7LS%6H;( ztb7oj1BcD^rV^p%cX8G2Wr{0@x{qm!BP~P+z4AllZGP8xU?v%AbJr6g*?OEhpo=^) z%rw?HGEe9ad<2ai$=@Lr2|Kb7-)k<}u_1)%M&6xS57K!doc+SDPYaPZ58r%XWou%t z$KD(QP9?6(r&W{j2yQ29*aT9e%&B^rOcU%}f<xY z`bsR2kxD3WJXLv`6;Z-dPfN&6kc=2ZgES@d?_0ch0QV`1#MkT)(sX$DnA}J@6a&+z zC!%XDeQ!x|mbNFHdT<{;K_VX$tdFZu%C#Y@$)DRD(F?fv1^b6VI_I`I)}^=3 z0o?+pSG-R=9zvHyF^vLC_QjeF%hK@68ne;T4w=^G&Lrk-@?dpnNRUc1sqGz;W(VFG zLo6hgWe;=w@WhM?gCQn~F7D?DgEE(HJwx0=W2&1}Nds`Rn+Fmu0}3)%ylnE|hxfQ| zDS&~0M=Svc{n?oTC9|ABWC3S`0E#}^bno4}6%0b(zv&b~V1@#160z^eARO*LKb7p` zSHLJ{5Ni8sYO-wpS{O&FGWO4TRIdOgO#gxYa_w#HSP>J6h|uqml-PEm1Z4*DRkGT{ zJX(cz4>J}@KyZg_@a1dsipD;@G4KQUDtQgfvlF^7$X6Dn9ZFajh1gU=jljk()7FG} z+0e^k0O3+izO?wIytneyMc;9YifCkQq_``o5vJ3&!@h4k$w4M-00a&K6~*!bsXb;P z4os>D#N|vC5ylIJ@-!Wl`cD#}9IRjO@DB10?({3sYk*+(Gw2;zU>Kgqfh@38g{SZ$ zfJ#Bg)KV#>lWP7cXULBiw{W_U6sTL7FpoBNMgU@%*yc#0GY|}xgj!=wAWbE0D`~6C z+yvd_x;RELNy+lm8zFrrZwdod)iaT;O?hf2HLUeg6-BBeFIf^Dh;@#zt&}I1a%`7# zDGe+1jxa{Lx;Y}i4^jiWi9Im@^1Cfr2PL?APfG08-!z?425y>wcyWk`lo+f*@1oQs z$s>&r^#nWz%X;&EBD!=r*3r1#F){}<9{lsK{~N4qBrPB`^UuHjO$-)(c8wIF{pjIN zfIUXrsj`)EWWjS#rT{ymvMI7p@gCHOPXf&mWV9_zaCIJ@^G4$;W|?Py&NMshKK zPtjL)`XXgp^bN2Da;-1SpubU7DBaR%vk@?OMI9Ly=kw2>|2`paZ8;~eXpGjbE8EEJ22#e8QyScPn_n)x}!e_~eu3DgQ{zeS5(~E82_xg*QKr%RM}Z()6fPGe926oE;Iyu`Pgk z!hR^@vLX+Xz{q7EvB$hLlSX)z-+?H=2YG8bzO%WM#9BDncx?$t(ZHvVI^(rrrhw5` zZd)~MK`WwR(s3{a@1w5>QwNwJ#!+*ABK-t`s0My1idl-RE^Vauit%V;^u1xeAeA2$ zL_7>ZZ@5Hv8`;}&Sy4&I9E$3-N33E7Xh~8roa%<|kEB!KKtndF6U6j!;wB&~Xf1JM z0S>71=A9Nw)G*BHSmtpU8&KBCBs{W4CvuP4X_x)Pz^*!@_fWr%3#|XvWyG{&s5I(> z3OMqhyQI?a_03soAzxZXx~)uBUL$QyK7h0b%}GLYTlOIHtw*rxM|^ihc}nbCdNCxI z23EW{zUN>dus<+TV5rstT+(0Ie)joskbZ{mu@#Ht$7&)v4`l7k8`TS*9+fWoGWnb_?E!7z8UUtgS0ed{+B5z6<5(h*C z+O5c=f>wtclC?U3QfQ+E*ES(bbqYrOm4L0UO{tjK8;mdAv~AFrrcJy!#!LQD?&nG> zvH64=rB}Hc@nc4Z-0YrwzZwZTM<#v=PIaz*I4O87?@dSli}R5_tQk)>xa1z8)4Gq@HVW*WkO*Bn&cbg6NJM->8jV z^AvMBd0O>jjKl9VUo54XHr4*4o_19Q{tD2vK(s`f9x6tKZy8dyIUhNAjdO=sOFTg-Qrvy_ zOIgYcWQ?rMSeLw`{skMdJ-Dc0LTEwfwvbUNN=2tuTFhXTmKG&B+S8Ul9n=X3 zJA_yqOq2Hd5pwQZ(V<`lkg>F~IJCw?Hw!7X_oyL*P%3RAWfY`T+Wkf!3L75axAsrR z8_(1F1$ie`cEE!6%jiqv6{h<@oFughAT!f)azyZ-LyCc<5>bwYd|$w>@N9#|K1pYw zrpT4-vZPm#WT>5(qnF(p7+9Jo7%kgfW9?ydike6^O_7>1Teda%9GJI|?N;P{2A6KV zvGve)K`k+FevxKkO!A1!-8Nf7OHO;#_-9YGN|{zpuV%fFyvf`X$TXazYpT-fQ7gHk zKf$t`f!@F79m=y%|5FGdiEa#+$Ina^_0SCAf{*;n3fYnII(LsJkYCz8{5}0LEMuf! zhWn)C@Xk{s7UEb+<;HU6DXX2O2SS_7UMC5ZqWPi(_M{@{fr;;c8ocV|X)E0}%6|wR zs!aOPDd=YgB9S9Sj6yRJM(y)Ba_OGr~-v&E{#_n3bg^o_`5Yub%BbLE^d2B?aZas_yNSbo_k`nmVASdxhmUxA4kRk#=0ao-t@DIR0O411h!clqi`5*7D7)gs5Eb?oA znx4FU@@C&CWwiEP5=8t$N}!9-TVnV^Uj!G4^x|GEyZf($595Oacv$kt2U>dw1}MId zXZy*V$+*e>-piMh(>HrZCwu#+hp(ZGp=pWKe+@%KF~4bQOGqtg&E&qq=YjwQ6qSV` z9;AJvd+L+iaEy|$wLycJqhJs{=e~5^J7_AVAplcH)?Ie}Ms!_pgLHhPB{TJH`+hk15J_Vez_3OQXjs`k7a}r(h9IjA|Bvm?Gth(9`4j`Pz z?rv=K>WZF(i7_Om*7glc`ntQZgW=(m;OL^rFNv*-^_PpnQ=wmK20CadHb78b;a(eKSG#d569x=i)>sN%9t==@1tqShZ(qIo6WmNHJ}LszzuYwEBl8^) zVjGFA*^P`$e0}M(mw*)pJSuFmOGCYQ0gJ9qpd^FUi3=MiP&rs*W~_rX8AW5we7W0qD+C2abl4{A z4^L+k4Mj@po3$>qS#} zd9VUB8cXI%5y#z0SHQvg>ZvKXQN7qx6HwCIhMd6U(=Ts2 zKVp>2QfJm#w?9H52Y-UnwGN-UV}O^~KsT$+dfo^|+1v>i5hHh?1M5OoWQ^y{h>@ExTrp1d!FL0|_xu?9glFSM6ld!6szI zZ?i+2=^%9#eR_9gjcST^ygMEQx8~&JKVQE7?mzcmzk0|`$QDn^{1_+l>u0p(jCy6L z{9Abf{DxFhDRL;5vhtZ6gG2Rgtx$_c-v0D@qF@!cQ@HSzlAk5Rn({b3&!+b7vU$jn z*s)Q&srX@Ua)8&|%omB5hEK$F!g-kU8KPh`JLmT9gCiXnjWZCnvLw*|1ZGGBD`;+ppiA9v&S`j$glineI?slA)g+osja=s1XI_ z6>5@CUZLFt;4W=uG3F)ox)}270<@v(1}j1x+GZAl826}|K$KCe4!;#TW$!V&*_GFC zOJn5{$^vdFfYb3byZZ#507F2$zc-ap)(}ia$rQ5(-@!W36p1r05q_Q+L7?4+2nRUR z!6B%&FxkPtTLX`1C5wl4mB5X7R}i$MzFfD zb5m81oic$6f5^ho{^9IHM-jDf@YunDt2QMVcEU3oEuP{E2OPeUU1<=E?LFB>=g4rf z@)9WZ|L@%x^%fL~ucGgVc-5fUv70Q!SYRcq+$TK?x%JOKLN`Lp&BUiwBu?o0$$l=B zJlUYxXqCjO(Km>xyrS4@n{8V{hlc%jDXUK}f3X$gS&?HtR&(vZNcmAjIwL z<}JM#(}XLjHF7+BoqZ%--_wsXZwa{S0h`TNyc2# z1uO8!yzFY^dJ1qKGoWG~k-njU%q3~1^u4h%90Z``!ss220D?!r4NFv^l zKHst-$3d=Y6EIGZRzAOaAM~-Eh(|cO58A=(wiRfHH2qs_1#ph_%YNNX2snk=ZUz{O z%2VdM3;h5I384d@_j7_-4?BjTk^|&O#H^LdFjxhp*tQrpTV&n=-~!jpS04B;p`O6s zzL}$Ez=wxL{ZG-eO2)z1RiF`s9#wpZT&2(5w!09V*X6Y8FEhp6MXgN<6Gy;=9>bA# zG15>-H~gAJTe*Eb!u{fFFW@9&4I0LzBT0fr6}i$S*fdjT6!Fe%DoAkbOTSP`z^*C_~65`Ma)gUAZSr&(80 znUcwa*Y{|Av6&n!5vGO$DFsNkf45q%rzgm7V^6TzBmP0(N$P`35kU@62+ZyE85@vz z`jv#Y=clh;QjN*69RuK|$E1BtA3QlZepn&Ja%De1Jw2X^x+Vk&eNz=wW(2=-YxYrk zl0HagwoSuRrTiR4F`N#Uj#YOWdQ>5tiXK&{EK14;7bPdEGHBP4o)HL((|Osxv!eEc zoOAsu{T@X2$;4J~QGW;?%6}Z}(@Rzx#C@1f?rZD@$`HRiJUBX?oE#tQA3i%gcq%|~ zZ4Dy}bhbiU75sBTtH>>15j>HLMOe3+`A?hv1osh?h=@cYW_qY0Z@%yNZmof;F11w8 zti7@kxow9NA|jDBL-F({k2JnlVMvfuUY}i{_E;n_LG7)b^Q~wNPQH{9hyzc6h*!pJ zIlKO-{d2WQt51^nW`q_JAT@smF?Xoz+qMqNxj~*Eb=>QIgGmDs&^IX-lngE#SP zODz@ityQY#u!lk?Wo6@O$piph7Wy8hO$$bRY9(__l#ejK3gL%k!uI&ETo?8X=&jt3 z2h&#o+|VSiXp#{Y$=dV6+FaQBPxo3t0LV|}quCt-^^2rWg9f%>n{LSnjXgXpz%6xz ziY<>VQL1t3Uhix(u6roSsfm$HPZBct-DgwPP95t@^jWdrg^Yu`2AEjyeVdbxn47x=)k@l@GjP1|;)CPt*h zW_TCguZmP#X)491N+tW|UddX7D$M}Yv%w5*>KeGXI}d|En}lY9&<*U(Oe7gB2PNxZ za{*URzi)wLQH~|7xo;YcM#o5dfQYbvy}Cc2>h*lRx~Nl@k4G3ytAw$W~1YbqIa7R)RZ*)y;oE}(UklMKxAf-BE# zW!Xp2lgIp|D*cROls-`%yu?)OZ_fa}J%C5(7lSv0o*tb(JHfHdd?3t=&N3XD^jcyP zlpaJMVAA_%OC`Y;B;Ks$ABm-Nrgh1P^m@+Ui1bTo*Q0c<@jhfr+ zL+)Zq;{b=ms|&OjQZ_BJL$#Pg`{3qM&#_q6-rLxL@8+t%LduHI(`zAf-Mm#rU4<#rm9WC#?8M?wU?hyXc-?VxB!MV1mNs?)= z7WRH-qfy|8kG_=bp-{`zgA#*M;Jjm2C8~+7?@)U?Dr=;GWxW9@gbCY66Psj&6&bJ+ zV+n~aTn~>>GDsg9C3HB}sJG4y=)8THRG7H{1nQiuu-p7BH?Cl4koV04Mxz$9Hf=7q z1ERz^Jn<_PP?8aaE0#24881o~E>XLMDWF&;j#lMbyFb}CeZOyWm``EMP&-m=R70V4 zl0ByYH=a@#Q={Iz$T@k3)QV?6^Ob{-kgd}W;$Yx??U8X z`$g_V_qMIjTx(?e(!}BzeZVlB2{jU&*m(MkUe00GzM*=wHWt>;F>L@v7!g#d3KF1F zkpAAiXJ$+rV*o#5lO!>g7+hH)r4_8eP*_v&`5!=U;-0+yV>KSh_lR8@HU_$h@m>=D zh^0cc4k5i(mHGk(u80DAfWY|^m^$7OL%ASS;ZkU*Z`~m87!)y8(U&cxje!nZbx;eh zEy3f23b2?r?#<*oq0p+TvZ*8Bw@+t4`HIHLZB;tFXzidRFZ7SakW6L38XXRXS!zzP zzS%Ca|BFF4C;KJxz1nUXm!NKSy0g_ltZ3f)+%B}~CyEKJpC`{@3B@>}4IAiMs>y~3 zA-?3`rw#k<)G6%Vqz}~Xs*W@HejNsx{Y&R@2*c{SMntyIbD;zWJ8u(UA;#Jb@6}|K zjf1!)cKwJ-asU;lBQblV8;Nzv{<8aA_4lN{^D2%S4DP;=f2hbI*pY=G0!KH3g9S>G zl*=2)#bfj2_GQZvr0Q|&2k~)=e0k=jZcfyPrUJo6KCHO$(1UGC2FyA9PBun4yWily zsZD_cuk@~rkZ!`h(a4sa9+&tuY1Wvv z{ulKjyNI9}Uv9r*KtqQTNxB@E%qk~gXbE@pAR{G74!@MSPT;sRgwd=^4e`d)2a-;Q zY01}KeS_~H=^ZY34bL#Prg#NHvHnu^27_FaS1Jwmod+rxgyv=-3;_W zfNOUs@F4C!3bA4Gj1a5^{lY5v0n@$u0F|S~=H=?$6^zMCm%q`l=&Nb#utH()!AB(+b{K)-`4xI#qR9*~xsJOO$Ji*^&}A?MRj_Pi zs-$&Am~N07XVHwx0oPNd<#j_c@8x_)$t!Z+Y{*UEa>()k79Z$4oH5f&56=*(UrZ2u zt8AWqj5@oD$SD4*Pg9nK0@!H0(hL|u+(qXI%N`5x3WDkcgcpz?5>*y518wP9LGk&Q z3rGNFgPA(fVre*ZTpY9W)bwTtre!gCjp-uIyB>_c&N+E@cEy;mD>$n(5T=6y#0SVToHKu^o$`b>=O$k2xk#RG?nnGtM=IK`sjQZl=gRK8 zj*E7RLUb9(`Lj|rNXkwqy<_?f=%>eIX9$Il?7Jx5BjZ|njU zeERb~#B%$nb9^sSrlnLp+`BAInLvtRdH2{5nhT8{qgGQk8ze!q&Y9<4Bc`yi?aVVj!R*)AW(sf1GWJu>3k_W%i?8-I zC1I3$r+gN$BTytVhJ4GhZ?4E_?%ViL<@cYWL~wRJU0ryawaJ60s}t~zH=7y!f94!) z?#4d7x!b@#q}@3J*eN+!BR6pU&{jjg+4cbZ&s%9(euq?u?UM=+mqkx{{47uX<@4X? z5K~~z*;}Y5c1F!OkzIg6Fj?sXk&t?Ig|70VXgt2L+eBk3X^F;K7~8zXc@vOzE38=R zzQWGgB@I5)$?fb0g%8)Wk4T8D*Jm)s$Sga9=?e82&CCxN9{iv^h?9w`g~M&;vUDOR z2!r*1vy}pn2s28&DFQ6}XpU&=WWq|gP;Jo2y$}(Lw5&ZOMX5`YA!yd2Q3S*wow?q4 zk~()Mu8ju^0)YRK`mWl)j0F3v-#eP(!GR1oMs%A45QrjEl)xq5Qn8$B6+NeKF^7-L zBNk>b$<3s76i`OoeV_E=RCTh2+;*C71R-LHvxF!;mDW^8w7XNn8d15f0=>1!D(P;h z4+m#{;FjS4L5hXzs%|>PUi5$3q>ztL5`45rk9pASV23z}-}?$chIFFg2E`|T{#o0k zCtv?d;-jFS1s57Pc2ck6Yf2KVeV2OEuHuNTDqCC2!A&Gp*8^MN{(^NizMr{wRUCSD z4UZEA6XI-3Iz`F}$0}OD$Ad_b$CG)|n^NMAMMgVZ@W?L?M{c*PTLdKtu-+bJOSnYKaw!{^7{G#$-e!}x zuu5bynmfbk6x%~TfqHdQ3#*ds2k3m@>Q_2^$*J09D4`%-U}I$k*bL)tetZ3K>gYQ6 zX$p&qCKe(UtQ!b*ut<4jF@N*5NZ(GD!E8_5$ zcI?KY!7K?A%U4^w*IJex?C^@Y;9F$0k8yFXlqMe&o@7dO?{$wnzl+5p{Z5V8k)8@9P7HDh4LUtpm=s(*{4e={ z%Q^ckif!P@?tpt;W|)xaDu*VQ1pnd2$UtRM-5j!LS+o znie~h7tODEE3H`9Uco4o?T6>pSauU`9eqw;_MbX$l zMOa;4S@6S?BJwO@CwxlcSBptaVQsER=NV5;S(Feip&Xr)b& zc=&SiRto5aZhJKU0N%pt{#FeG3rG=LQ!@>pr&vlem4pr%RB@(?4OB7{iv)%P5QBTN zdk#C49~_@RWw+ynF|72cn6s|#7DDGMG_ruFmwH%AI}Us)NtYW!2+m8<8^7MSl|6Qo zWBZ7~eaeF?kQYLum&__OfoX7jqO!Ezb}h zu#Ats#ix7gS}xH6rXDglNE6h@ldVn9P$3crFU27z)MZJZe9v?bU??6eb|+A@5qa*R zfHzcwFac#0Bw>*tZoUkQ%Owb}g3EF5dXMt{MhN6?c>2q?_)g&BV*>AxrzMWb$~%Ks z3}uJd3R{bfgd%|^%?Y=iw0%E<^4=2th-tyKcW(WBE$$!tl(sNNU|)4=p#!$Lmm)s3 zTiC}F+`@qUAj4s}B~%^AlEOBH4@&0F0OqNtg-B-#0&L9C_Y^jtU_?rHl$+cp3bIek zl605F3-&R$9p|S;zna&{3vA-Jc5%h<65A>Ezwv_b)-+Fg|M!N z+aQjhMC=E|%22g=mcyLvyvTu;*Hs$kjw$G}$dxbII-NH%v+=ws+(ly85|@txP|3#r zAt+YFx|I(r{F|?)7~WTtV_X9_KqsW8LLICAnfyZ#`tuD?LAhYak{`x)l>h6WfBjn$ ztYpFkGkppa`qKvp`M`z`1H-ZRZcP*0m+2g8@c>kS*K4*N@}`#Wgmw1FnpVMuqod4b zcv7ykd^gAbe6{xmDw|3ykex%Y`P04Rll6||7Vm5&!|UlQc?zw~ZMNBxp5j8WvTc0A zf$Am^eSbH)2~trB#dMRfTLfivqh4oZur>Ju>)L3z_k8MXb!*y`4)5t6 zl;U`kzdGHUo}8Y*HR+{x4`6erpYEsf|H(v7|Mm?k`5C42~?v9ca>K-tv0~e2{*p`8>Bl z3qx+>{LBG7kQ_N)?}Ef4TM;Ivl1&No+&mca-aE~2PW8%Z<%M-Ks z9cf23D}8=Uq>J7$qSd>0vKj&XB@0D!k1)-fcAm^$ehKRIf8`Z1`RV5RU)Q&@ck}=8 z71+!|qWbE8zFn%ryRYrj)#*^=XdeJOqES;HdGK~0u136tn%KuRujqZ?-*x^~w-|$c zg!@f3?{6-&6Qx{ErI;~PDWK?R5!9!Zdqh02 zH4!BYtr%8+$>QQ#&yn*=ZR8O++0^y=ZoZz~pk+HOG?&GM6L8Z?8>e00AL`K6?;I8^ zZQX~l09}zSM>J5U+xY>)jnjKtT_%30{8uHE>zMw?oQ9dcJrlm9rK}w^zMMbZI}`M6 zacTPN_MN$hyy(qff(2tAd4HJtgY$BJf3;BxnI?FUSrTnGX^TaEmP6-#eT2}r6L8~omT=M7mcS%XIG8*(pL^(3su_E8buPrs;$}e9)S_V2S*X%g8 z)=CDbmd$TxHb^DxGH=RUAQO0+3!OdL-MWNN!akk7dfDSk9WHnIuuiNnrhJEGUU!0{1|tpF4|IaF-S1 zgdNYW<}Bj5Mq8^#lRr|+>`uTkukT9}`GHM^amQ#NFMFpCeKz|5YZ3}G{W znDeW7^&HwR$E{{{F1hsYApi<()8z#*bil(S0}7MQ@wq!*F_$j73J17*k*U~B9vrU@ zY=}_(A}}q@m=QQbsg55r^6K!aLd;Ld8fquJiR4oF;pN_u&ce+KDJ-D1>FJ{TE}d*E z%Pn+gtVuR}1vLP|I zy0MP>mrA>h zb6WuirP|G^@GERX&C&(Y_eK%wWe5`^ynIrxd_)b!^_1pKk7zua_SZrqU64QFv~^oWbbnPTH)T|of#Jk@ zC5qG=km899T65YeFpBx7tV>y%9pbF(@>sCIB*7VA>KQLBYe>_=;RyU zWS?X+v-+pHyZW1fbt8eneEs!LbyZeY7DU&t!H~oLNM%(tiN))56Fj|$K8+*QtOvwb z#9iE0A}l}M@zgA=^l|vYI6^&FO_gTV5?ICxZ8RhhM`a1)RK%T0fA@)YSs2=aSVOc`31B*Z+C{m#9=Jq) zhBq@Xp*#?Bmr#jhD|zts^_eLPA9yna6HS6R3Xxnj{01~FSsh=wwV2Y<3k*?mY*(uk z-=h=Mv?CBay?e}}wp@CNxTB1LcsRB*lI`e^MW3j?ep%_fa}qe0w^%ItGqB62gi$Y$Tj%qS!j3Q~io z!_oNT(WxJ08fdZ4ubzMPwjLd%LM&O<9v)aoYVkGb3F}quq z0gcg{yhEs9sdgg}3E7;4ey#CI-Hpw9?(P}j#v4)?D%gz&l%ub7lre3dG*L%F@G0Y( z?!p?73*4`DSkqM>m;z;=^G==~-$~^emLjM;d-L(>H9~D;<|U#g&rxZtr^}~0e3(r*H7INNhnhGo!gxXHnn8;q zKMZr4Pm6La-DA^E${Co>oOSwHR`y#;^y_{p-0L<&ViSzFMySoJ*2fR?Bng|Aq(Yy- zUuW?Og*tW{lAuHm;C)rR)q46_k+u`s9b+6~1?y@`W$P8RMlZe0;3k#~OY(2Q`=M)< zHL4ry*&{4WR?5M$J=`ToxCxK3Zj`&vfkN|j4-JJs8{Gr44g8&!4f0RAS<=yhp+-L& zgif(aXw3(Wt_tQM)tOF@k}H(1w9hOsWMd1E?5WkBRDr;12UQ@gD`R`H-9t<##pr1X zXuJURj{Or9Z1nr*S9`%hb6%-jr<5x9pbu%SgvH@SnUY67f zDa4_`*6Q3z+jG6%=(n%FDXn~wVA*a-!(SLsn7seXed<=Pfc!PR8;i2#4`C?eyojV} zxN=ilhiSw8bqS$Xh4d~%yD*F}f8sVgTX?y03-4+t*kDi3|M#DSI7xrDYHlQ<|A;L% zYeeIO6}=t6qPNNeGecp^)rcW<2R?O)7yQ(%^=Nu`C>-b%4{k8?1knF#0|`sb6MZ=` z(VwR5s3q_8x&2g{m9o+Wr*9GnW~&lL#QSq=8??`^P3e*r8odD>o2_7vKorCl1MeC% zL4;-K7`kCYl^>9-yFC>1jwQ9zy*8=6!Gs01H%;a!;^Zo=jVm+3lT(K^4&CeWLC{@ z?x+X|lZ=NK@p4?oy;n;z^bM;wO*wmXsYd?`{xu=F1z8BK$(So@M^hjd5rA9XICQf(=70Vg3aV{Hq=4mg3VSqkA$US-o%1am zhzSfpI_Klx1(0N?y53X^vlhAl1n#<#_|-5)r8a9|9&B#h18!jjx-AYVRVKb5VRz*C z$I%-5bIH$9VLhXWCF}A6+O9#_W@YVA4m7$1-{XBoK2QK`{kU+RJSij z#dOCDrJ(U0Qe|{^_a|+gedcMn+jM`i&w1(qB7;=?RE8_6w$#n@dUc7q*)`jsNR}?O zAKT}-A%6A!h81)?D(N8>u&Xb5k$qKR!r5sMz zmypy0A(MhL=n2&`a0Cgm*o=}*cr%k9rR}gaK3-EUL5+bvFb%phEfKZ+s#JO1wjX~H zM5{zEn^jrGe*>&~ARWK>K$-_$9HNZsLW=hgoC>A7Cgd@Nq}mlvZzqV&<|xUVm8DE! z*=BQpb$(%r@vQPjA`To$K!FRq^52Z)y$5q? zHVUEBe_TNUB4JS!rd=$Yv>i3%Ymy#a7EG@Igwg3!LZBRVR?t+Au*GgFu*>?dD;2Vu zYU>($AgGY$%o(AN#Bi*U-t-JUz><2@M zp8SVzQPy*cQZ9pn6^@o{=F*tL+-cU*0TK@D4%%f)=L5B;VMukUy|iY8zpdALzOS1a z3_FGPffCxK@<}=&smW9g`*6-BcB|J`c?Z&gsZo#k)fGA2ZTo}9Yd)=J(W?tO;p1RX z-`$^H-ETHbz0iF=rw9z&X=Z9m4O+2bn|d>VZ(1Mqw*_|&g+)&e-e04YUpWB3{*}VY z@a}|V9-z(;WAxY9G%SB`bm#1h%MP>hZ)!&1e&l|~DZ7>n9KiG7YV9K8Kb_jxxq%S_zBTJp(1qY%9`=3~?9k*MY}|HXsm9-YPq{>if_o3Fr~E z)G95)hup_HTR?bT_#}@DUh!73jjli_hv2yE_P{ZJ0h6_+ymdC+Qq^R8Q=(y7Xch5O zeeTBd2O7c!ZhJF6-(5pX1)UUKPhnq#MTfK4+G?C`*D32(A9%c0*W$wXU2qwgdz1YY$dVUaro(-^ImEc#Au;l(NzAeTpuch!e1e zC=oorX;eRz&{^;nf+}0yUbRJDa5M8(>NeW^Iu4}YgRd>pBEZFXC=ow>w|Wn8 zA5HqigJ@Chr6GhKfqyf2-}F7idx&#`B^!DmwL0^>^JNXw2hS7)-;xK#Vl~B zP=6XQ)P;p41K?u9ih$IfF^l8r3bGb#)J&~@QJll!M>MZYk;{5v*LDbZ*$nyj9#=J3 zJh6_Tf>YZPTe>7nt`DdNmp9&Nii(rv;Vm4itYpn5c5 zzIo>~+NTo<{F>q)9+N${fj-ZzA(!>R#6OH;a5UM-Pt%F0d$R&<9xRlo=p+Y2DHB~( z;&M{LaYRebP!&}UxaFVz=(#X+Tk(2pVE^9YyN>9h3cq;RZSO` zS}lBCD8eE8h1;o^#hQXsf53(Ke$I`18j#~&Ry|m}FQ1J>9-rN3{g~m)HovBN()jXl z3s<=x?nCl{80N4KM&H~Kxw?nduJ8QCc6~-kJse?G%8F#C<1h3MFDvjl0h14?8 zvW0e^wcSr>UWR;TLwu4LEob$x^rXQXxc9MitnCGC6eRY|so63oM|JnX+1+JHxc%D$ z?@j02tjt+GQ9I`^uEFkR-BHd321&zs6~a>gEalXjYXj!m%qjjSSmJ8IXAD?ClPpoikjX1{4>jrZPHfXrt!^=c!DU zUbDfNd$x#s)!h-x%oZ``o+Hy#S9c)2MRN>4bn-vku4z{=|njb}SWi%Vy5$$B!M9PQJ=I%GW<3C2PXREcPs3%FqG5DNKhB38wp z&-6&-x_ZSJ{ooOM#6W2@J(jPD6@r#oN{y+bC@O_h1BbA^fu0)ohPbW-rTm24lYuLl zpw%{@Ia#INUsg9-+Zvfx%zOx;$dsb<4w+=8f%ezQG(mvuJ!#Y`!bTa-IV8_G!u(Mz zhvtQ!XsaWnRdAMkhEz$>#bV ztM&xa)v%g-R9~Aw<3FW86{LT-=I9 z94r-zaGeGTyT)kP<%Byk7(4kD*MM@D5}X?3s3q9h$21wKVXhP%IEphI>JuqE6SK>daj_}}p9EQ>S@hy+^V$tfk_JM5d=m{Nu@k$33R1v9>@sk)mnN$2RZN zgd|I^N2+38S(j71I%Xq`lzU-u&SE>$oV5ZI3V(Wvop)v_t8{fwtU{Qr!a@W(O_r+4 zo`9M^;yFlCsp+D%@^*$}8y$BEMK?sB;#t&!l^wPq>W7SD(^R~a3p@>L8xolRlysuq zyDT1_Nh9Nt8x2y6YSMl7;&sctD`bnjRjZGMN%W1~_EB!qiVY__j=WosE|*tR1BkJR zbOipq65VoZZd#bHR@e&B!>^NLg*GwEtY)_DYBWl<9 z4kU z!{CeaAS91Unot6kIv1nvN?3mcm*8j(f_zCr;#};dX7t$CqvX|EjBO^`O_E)?1sCiG zoH4w#J5KjE9KPuZ9^S0(;MTBZP+c9$q4K6>Q>bRuK`y40?)eW*Dr8pXuWdctzr969TiP4v+@!ij4rLZZ6~keOBk){ym_-znXb zA9L#t0<|*-^V6Nh3rRAYeM>X{H*d($C-VyW@J5;`ChSnx0t-j7`FvDt8@=ljKoeT&`}N`IA$WTiJdvEoPSNP)1dl zLt}CU;Qn+kV}W^c&{NOp!dWT3(Ly<4BAjOE$HpeTWDRvXx|g<=hbHgL$@HFxKI*O} z(M6!y;FKlJ9h~o@rvszf#5fA_;imWho=2_uSN{)C^=jeC?%R z5j&yoFAtVluONShE1O|H(T`C!vMKQet&!eL(-;)FXG@Lr5b5JIZpP#?ib%hF~ zl2%tb>go>cJzOR^55+s8|B@u{xiri$YvRz^CU9(FZ+tsd6NNle!=hfSoelkl20Y`= zyKmPdBt&2PNc{|HJa4WM#NI(xlhP$Se3_8Ug+&Pjnx3IlTJ+TkDq4sf1Tr@$`@4l! z2T~)f98LgxYA-|Zl=HTu@I=EHT~->JMB9a9`Ce^Z4c9AEumwVWxnkssUnn9bcB-;r z?1E*tDbQ?sVSRLy9kR?cv{)-Zgl;W7Naghmt!K+pVo6sAe_nxOJtiY^ERs6~r(PiQ zJs8lozC;35N5rIq4xZJbB&3R1GL%Q<`o2;~R>QgYX?+8eh&CwLDwWffS_w1$y)P+F z$&Y^E7SPxJ^vS`|C%%PuvR0G;Jxd+L9zd_uVh^5m011@EXX|8m!`NyWTyxRNDsNW4 zR;|3}K~W!wnh(TxRM;34p#+d7_=W(OS{nq5QoMI3ppl7YvoLewB8G%2Oi9G1Y6E^O1zWV_7`w1mA!-ZV8f4x5KLbVRS^QrK(k-mc2PR8AG&+ z=9Jgo8$tL(&?8txlX8O7E+q^G??FDBy%+9NMjSMg1Cwrd!uk~=>MN9L7lQ5{=t8K_ zgd-N{GxhP;xqsX)I4ICqdS#UlbUZXehMAcccs*+r$l9PmAC|^kHN31_{HoHN3GA{lBAg~R+x7kJ2Db&G$6(L zK$b#)lKRtjuL<4b6G>yuA3xZT0`Qn~7DI*}>8V#4u%10YniSthf=M{U3wxO5x>duv zHbwXT!^msuB)r5~tJwk%%PsEZv0eG{V3Cjn4v6ppj9j$#WBj8+CXyx{3WU|9Mh}U+ z!u)~kT?vY@4x9=&<#Q)*>B<#di~GAe2m7U>9}`Tr<8n1vm^A#MJA-X!a1+Loc6zg! zX2in*>rV?jlRKIKWxiP?ZBW;PxiL%bj5^L8V+7?s66=-$zO_3 zM$UuQNi9I0=}U^9(^rg|F2T^GD#p}vz{&*D1r!?++0^-_?q!w4q}T1@jYB@~m|;n# zu%%s&)_os;zK4}2OB6$IR?qkShN6PXx~m48UX`Yr*4F%PSmSr^;S?i^ z2eAYSQW1oc;=pcA3?i`9jhlxBO(xtpnA(Uo66~60sB9eHi5?95GNC`2UG?qd{n;S` zDXslWWO^9{`#@*WM5PN3v)=QSVZBX~f%0}mf!kRFm&3HG30B{LyT(py^x0N1PfF%H6D1s_xE{xI2JrSnmyA&%p5gQhe;1aPkP0a%@9l=19r8XKYNrjG$ z6BQefg=&m_EKAWj#|ti{moaUF^=bimI7?zy4@l1fDHiE`@Fh%^?jXg61PCDNCKH>F zo#>Ic*pZUEdOW>50@)Q32e3zt*v!mxi`5S7r95AF&c|P1x#;`3vOdBDp0-(B8Z!h0 z&Pr06R(pb;y&x7-319nc=NWG^)EL2iT=PvQ`C%kTIb4f9bXc4Lt~B40b~{zrQ+vQq zfW-UFvt|Z-SFnU3jofoS4gL+9J^YNTl!a?b!H_TnLVRlw;JUMq-ScB^{_l<^zXCu)ezS>_&v2&S-a$;sxU{gAQZHZY#{m zWhrljyAsY!mP^AlJd}TF=ly(ha|s|&+(@ueoJZ_3K}PJ}&bz)~*Q{^NQ%Y&$i)FwI zlM!kc=wRBO<9&$!#7Ok|eE&=P=NqB0LA#20Xo$xalu*jhIjg z`wh@LkXE_r)tzn!41-}0r|yjuG_&@61+i065u3leme9VTilvBZsyA&k=8q=%#Z>CU zsR7yU@?OP-LyJz`z)Xj2@2a7-KBkXkm9|jVVoS}($z4ohZ@jpnJILnoWay&o1_igG zT{cDk7ELq%FqmD;Fr>3C$XM5n{0enD&^L!mwO!z#4@nf~DKzyaaq%HuqEyGzZtnTe zNqOS$!}3H19Lpt;R&=s+C@P4kIL9}0L^rBJ2>?@)1xqUaPATwFsgAt}KxRKIC}VSyv>Js5FWa~@+r&9~?Q zaE|IxsPwUL6KY8&_tZxy*lpZW45r`;p%3@%^?#zy7F<3AU^HACBu*|bV;4Xp8VvHd zL9(5#s#6^077e(|enuZ!J(wJaJfy{IPtP7>5KKext*TDMu}^syd-^l<6}mqqQNeiR z3JT8zSKX(!kEr zxa*y|tCmVggpA(tS|tiAxnljY;5f+j+2FiWcx>XSyNw`nVMr_DMP;s+A@U+4PS!m1 zIWgNotu9hgXDx)0_2A$yJ z33Q_ue#rI`G1%>~P*FwS8k$d)JbU|jd+-&Qo2tRbt#o%s1)H#pTHhIF?tJV?K#&m?VR9hvr`E8{M+vjpJOEO=8T47fZH~= zFjyEySdZ<8(J}c|jwdDYmO82gy%#DK<$rciV&;&4tZ*$x-lRJuh6~O_?1J;?R7cn0 zuF2n~?m!p?YX=OV`JS(w!zNfnWwfyAl#63@=xy5<*nesYZI^MWyK!F4q^iy-F){Kc zsfD4w`6O^7C(|1SS$Nf;wn=%Ez#7zabkbY)7nHl=t@vKuk>HhQo18#{Y^$zFPlDNI zO}=3l{I{=6rTrVtKiRlMFq#tJ**lLRlZumYA|lG_Be2fUG?^O=9-UBIuv?%eMcPLt zpH2_XQZ3Z4bSRd6$WLQ&C0)JyUto&(DpIdYuIQHdFl847`^#Jt3HBqs;vwurXQkpL zPL?jDykoltl=ln?><*=TYmid7i9~ZAW$NWKahM5A?dG0qj62ljl=E*&Z`qFybvBt- zG(;F`mbO^R%}^Vir#nJDTK*fPV3wED{Q#J;%e$pzor%1{`4cS>^}c|h9(~G zz$jc`?`Z%d+g{kWm#S6;woU*qa-0{Op4 zY3y1b6FP-^NBm(a0bYAjO3*!Q3?FhOzk!wR=5Fb$>dvt{&Pry{e0^nDRa@{k-6bid zfHV@)Egc8xk`9puDFLNhK)R&6Q(6v4gQRqK2uMmJ^{&Ic_y5L+_siyaX0JVKYR&xC ztbI1IF1S@LSBb;lUh>a*6x^TveulSo;f=i9Y~gQwN%$>Hjd)c*PAk{*SDchY^ai13 z4i?|H>6DG^OnKfTr?W4fUbo*+pT0i{ikq|-_`)$J;;-!%A6HcF%jB1Sz1#WWG~-v0Ui1=rxvAKfhC6H*>ZW@?t}2Jp%FIG#uSJ zb_v?Si_pFbz7y6@gy_1aflZ%8&FX%>=lc4G*q^b?>%55gsEttOp6X9(qo++4n~&{L zLq9m4&=fx3%$ZfJX~`fOwdv?6im_i}eas#`^X7M>>(tJ{`kzG$>P4yZG3$cy+@p>x zmHuwpskBNl1W&bn+3vKzwn9UDCGVXv^L0wLO&TXf-0IlaQiIuT2h74=A8}h07h`n2 zMKL$kX$b^BVU~ZKJUKXtf?z%E8nPa%=at*SV+^5IcV%+1HE||2wtyI2fA-WhHR|&7 zqD*FAIcT;>5JWatIipf++{+A}!EnoR)?Qs#>3bGq1Tj_)b1RzhCB-V9y16RaY3LH| zy(_He2d~BsHVO({U*fvTbykZC)yLmic?r=ZjGNfhMnL1*2h3t(G8C;p3=IFonN>h) zmz)&g#1-+(z!f^`gF0XOaVYiuu2ODZ{dUcEq$ih}4Hsw}$P@4v5;i(jZG~?Wi1hlo zikR=M{~7k6P$5RxK60$-IaQQ1A-$gq%eC3}6j!UovLw~$Pd7`u-}h$o44*wAYAu6z z%I@O8%r|c`%B+m}RDc@)@lGQO=^NXp=IW1V(meerIp)(xGgJO5a>GNsbS8iP(C;<{ zAJGxxhJ5NdTiHBc+&>HHv~c&DDNC*-z;ie`D@S_bL6@0jhDGSOeWiYiaNlUcN&Yer z*9_%k%z>RjSI^&<;5>MsQs8MfBTiS@6w^2cl8ZauJV~sa-?9^e61DgbOWfe^SZ$8) zJg$c#85`crw)pj~5R z!d~OxbG|#U>xL(?)E!R^k;}e!c3!_l^$}q;{s~GXitr*m%M3s*d6Dq%LYeNwHXKfqEL@WysPJ$ zznVrWa|Fq;^7l1Nt}_Ww#Q7t%c(pE-HUCUZxplmF<3@)5h4raf1WHZJ*2&`8P?RP9 z&7J+1xHAzt-xyZu7h9>?HKei|C6T+ghe>xxRyee&@2+3ApE=+zTaDk}oD!E}7<7eO zrcN652<6_1&XJ!rU_#gJ-!I_qxZXBgpXhB4p!VWete)I3XLkNBj}Z=i zJpa$sSe9`y@u-#Uft&S^*`=9?Qg~r;iFFKJkL6#V1ylomv2n6;Zx?@_Tv#tP;F{K5 zd5bm{mhUKRo-z=ef%eTS(4+){;m%`Pn*E326LPo6Z?`(z#pHtSXZ%C^=JPm#qpUPq zYVtln7S9K4g{6-*+y5~899l~N7|GOL-^*Cd)M z@2OwKzQ7ckdd^b`Tc#_Yar&^u@?M{@6UDd{x}4gufA=#1-L_iDC{%x9yB8%~91O zmeL!ZHbpx4o6DReF4JweK$J$`(sZ7Tzw^1vY`wpI3ceM(UfFtoZghWff4kXwcbl}6 z)OvFTez6esa^C2^{{A@W{$;t(?R@L);l20W?a$WR+n0BL4qH8MDzB23eXjMmZ$Ht!J{L=gS4DdbQT^=SjnltSn_OT2n)f2Ak_GdMmGwmi`o-@6kU7IGp`gydq zyXw;|c5~u}Q*?IZ%}$2QbovSEWqa5vl}(l`4h8o9Qm}q_Yz^M1Ig0PC&PNp zqxFfl?8R?%Hf~pT4mJH{V^25ChIcIbo;JJe-sFbDjUyBuet$$-A~mj1a=%?B+9#=3 z)}4{G;<7){w>1CWcA1g#lI_XoUu*AzK6sE1&rfv<(PlInb8}r7K5m_widy#K_ih<@ z6?cm)lQOmJz{%wu)zRHhf4BCuGyKrNyuXa(F_TH_s@bo#!l*Fo+Mc^(J?%dlo4qn= ztA*o(#UWb5B2`Lkfw4z*J@RPd{DDhWzmU?}`bp8W$R(tk3!eV&UK_=6TOZW&O}Vl2D0W^03x{St1E@i$-^OHQ+P&V(n+Z;SDKLp|qjpUpA5t$?&C^*)&1w zB|$@iulkm(vhzH|lQ4(Q-_w(jo145>-78k0gw81Ge)`jEhGuL z%FdVZ%D#%)P2Ldu6V307q87~GhT|NkoL758c{-;dV=kg30liI1pV5d zO*^*mUDX^O2J@A`g%cx7nmJ|gh){Xj@W^J*4i?M;CR-XNsqY_49M(DtN+yvPasejD zLANPBmW(gw=U3grY;RPgcZEzGzZt3a32642Q%0H{*2+WtHP!G5r-bLX`m0}%F(@be z>3EdJE8q8hKoLd{Qc;}|(3~-+TnbvUii_VXhvv~1)nI1lR5_Pa4GCgpyUo$jwKFr# z>e)fG2wjzk>UBb>PnCpNp1XXj>F}Qnsv;yjFXf30kKeB`ba#WySfs7Cv|K2?b}xAj z(_54-^*wj&O06>_CqW&*%$1gf`CA_IY*{Csac;aiep9m}#D6kaMYWF(CNWTXk)JMm zfc(Kk3GcUKD1&SFxHG(iWgyC*-fk^f#JHEjY+HjP z>HGBg=9Wa2lVB&h9U4$c&@iOF^YH3ykr}truannc7HXzhx2x#*=4u=R z7Uo&9sHK+NsLU9V*L0)S8cq-6WSoHHr_r??Y;=_)HyNW>x4w1x~yd)7c1WxL=V!3l~)(oM#!EB{@u2JloS*_s}XEVG!)+B zt;W4;$=?@hwl8g-a#-cx5<-xzWFu=B;vFVEGMZ+n^|Y zD(EQiGkh>M%>i=prR+K7h0D%NStk>`QYkG%%2ge)vXy_M=DAMp*H(fdK@5a+E$?zV zuGXoXS!7k!MZJ=ye`F|v$sjPqmtugI&_6TZ$XQQ$V2?*~Alzp=710ppB(rV?`J6zI z-pIctZLXxm4IM3G++x)nHm6iVcbMac=~Z$iQ-cZgYJh3`7>VC5HqA0|Lu!$dWve_V zZInM*>CL7T1KZ(;nB)WkmJ@@l(qB305dBvBi+qUfQ`qk%wMjc*gO%Eo zNY?YdZk}aJS8)xEi^LN98k_()2Dal5CYk!4ClTfZT`f6HqcdAlHIe>eh3N#TgK0DW zjLrCGY+<@l=+~d=1Ten+x)&K0?;k{SOdi3!-atry2O@!4sO931(mSDrAx<{rkFm1` za?PFp$i7<~~@<<3DSyz^p|*46_!|WJ_Vmd|4+|+YWsn2*Y8P z-ANDW_qmS8Unol11RdK)!Uvll1(~}sFqe2JYc}YFxB-`&Z36~h9~dO0FJ0prZ01aY zwIHrfd`eq0yW^!1&qa34G+LHBDpe@N!jP;Z(7uNu_=IQ^6eB!f#zG+mhGYSOcH4j= z#;s>CH!Pt$tQ}{PoL{YMAk|>!R8M*3*({n@A z=Y2s!%f|IE+s6E7TdI%1wlgQ#=Hyb+@1Mf#z=7uQQO-112Or8ePsLnvEeBIV{8Z@# z_1>BLRKQ2h^kV7%;M_8PLme7nzSQNfJ_j5AxYSqB!6n=uOu%KjWe4*1l%*>Sxc$1j&(}0h+lE=~(Vm@WM7su42kkE208KLvdjr4PkIqdnY!g>_JwP7kFD&U6Sb#_s&!+X@Dt-n7t43pTQEV^ z#^+u$Hwk!s4&sV*>tjifw{`2&TgRbBm7Af66b^LAhHpg8bJlXft%zT2Ls{EmzT362 zE`LM($%RJdlfsvb)oI-3xM8?k{a!c(VmU_i@ldjy=~`D-s`UOp)KIgh8B==|uXrd% zTUQ?OoN!#V*(H9=U#D5>?{Ch0SL-3A`Syk2Ehd{PSCk~Y!Q0CbOkg70P$io~h`8&# z?R|Es{_^8q=xvp`e6~(B9b$s9QJnsF4HrgatcolfYq+AW3=PVW)%AYHBM2n`2pEqt7 zDL$$dnq~0|EJ&jz{IyC5-=Je1UNxUAFS2auR(iw~4ZiYuXok|)h;V7~3qNPeG4W!( zp_IB~0`qeCY+_(mEY1(H`_Dmg_j@V!dWGMsRtCS30}JsWP1k~?aw-&ulB;%PfKHwA zBUnvMr0s4S`XdxS*6oo)YW|ufjnFh=&LSe2LikV`A2;a=7=IXMdlqf5r2VJ%yds{v zhB`2~vecJ2&>OpoFtChJDUJ8~3W2D8eJ|en>brXNupv%d&N= zETwB6i9ZSI5T?)uf{DUnRqT_JO>bRZqkx4aXI3`<5;jx={i^{!iL#9(6O;Wgc?y;T zW8_8lr?uFBiFP9yX4D^;5QRquH>G}t?j5}4!xNc)`bj|Ck`oOuh$^+DpOxlfcML3O zyV3WV<)O{aO}ZF(PJ&wJh&;5%AzGA7mj=5=2^EHQHnjFNC)9a&ucIgP* z5J!;8N-hlsv1(KnH-yh+*`F>DW0nkLvctr z<0val?TWzrwk_Og%xb?aG4G@cv(NhlUZ8o!krg85*z8v?OJmG|q4U?|_caz2K2d`m z34;5kBlfZdwZ?-c;_6&chfbAV;e;E3Mo+^Fe&!>;f%{O=`g^l0tB)#R&E2Q?nCVe9 z_u7#d-P9yQT0Ug3=G%NL<4rdguP)|7nxQwYt8~IBo z?-4UN;Bs=;@*Qd@8d#gbYGWc@@O@F!3~%JldD`tpW1mzjtgTtuG3K+*QAh&2y8EA% zG@yNAy!i{I4-GG@%Z``g3VEa$EJN6Pt&p$@+{w)jA6npxW#E$r{Rm2?X$k3V$YRS-G0krczk|6~v6Ih$zRk+`e3M(J^N<=Cb zub1nAgnh?298%#^2r-NM1e*NPnFKT;8;&2HK5sZ;*u%)MaN8}A3w7b%EXw7;wGe7# zMG)$+PtrO4i+^Cr{3kMUN`BFL*OmffyN(zie!_B8+26qbi6YT&)oY5$OC#|pL+{{5 zhkTW58qHP}gC+>IzCRM>_TL(jUJ}J%Bf?&2;ip6}4dDfThb4xL3Uz!l!nDfg$T*iy zwlK`B9BF=;?RP%Q*!-&C4%~FrXL>3sR(*?8Qz$)K+LUMj#6};HI|WXs7H#y?zI}wA zDVd_c1moa(A(~|YF}`>MrVrI#Dr{}l_6&{6#F>zH|6y}Pw(oLP)Sp>;pB;ZGqmILm zadK4QJD>Ab&WxnH1xX;qpTBkvc&+&#YMmCnv^c@S?#=qitne2)_BsH zQ6&CcX-ipKw@|$`N=1PqFsCDOAK}I$SLjhl#~cY^`~9sq#K`YClYOK}3f2X%erPF} zA*o9mik+|F>9H2E(L$Lehj|i_K`^`cOC!{TdlN60BdQRsObz)>;3C_NUlp%(+j69h zRYFScXZlXgu=Pd4QBK;5B3 zIIBqytaJ%gVYbb!-032bUqkS-H1Qtgy7~KBe+>n3yUF}lbWWd27zlLM>e5%PA7-VY zl+$AsPLa$hSfxPXY)ex7Svtp2dr77}<_0EHtzutV-N4s`-d@iSuwQ%;3t}1z&rCcZ zvmQlS$(F8?woRIl^bx86qD8W$U_pUsoy?^g)dK@;FoBoVl%--srN!{;u+ZCN!&xPn z9X}ONND=;wCiPqS&|q1Yw2cF$M$|vF2JuGDhR*Y_YSEd(`FPG|=%u{B+CyKT;-7hFztwtg!K6 zxsV!s*BZ_sb6+5jQII?YA*Gm34vhw1Y1A?1(AKd=L{2P7<=7|jMOhBIqa*^0DYSXd zu!Bgk9g#UOmZgH4n3CZ`R0&o13|puNx-K^|(e_`N9(4M#E@b)5zj>fku@R>>=BF=G zyyPam1GQzt2=1X=)IzY4R7}F!e9C{+EUJ8>U%@K(r#6K$vR%&KKfxMPrjFNl#16Ma zNE<1sQ#PCK>RvV-8jx)B$H+Fm-Tx^X<-=poY~JtfCs)f^wN2!Gh~DUJxn`)kfRfG} z=u~^&dKL5`4{N&~W8~BRP043hzIHOI(j%;}DaY~~EWwXgq-*{8s>=1`jFRid2|aa5 zN;-+cM@zJ8!>V&k1lM!={P-gS9^rM#Tia{ZeoA+g0$P3E2t9E`CkIuRq zdo*Zbe2EO-MoE+=*+0-umeF7lk?W!Blx07(S;ffbt!Q~&X%K{e6aNC$WV?EbqP%8< z{5~zrzBHcdt3ezn%){{b!0`R%F1#5uRN?yBr-E!bP}UTWB(oYMt`z4ls$W8~edn2x zU(M_@b3Cinn=PyQEJ{vT>9MPlFQ_Wp?B#1;O2`2#qDs4x#W!h!nMKb&P$869ZerwH zT)t;F1hdoIhrXSF^SWvzn?!2Rd@Tc5J%3hv?Z_HxKFkUJ;}tA``&;{~0FxUp#)R@! z(l1g0v!Zt|$zAj|g=}q;E)4j~ar5&U#kk1=O$kXBw3v*oJ*66LQW~`rzeVJ{Rz-n( zf-OP%?)g)O4==BRa=Tm&f8{JLC-@us@X)Ti6CqILCG4ioaTSp))Rn%=u~3nB^t0rC ztexAqQV)Sw?}VJIn@x5}XS=;Spo<<$3yAL!j@Nh4%lAiz8X)I&71n)?Pb>+}n|PeW zQT2K0EmW^0Q4Zp)q=s?gZY<6nloz;IkxKhC9pKluZjF9C>Z3f2bS`@N!J+%d^{-%0 zYw%ex4F%^D_6kiV(9qW_9FGC;nxFq$ULi;Rs28g?SF_~H%t2xaJabdCjtDu08pWZk zQVs4t?=@sBX+7FJKoVr7ItV5HJkPc9n^_IKK{|@DQ9+#&G79{ra(_vXr`wq0qLW{88Ercl}gAQeScjs)Y?-GRKq*ep&CljbWR0)h7T@4>E_jrsZ3IO^7W zMqKkIZrY;l#NM|C<6S{Mf4#UAL5%>n&52L^gP_?n$w0myy zJ9UafcFoh2y_EB+x;+V|Kbhv8K4I&(b)5I1`}WQyT|Oz!cj{k4!Z7Vqk20&~6)%-t zbcHHF4ZBjVS$*04$9|>`C2a4w#544s8&!Ab?>hI^OOU;wW0lc-tbYFXd{=q%AbV5t zcxYpQ|5da7cl~J*+(@ls=s2ix^T)%l7CxZytC{GF|84yKo)@W*f5|AEk!@DmG3Lk& zV|)vvy*Og`akbCs@yQc={nZJO9w*8rxknolxw$MjhJxDxJaHsKA(-bmtGFptx*id; z3d?)nIXcUKCPq*Phw=DTs%P|m;}5sDP3bgrLr96S-}}-&(d#_+pD#dGF(VnG4IFPo z`pEVuEpn>Qu$7uW8%7tioU4TkLsMppA0y*q;2#QJ0RT^b^*-V)w3(RzzCTD!O<#(s zZ+!wUZH|HQuS(!bm#e%7t?)PfV!Sj_3#u1Z6=}WBrhgb!ro&00n zMI?edf_b|A7~Hp#Ot+C92pMKu@Ni10o){HgSBR#LmHl-7<5-LZ?SwCE^Z^gJu)UPV zB#bQo78ftsUc5AODt*i&QtRGJ zxvDBYL~n{fXR+64&npfUMOGhw`vyhMhb>aMlV3OY7vo<^K%qwd-#l>!THoAtfmMtI z7{rEx;fQ*#(dpR-fJeGvi_~T#4UUH#L4)E@Vzi&7+GftEq#2`e?949yKe{Bfi4_6X ze#&_gb0xxe4K(D0xVr{dUZf)ar4X9yezWP?*4j#antyrQBzV28h9+&|!C_i6 z8)003Jhj-+O1;%S;Vj+RQ7v!$nBbX|a9=4WRSGX#r1d(+?nJ6$ORPCUxD`i*c{+xD zs@BUG1MWDb-6?fCq=~d=SslWj`=||y1DU`vs5!H@ufr9-;3JlJJ$>#&oAREm(XPX{ z!=BGX?2pyH7t@bl+SiG*m)ewB{C2NCfJ*LCb3H+UV~f0gDu5U%&u}CEAr_ga(M}gm z+V#V7{&0Coth$|2u6?3{ z<&-mHYDAwP0rIBaYRCRo%G|D-|!>rkF)U?9_?n_;%wE%J1EKS zZaB^fl1JH8)((v+hI>XuD%nUD@8PpQ+)(-0vY4L&QUuAU4Q$CD5B!c@PwNoIK|a-WP@38Qehf(h zMT{tSKya;={FujP)F#~X&83p3(y+()zIJTOSzTDHoEKb zNkbTm=w!u%K70X)Oo5Kj6^e-w29x)ux+$%QK_?u(#A-{e5CF>YZ`b;idn$FfbV&tr z6^$sHVDBP=oR=87AN%o>Q}w#8nm!dTwmB4(*!lcKD{82%$|~6XCoHa>!&{vY!pm>| zoUCK=ckT4kMHqGYR!3ndTm7%%gVA`@yH2a(n0UM;G55 zCA8M7y_pd5{e>;RO0WD9CmjVWmm#3`hp4G7WXaI|qyqATh|;C64`1_dg<)d>RO=TM zAaN=Jk-r)c!jLpwx1CtQs)vwoitAO%qJ(Q|BdGcEO8YFQK>ktsZVi1no_#g=y68nFd$D+opIJ9<3sbZ1VW;+d#lE_}8!iN~1atqV7|ZG#^t251 zHfx4z3%-m*2ar3V3TgpXG3zGzD?*?mJCl9rMr|4`Loo_`?0CdLF6gu^6BjlT#g0!q z<)ld6!B4ux9gYIoUa*}ZIJ?}^Z#^&QuKMzjkXxl(M+X(27vy)D3hFW_2z8oDG^8f7 z!-wzCKL=}n{s$UFZM9;fbb?@#_86D3Ak{O%o*J6>WM=SjR32!##k2*ErScxYM;QxV|2Gzw!+blxCRcHO7eFlCkK1s`t>#N%Y#?KnW*oAi2ZagpGz+Iki z-!A}r>ZC4EJsepC15sMQ(hC^)v;YZn9EV&g!5Qqq5&Z+(XE;sIQm zF%_bwvQW86%d>;{h&Ev$ZjMkK%5qv6{Y8|7ig|}nKwR;72?wB8VoFz!xOb!3i;*^= z>$Mvcg&eqrXpM`tA4B(Yl8rC2KF~dL{g*g4xURo*5%f;?8fkHfS5?0XES|}p{}?Y5eE@x; z0N_RmTkt1G5@|u{v?%&_wdUmF~XmBwL1F8UI zMRk7#oC3BGeC1v=&;rBC8E<`suvGP|MDr&cN*VKlX%BLdKN2(eNoQ&9@ge*t4nFV#X^4HDX7uo{9K ztAH5uU?&v8o)2Emq=E0s|H&K>QN(IRY{x+0kJ|Au9B{4wk_15QFjMdDris=){tM|&9qy3=E=&nKSpi|0!ZHBp#Z`^;z8@) zvkaIw05bwDclb8&-K}4&6!YI@h`Yfne+3Z-0_F%NLZMu%OpDDXp^L{oUU&X@%JStD zzWZ;>eV;Vk6GmbeD5iVZe%d!rU2+9!=jk?$w_iVB)Q;}6tuWO)|Av8~gs1+~anHL4 zzJe6*uJoH>e!pA8%z3C!)#QnCtRe5A+Q*>9rTkNjeI?#$F;N5W=BMQ~0-S8xG7Zpp z!>{SiB>STAVcQk(#r+bb?6H7zzP9c3L`$`tp~6TB0AKyDT>x=}x!&fN;cVjnMGVrj zwHTF#W*R5h?eO4f>oBfMb2csJJB07w)PDw6mad+r&?WlyhX9LKFH3V~-)pM2wVJgh zF-sGmmWs!gME?wqJ%?+lcBA9an10$LP;1RIQo_Gvl_gd>1AKKS8Xs#&ZaImeQUWEk z|GK#I9$mLiX4f|CaSKX=2Omf8{gc+Jd8k9nQ;%J4H(tVyIn_ZjxGqwvZjr8 z<@0l#0f4-=*{lq!T6`WmO(kj&oFlV4dN%>!qs6!ZM#GH#dEpcW|L+sabYVQ@3c|yl zoOu|Ttr%6GS=;}6VwJk=?sLMLAIP>7fDYvL^o>#i{e5(yx?eNJ9JogPZToCNdNcb5 zRq8IV4O9@;CF88Mo-%WS631)m0o2Qm%7KMQ$XNi2zw66(NLctO<7suwjJ%D@Ao zf*vTzJZxfx2M^KW2I|yE36Hx<5L0ZWqn^b&6GANWNC`O2RF}%qw7gKy1MU25%~C%t z&?7*R-ys5}vGT@wOxItFvOEsmJWF%iHEE2cKHTsb%K(!kvhLY81W!o9s+n#mr|-Oh zXj{nQ(k7xOOhfSNULILPfbUpVT$4Ij_s-dVu)uI|-gH|A*#c3G1WE(&d%0OsIqL%) zl|1^$S-z2kV5|n>jOC`O*)2%V<|wP;rINFyCahPP)u`6^9-J3A&Us}Xdg6A#N>8~X zyeJPyYRY5_2WpLVu?ABBTLSAwq&}^z9a{*5|zQbJoc}=UAI>+;AO`@uCvABy3>$>{Ly<5{xzmib7ygiQjRg7nZ zO_pY_ytk4c>Pg)k;SSWxVP6vyS;AuD0k$)bJsDaaP$;JuePE4muWFPgY_o-158O|P3eSW@=$y-f0C z`@UBJ%~sA=XexOtZaGie6MzaH(5KUY;eWm<%SkpXG_uxXO!5xJUYIzu5Naz%`AG$E zPeX5B==?jDmyOjWK~6hKGg*oTN%ug$nwF%lUa90+bDAc+mi*f&>`C4QOSZk$~^s94iJN zU}LgJ|4;`k#1VCffo6ZP(|%I^w8_iittMvv#f4jbEkq<)>zE&zelno6F@t4xvD68~ z{(uHfxo+wQ;fkzA&|Y)7HZIa6*Jg}yRfukrCz9y1$pkYEyQ*kBXkxstjB1)HCF@#D0fu&QTnhV!I9z%AHAv|e^*EWaX(lUZABHWsH7W{7;>ek z>kYbV{#0%WnwL*BBn-<1jzL9s1ZHLqRdD^Fi30VaN{rUFiEPF=;U`qlC~$^_hc+xc z9x%YaOT%!d@keP8f@?*Yb+$g(zR1HM=D%x!1cT&5oyrL8u;)V^ied>Kq*Y_`f-0a{ zQ0aKdVx6Xv7^5uu%Gr0nLSL5}Rq^*#tb` zQlOc1r^6JjGM(S!Tc`!6fPLqTu@{x9_b8!F-3BKEcD`Ve&b*AR`*ruB97>yizR0-lzB5P;Cgn zlA(4Wn=%KUVvkqdV9-Z1!`KEDwtW`V@nQ$qbhYAaa=-`SWNuHosJ`GsHtBxgyFYGEx^?5NyY$CCF9S>j$7%=~E&Lhyxm*kS7lt zjP9?l-?iTDUo1y%8Irp_YijfUxbXJccdyz@><2Ts!p`(e98P{5l17}(!W^wQ)FTz0 zL*2yqr0$n|NUVWe)=QCt>S!?`?MSam;|2*$f7x;YVGw+>G>sxpG`gmK30ZPVLUln3 zh+u8c)yfjy!4ZSKax?VS`!y!=eo7O#fo-pD;=h?P4?Bfq(JW^{bf1vi?Qc6^cx{#c zu_Jfm-W2}H*+>&-^?VoW{y~NdqgPm)S{!EYoI28EeJKTE`7GqJFt_erHkBjlfDimtGlvS6Ojq(?+@pybst3!^myheyC(a1H9jK?Yq*O%qxusu=qgm!IY zwnaAo#~uGPcU(iVFN&9}M@m5{4sGIUJ@g}RhU!nsZZ@lE{WH(6;3#2#opt3^lF#$d zsdYk`#;$P~oc2_7W;1|{j$cPzF2Ce}MH{x57Yr1| z=nVDZ$gkr#%Ft*8jfW-~dwsL>xkkTc3`xYNujGTARVK{ERKc4?>1sjr*t9{}s83&6 zv8Ltb@CJm1t>a-O)yN@!hzWk;$w7zx(?m7ZPrBO?O@=#-Opb}{d?lcmP{fV_7ovq6 z7_(+tW5IvE>O#T3kc#```_R^XBa(QX_`?$GQ7+u$M>XNweutNy0jhQ#q=lg_Iydh$7Wzdfc!S4-C%j9 z4ON{fdkzbMIkI!)q*ci&pyFc$Jp@=rGK&`x)-jrdd`RIQq0Lj=%G^XDRFn^P#+jHJ zTu=7Dr=OTCyuHk`?88DFy znDag7_Tu0u6QNeMg3fWIFw-#&eNahV74HT=;H1f)@U6yA01l6 z@&#WscL54-%2>}Sx=$<#rKya()npI$LWNdz5{5e6@)yxR%GEo#?u9#&VWqs*RFj%B zZQse`FIDu0LqHh}SB2y^hg~Q9Wwu=jV6u7qpvd+sKg$ zB`~(a=LnwV6Cf`lE!V-zT3gdGy&j$O_j{txK{q^+=v>et{K~{-_x^0d6LAyeSTq9L zmV=IRSYADqTCw|&(zm%N1^y#;D=NXyA~VJi&a|2W-p&-D_U9iQe0ZciD7;_BVjmZ& z{&f&B(TL^Ro-(Z89BzwkM1Qu0b#4sQaaSsx!zu^V-Guq2I#|c%x_RB$QbAuqs?F;V@U!MZD&faz|AgU;sA^&h^epD6$~ztPq$$}* zKv<*~53rjMQ)sRNqif64xypDut3Yh0kK(i2gZ!(IKSmceiPBiyp8f(lx6Nx6O2QXC z?O3g6kdhu$Srr(y=8`G}s{DYYkbeq(1JkuLA`J?kHdgQ>1%mzy4tywK|> z&z60$sBI7>wB|p?hW21%6}YjysE(YPok{T#lJc2jQdL9 zn6%aoM9zSmxZG6TG#|cIwkitgmVs53C4LMY=xwGrTEVv>4 z7oW)n6K(RW_l;72*l=(u0tl%NSV$R}zO|#%ngXp=lNxfIveJ5==j>w(Vj7qDtTv@1 z)!%c@j*?LFEERQ^yRmICl3WN!)B^~4ZA@HJ1DEPl5z7yox|-*h2TQ>T7pJNcZK7}# z+=oeTS>pqoGa;)FB&WuivUKKCiCi@gYd5vFDV$vHq3~F-zB*<0H@8Dc0o(YHQk9xK zzdVjpkX4GSvd!(px~)$>EyZV!wdFg6rq;o?LDXj)YJS*_&9Uvdjm=dkY?PHt4GZd8 zFxgr|@fvxo>`3_Vh`x6X&oS?n!Omxq zSNc{-qOAi(6kVZIhe`+Ayk#~fvmt~+rc@tKgqdt%!= z?V!D|sX69j?XdZ+y9msBa`K2EW!zsvwHaR>z>JM1AJqI<3Wq9|do(3bp6_f?CPmBARbOQd1=?FKH^#{CHARO&?Z_J0wrTzI`Z zveh6l>Rif2+q6so7ArpqFHsjsY((43bw|J+D=;TsI) zsjUO${)SC;@=!PxnOB%v6Cm@tZXFDST*j)=sO}4df*p9MKPSsu2nZQkW@}>x$lEt= zKjk${o}eOX%GChot*{HoidNzua|%wu;DPsYb~(lY6*%Y&kWjk1t>>US*Gs%;&cvPL zZ2>MQ_O^(}F1LT=zPc1Ixu2TNI^>4rSoD#Uk&A zJQ=8AxV&G0D>B}cfjW_rjRO2}CUnw(+gc1vtY+OzUtJ*cF zw4i>kLD0(TQ&VFvgu9GnV?bgmgRr}-WsxR%OAci)Xa2hV;8nv3kAf7Z-yy+R`hOH zy9{;0FWI<7TLkX-xDS%zLwRC;mBoY(whaHTo^Yj$a6r$OL;qV(p#48oek940Dn%}9 zs>)Rurcg6kQvtA*`LlgZyc}Ts6fQ}lF|c*c`38g@#E*uRP7OHulEoU7S^3TwiSFl> ziz}6D{I9rB-l+sgA89Wb4`wg0T$X}NxA2likVsoaBx=05;UE!L+vt&5(Qb7TVwo!< zDCCPXY`QeC63Px=c1|Tp+{q{QXDHBWfUNGklSYo3t1@TfGB5+4w*Eruy+8=2q5{Dbp5l&$=T_@W7eQR+W4{7{)@ zfZ$ZkVYdNr_ah7-A+VuA5rswPfBt#KGzi=KfbCsg2SYZ*LL{t=`1K>-e&W~2H^m&P zPDH$DC6wsu;l!^UftHplz4ZWF`CGsH<%p3RjN#8rah*(SMB4Sh^qD-wkV#1*q4{a{ zJdF|Q!}=z=>^6jdU1xE7xojV0DEKzE5(|RZ@XSC$WnaJ_wzLtBp_cE79~IOJVv@~- zs{KpvG)AM!pVWatBeF|lh|MYmh*cy2jkq*QYa0EEIJl462{kTlUXrRGmoZ2XCIM4C z>TpC(6t`%)EBi^U2KAHcc5Hk+s%lRqi1Dx=JL{#j!>+%Nw3^heE&lNESAVR4}pW?x8r}-53CEcfq$SQ_WRm2#Y z2IB;TS9u*r zb>0N&N%bS*d2ZDRY%^{|#KTt#oiVie!(S+^p4VIDkdgl=fdfNXu|W{$tfJM=1s0x} zA~rC~)sHs?|9qsu9+1_4FFQM~!NobEQA39`SsIijSjG@gDz2jXRZ)EiPrPoQtV4lp zNkXLsk0`%oX;1DAj6NeK>2Afk0H|30%=b^PA8p0nK6>D*o;&^XB0jg;>FQHpafF|a zkC81^ssI0QZdsx#Dw-)MHvdsH$31C_E`Ii#s_6Szlc#YAT5*JP-yKCEsjFtNKBxW~ zZMs!U?jW@qJ7P@#{r_U>Ed!$Jy7yre=|&hpLQ<6O25Cf)P+~}F1f*jK5s>bZk_M6P zj-gw+8|m(wkdSwe_jCXL@0aH=26XM?^ zw7Y-A!k$KRRm1i0YpCCr3Q9BKB}fEy@x6f-&4u$O znI9;GOBlZ99qQkW2-VId)9Lk@dt~XXyU8&&-)#+NHxXB1Ul*}Xi6s^#fdvGnuz)vY zV?A<)dhq`2P+xmn{-#;*6)K*5!|LPY?nPnxywa+npBuHyk=mb|KE0ZXBTd|bdyFN; z6N7KSIEz}6u?M1|a&puUdz{9_Bkz=@E$+D+%5_nFi6=zXpNaPAqn?c|ov=f_fV%Y# z0*SD?sABk?b-P?`p+mi`LgQMH!&iE5%`H(;h&|A?LvS9k%Aigq1(3?(Pn8aB-gmGZ z(0q8oStc>#)?3fmXfd_7=TAxO@oMQS>2XR7_Q!dbDm&%V@qr|5to#|N(;uC{*$k5( zlri7Y`Q`p>FDk+{e13t?F=50n*58t)d^|YpbtGI75>%ZVv@2)U(o{QI%cp5Nof}*N&Bdw8w#ht>v0SPc zXPI*`)a^lKLO1qz4&3&OdmO6Q%N8kTd)5SF}x0#ZhB6r4csa z_7?QBUIOOX(Cx^Ufg?A4`40$-Rsd*}rRp3iiTg6`k=ejWjD)84N5VKJ#^8 zP)Rl}=ottfRV#Dk|JE0W#0eR@bd=9X#e8?+8+m~Alx3QI>5$TIQd2uY$D%jS-3~I5 zzQ)t>OTEcuzdcV<3i9{*3N*;`HLS#G|7S#AzdnHPtjdO}{$7sb$8?Wo zZbBD<^Ec*^Gq2%vA77gsnWzQt8YFh!mIKkc}o`!CX2zPqO*+wG}^ z0PU6}p`eh33;33087Z&W2m2ItB;ad!U>Q0?hf_G+OwlvkE%nLBdy&fg%I1X83xkr} z^k?Pk#u9yuln0qR+|y6{K-MK6)J7_z6jT#JN^Ig{0q@)7;u>kHU_hEm+s;4FU#0Ml zin`bA|y$;!0#;C{D>3+;fQPi!weHP|k6~8ighLb%KBq!gU_5ZC`>~R0Gxp8+ss-!p`hzCNhpnz;2tQFk$-OC7iCXAI>JBBra zzcXYX^vP(-6ibhg%9=00Fr4av1`ya7IpN8iB=o@1Po0WQj_9wbeE7urV5l!Z8*fFh zor$?H)yMhxotUeuZWo70KN{X>E4-$WQKw*KK-XWnJ?_F?&2W%es(tc|jRqTaDM{n6 zJ@oMuHgY%PXjXPD&iVtL%fzp+`XD*4E{usn_nft#dd?%=dx9bj%ifBluJZ_ai}X zfJp;?wh@Pl@-l~G^DtXucvmxOS$ZNRB9~QE%#pcf-A#ZuH(kD1))rwqYk9kRq_`K% z=TKzABm5gmh=>B7(o`H1B&5H9W9zDD@mJ;PJ*OE@E`T9Vn*E07Vyz~(%^Y!F?r6K4 zt91N+7v>dNNcxN(j|>T^W#dTEil2f;Yi@Ah^^;K14TW%FvJXn+q^{=LjVp|L3eV_Y zO}jgc&84T}Ebuh>56^)Ii0DSj<*j^+3pf|!1>&YxGbR*_?rlAxiklqD2(Z$4vRawe z{!p0B(a_G?!nM8T8MB4&@Lc)KyUHHBTg>^sG#J=G!Y* zOt{M>A+)Z@HYf)!DECq9NI-&m#N<2~QheDL1=bfwjME_P0n;iV6^Zt}#WCL;{+2q{8FA9ztT-+keAOk`%khuKHN(h9W&Ka8KA5%eu{6 z6%Im4r``O3_0yE0D48yfSZIhSZz=YPmU5f9A=`)eU5oggrn!V;OCyZ6nF%X7^F%6$TkV=!UITJLZE zlZ3mYx794b8420~d!z^Q*C!T4{>o1>{7B7&jarjk^*;fBt`LBb;10tvVQm6V1U9SV zb|e=2>qP(M7>zH$`rO#qx2YES#}v)gyqM4{h7kZee{{jQ5lE2P+2_=Tk zoaz9g=J+pw`sKgij|hCGuv=E=e;2KVz(5@9tFFMXZk(Yv_2yJ1U%!NiG9ZMulL3Wm ziFH>~ThnnkJN_x-`;;FSa@g2@`-|YaK4L}Y);fh8#2)rkbMHB+cWwf~(!y3NFv4!L zp$RKPri*JC?f^T~T~GT{O#$vFuI55aw@U3Z14%+JlSANFjZrJu6E~~trFLdK$3sqO zOf9}-8kg=WTO^F%WJ(!*)3L2zS$t+JwQ@^eDNC!izEevIfeXa4%t8Dvx^{F%YnX+u zl`x?lNjo}kwX{SIGC=KC`<+Tu7Qj7Dxl>f+f*Jx3kglX-=S!hM{$|mW zN`~{P)Hd&U`o{0e$tmakQ^}jIr=P?0l~G>~$CXdl=Dj}>JZHvBunz6gSA2e>aNaE7 zx%U*HiZ>L~?s5{YB*S(~j6`9Yy1(yd{z;LC3`IRy5$s4BZ51BRjB8SUp6Em*?G8tk zoECv@UK@nJkY(O`TN4+A zdP11H&vR}4xdD+9C;=)=?gKe3O67<*6f5iku(xIM5cYyMpP5`z`jtDpjao0ye2SA~ za=&wK^6N)?-@Ikjfv#M3g}bYC62;u+SE}!y;R2q_b1w37IuoV*tBp>sJVGH|`nRS% z+t2f|Q<{l~Sav=HUZ3BDJFz?e&>wvJuN|LP-d1Zo~t=Ik;UO!5xuoUW7A2OJky#M2^ z>bXH$zd=h#rUARsMF_rZ5+zrWoqjq+scdQb=BpN*bLRV}^YNASS=N1jR}+2>p0Nz* z6=L6TX0oJ6ByBz_+J3IUlp7Q0h7hHCcY21&rUR*yiDu#U(tlhJ&(?i6;0O<`g zDq*{dFYHJ4H_S8GN0||q*oDR+Ji%VI<`_v{r8#EuW7G)7dZL=PIe1Ca3H&I$5#aLHL%A82(va?(yr%?Q=&; zUT{H7>8ir?DmI8PmA?@-Q2-)LWCNzAfkjgA+}siDJ5U9IRDr1=9>Q35%ow#5G<2aX z%|8ZU0U#^2wFcOQHl3%%)}GqAnU_I7c|-p-u9vG3C_}6wjJ9wbH{cGm=@p&e+_z;u zB9Mo`=T@v?ek=!OW~^adtK9VtpoR%PU_Km(31A$v^!)9bRW1DjKa4m%t*h|v%nX@7 zTFG+q+Lg!L9F8Lls%=CTjUp=G%^v+2)s_O>@3GQ9uu?{<_zEWP9g&Y}pU9{-@sFy; zr|myG1GwOm++0-c68cmK__lkg9L^SYp`Dq0$72g%g=L)~knDZQkRk9i?9Ug4cH{K< z>ftr1g=L23aDwpj)sH1$Q?#c@5?eQZZ)bIx@)#QG@5r$;EWh%jhY|5b;iDo8Pu0$7 z9SI6E<4q5F_jWUqcad>L;RihSFxR$Pc^m<-&8Wr+jtte_Y-_Q<&Oe3xl6lf{Yj%q@ z)UhY(5*9jKQKF^-<+k%v+OA41?&R0%e_o<%e(F^Q*(vFj6wXpoJm&C@=8=HzG8z8t z6;GOg6hd{Th0OP08#V#J6E%DFB;_A>E<3B0M+(J}=Ruic`nI5#!6MfB%op?&I3nbU$9hIU`-lp`WT0n;w9Fr}hixufwces&aB2YH{ybX;}6h=+kK)NdVL3i{g+*-cwX~O~A`w93laQ14*8}N|AUm zN&lj#O=vvkExl?!x9n>$tR)AAO&?9Q@J|_}TCjc~Py;za&6EYQ{Efg|#Ud$+c*q;j z7=}(qq^WtNveSEeq!A)!1kJDn7|h8Px7D2-N#hUR&^D4dst^+5TAB_T-OUxYhefO0 z)FQ^l$hC}I1*65*8~>>t^9o>1ek{o~D|BBU>-l(0I)&G2S0-wz>33({Mm}{3C+O;lG#dAL zfbL59w=6MczZS;qXW3Hm7dA0q&&|n34;`!F-P2-$NIO{QOsKwzX$Ne+cw?VJ@|+LB z-}Wc42SPvC4|I)~!n(ekGgG3dC%#YzJF_NE2fu*7J*#Ruxtarl z^`}_CmucW@ft}gTip^N&6n{=M1Mv163l_+_rah{R_T#Dy)SG{@{L9>j2{hd54$YpA ze#`JbNA>=iAb=naY3bPar|O%>}Mrp+Uwv?Gj@}pENw^xfao_ zW+ld&B5@|-`~`eFU6YRMw|i+Q>i9#$kO|_-VvnjO5T(we*8v`oN>r$fR9X-bbB~9t zgp`|?9ps~h^f~6RN<@Tes#2&zXs@6>Di`Ryj0G;uvl8A}q-RH4`KZ#hP7Q_(djnK=64 zPG93D_j6G)g^J9FCWKyhJv65q@{T~ImQB%;SN~H*trmC=8e?+#(Bt==WFw;n1wq^Z z*U1a1(fM%>V6QkLb8T-63M1Fn;=nK%t$E><9xl~niUg8I+4<|CGnm>?S7I|Hft zc|}aB%sJ|a1b|8YAT02*eoTNi7L>&fcMOmN24O7aeGgA_)?0~*uR`xi{qvznxSeEb z_I*R`z_Q`hz!cO)ASJz~L1*UVz=%%=nXoJkJwXDhTJDPTeh#7z#n*uP+RhJIUT`Ba zq>!Jg35uc2dH2s%LPTe))g7d=p z{yt!FPc=(0b|3UkJP6HUGNov~hDQ;HZxlMC)p9Pog9IR<(~ym&jQ*cngfE?pJZ!bC zEaYh2b%xaQKi@o^lol&Luwdm(e^)1FUl&0>Vfp)` z5ro1v?Gs-#_AT5Z==b#2`bT>WnLl`%bj&aLINpD}t`gS{JU6NB@UF^(HYro>z3i&9A=j7K|@|X(Xk9OU^!rt4KIhTuZ8gEbw5PA840%5v|ufc4$WCg z%;ANEs=Ylyoz#6hE%xv7;R`J1-7LlBP?O*gV7pt-?rn>!PYZ724;?%=#Y;eaE(dBq zL#Tc5S*ZN{2g9Z#?Q{=*{pr0b9?vD{iUj2#tf64#yM9e=&wP658f1#>A;`*`MprL} z+81|^7fxRPaZJ5eyk>u=b1FIh$#9bH(~kB2`!;e6W4@?B7la@R;mW%Z>x$c9G()}U z7zRC*`0nVrA5g)vd zRN5z$C3LM8>q>uD4V>Yz8+q>cB!!#u z$J7yCMWuWfS#y<`gi+W%Xymh{F+yqX06b+;nG(<4A%F}Q_+uzSgY5kg%R`U;@HM3+t zz$OaPCCXVPQ)ttI(ag-uXqqgLNS&PN>;cP%^MuiRv3Z37+;u!%Rw18FT=JrGiH8}x zKx%tqphN568RK95CuK+4rtdQ{VfAWo>Oby8J3dbXxKldyc;_IUDuHs@?Y$ErfhJ=$ zdF|g?19)ffZSpy?$|uMwzXKjJ0I*)t)FZy4Ho~Nr)xFQidW|^x$pLNZy*}k)+cVPSP3)^p7?dd!j%Yl zQ!dWI=2=r!@ZXXyiKKDZxL><{b!=or{n!ElPTv|zf#9-ZuEEg)1;g5dez#y$b(4uA zZjuf&r0A3HiEnH1OnVH0DfkP|zcy@PMljCPDkEP2xeCgDb%`OQ4efP?D*OG!ug`<- zlazC#FNEMgnz{eylcRx@-nh89MeNY7p)df7Sl-)#4q+~_9y;T0!3wrm{)P<%(UQZ& z(%%PUvo47=%r^w0w;LTg_IwJY3F3Hmfz@D7^jdKEb#_gf26h2VRw@yj$4~BW>)}5W{0a-;Ap3wG30lU0 zZ~e6ZUdi){Z>#?2-B(?&%RA4m>E*3F@3$Yh1Y^=gGRr>IFyymiN?|GPcIA05pWe!* zYWT=SM&vbmwxU%CWa5`l|A8jf_PO<;-1jxtNzFQgM-K(RLnwMoIPLQ*Ga|H4)WJK< zsCvQ`p4Y|{bg6rZQ4AucVvC5Yr@nonxFYj9v_E@+KGB}%K%4#K8W8_+QPPu`u9l?@` zs^4XZQV*|_-!)k2WEX{-7&`%4IGKfhL|h#aBIIyqE#{mL`N-sY&!A;u*%tE#5*sl+ zD-x-l+ql(ZKYr5vW#uiWNR$kxNEl-M_NNIV>VMYi>@8SG*@!!kwTL=8`k&lFL^C+6 zg$4?%mtdmz2hsL@Df9V|XZ76J9=oDjK9rM_#n>ooF}zK)k{uqw7?A0aS)zNsbpK0v zoHao@;->o;3eM`0W7LYoNPk@DKJ$>yRxl-6H%2ghNWOnke4wE+eCtzLw$Qk}3LFJ? z;mIJygMJjo@~n8_-H{*z%aC?%7$w>-wmf&K$|mHy`3}!R&qV<)7#CzOc8=itG~Pz!wsWUb{LtE zoFrEgv(L|55;U5mKUhQ3<=V>3^Ou*d??PIfk-y?g-}xdDq}sL(d9u`sj)jGD#1H~a zDac)NjF?f?6GfM5t24l{tpTcGE!z{~)ifI7LIb%LSGwJfD690EAYEB zXKBuJh$wW=!3y@Al%y!u5ph#!u!87$dTdvFj=R;J07pQJ_t=CalL5JjdvXV`*V4E&Z zbux12>e$|=s<#*XNKM3JuhQtyr7&9N9b>uC@)o@JrQh8ou!te&`uhgtP}09K z%2hog&y~8s=ZHn>5^6fB>xaV?h8dvzBvZv1nulJh+OevOLl9wcih(*_g8Zwrjy7DS zri@_D$g7J%ujmWTT`172PmXy~lFkVS3Br5M;}n4;Tu_+Xr^4}R%#=fCo5u|Y8A39u zgElN-Am`l8xPX#CQ3;%6CKY2M3yF1;Flu#fF~+LBtwp@)brWtpIC^p;Tk9>(p@ zGrPgZ7&y$56tME7Cy<|H8DIQ0#X3E}*V%l#+!n?75YY~NyZ!t_jDRepvSeHbWBA0t zUb{9L2c;vIwo|p+AKyi-na4}vN`sMtO--bLn>iy?upVP_s`uI zy{1tjT)#dqG7@}~E>_}JUUrUPcEr-6hIOG>_*M9a96z~ZX3Ju1cle85Ctmfx(&DKW5S@GS<>A&<4vq{#5E`(f<2okB>yDO$rl) z7Mr8|xIe@$@EPRYeJqIvwqMy8+`d3lpHS;cW7lGv0u!?3`~(x_sFpS^6a;|(qDeAy zjAF@9h9ga804T{{#Fs+U*lM0XBvP``+dXc}T1$DvaUg(n9MYJ9*$>f>c$_}@VMB0} znQivPbD}T>4HQ!>^$~^%OQkhr25NSWY0onm>_DDY{V-VM>4-7#-Z(-)K_q6Rv}!= z?5L)Qtn78+ubQM66OWU$WtfG}{k~l4M8EEW$hej;NHQ`Na+kc%Ggs48wtdh?%(nAS zJgb^$Tl9Y@=AU@a6D>ZahZL2d;f1fAB!qe1dG}aHFv|5FmSp+kV zC@>PKaIir;l35Wmt8Z;jLjEbCg)A8BJ_mJW1xL6SxCe7Lv2J2sTx?cfhNTttwD?ud zLsv}!)9Dh7Da-AL4s{_KF66x`$Df(s=Fdo`6Zmv}kMr0KFDq$h$X!z5&}C{TzlgML ze-KJz^aid&UzT?+316#=7Sg@J#0GgcH}sfl?--WffgEbFEPp!&MKaLTjVke+Z7=cE zQ7f(c9-0t^GaU*dy6{>OxL_9x6032Te`?}#yzm}XU|KO!6eq1p$z!`-q~nHQWVFZnT>3+@>Ql0mb!A;aq$9;y}x@}5i6xV zQXDa*)MPAck$a7+w!J*bu0@cx8V8$J$74{3)Q1`JG*Su@{KBqSQsvWTSoPE;+HQ(p zWf*~2ElYGtNxL2z)g6^o^2{`-`@Z`VXsF;?QWvl^M(VBZG*GR>2aK&vE28?&?ThaZv|}}F@@@A;^qnZO zo1w>4Zo0dKB7zYnMB)An=i$T#M{FxrRf?Pgy90U;t-}M4b_unJR^U}<6z+5Kr*FYPV4M3suP0W?+|K@AVsl-|4l5O4@N?6m9_{ixpR|p6ig(L#T$6E6?H95trx%e zs_#8~SaFyl8(;3dE3)ov&+^a2ZDtc(&hamt4AV<4ppEeaf|& zsPFZuIZb6;-zwv${5TJ!qTZO)!ct@d!?v5$mw!l$!;p%Ew@hW2OCOZcD%bJ`>4Oef zgL|h$(`0I}-VWg|_m*jnLbgBNFfJ0akW%9G3Wi-l9Tv}gB=Dh>J_MEmHuXaTXGf$$ z5snMzXEum^9kBJJl_@6HgK|sKld^SJU>F}{h6l?dQnj-d@e0MnL6H75vM9Dc*LYbMzZ8WmnT)$Z}lf$ z*)8-1o;WwjNialem6+dgukC;pNzDv=7|@trW67&qp*Ow3aTWae`0b0Mx5{Gd$M5(9 z)BBN)-8ht|0mw#aoRAn=$z{)o_mj_I3>0=UGXT7FP%GpwG&DasBKS z`G>cI-J}4Q_1mI}BC6wzd&JuLK55%KSb(W%kHqhd&Z00BfqL7Gr73Rwyn=|enlu7E z=Pi+PCydFY$CYCYGnW@^=M(eMg{$iL+k3af-TMM2hLeqQB@KE}g{O5p0(pbTulHt@ zerh}mr4^Z;XhbUsNl@E-Oo&#}{^e5GtCUk$(rz;Kac$PxuRiOZ9lJu>rUzo`o$Yab_lISP48DKl|wZSTyF-X66b{hdivvnO$Kcmo^(c~jysQ{YOlowZhn)`FhX z&|=XQRUEeaGgxc3-_BvVU-TTFq0v<+{j4eT*WDitu={XqMe1SswdbE66gLQdP^Ti@ zdKEU?-zW`fI1gjIWaEVlmyb9N6o?=tC`L9&lFY1{pAMFfyj#XHQ*Vmc0JWWYE7+7d z8->x#l%+`Y>djX*<4kv-q7agX6oouE_U!9~UP;DjgB2LQM`wX+$G%ag!)~}pf$&!F zUtQ|rU=~%!Y|h^5G|u9wOy3V5Y3EPSlIyJ08HNOq93JY(aXS|V6t9C@9CYp;G8 z8NjbIb9{JQP!Y#Yb($dJ>Dy2UlNEq|)5q|0=PuZ%Rv{8?amxsccdxYgiH}XFeL6n{tkHAueSbl4Fr; z1TG1G`A;I7kGpNkRUBKfsK8-s30FMZ)Dk0hVGx7LxqW-t+&mR`2lrJDj2s55t%`BwuSiWh*XT6fP@;ZU?xfrh4aCz)Ikt#ufy8hqM7uU7hlvu*>lF`a`Q$5z_eIzK?+7oPheVu4mS;kAT z^GCN|E}cWyHpMbU@Q^C*i?X6Ft2qf+=qSwbmU5S_?;c(eOJi(3E*TQ6WR+vBP(jI! z^+upXxvru*R;lZbGd&6 zfs@10J6q&GCSNRQ83|kXlx(ov46zy?q|=wkVwM_zMyW*Jq)bVPPw)dTkbCk%Kk~P8 zqrvBm6ZZ*;tZ5DU^m2dM=V=RK&^LsdQpZRO>dt1hkK|UTyVEVhBm!A^#81|ja?%2j zYYH9uECdMK_>`0s66~Uf)XGOt5!r!pg=C;C**IXs$38-zzO>wbX!P$LU*2~-2E1@Lclj03 ze8@U~&GUf3>h)S&N0xQ+RzrUU##qG-@?c|~=-X~!dRGTik$%b8Bf~;d`O&yQtCKKop>e|F=-MR4A_keThfgUY6az`jM&jS#LF1$)eLlwb{K9E%Q_(xFa$?w>Y_WSfID#R>r9=0n%{^RAmY zt6B8EAj-|IR~rk~pO{94yg#?WePJjS&)Yp%okish!!5Q@D)%=NP2CLC?rGg3SVGnX zMe18XBc#P3esQ%fm|^0A)(tn`jQrhT#aeN`S4^i6Y-jc4rjLi&2t)Ho=9GeKum)Vg z5`cD9=ZCeg-jmbu>2y__iv5TX5=IhX>Z{BmeYdk-vbN|kP}%WmH%8S96w1CeSb5Zn zkJ6!@Wxkhp+Yet?Dt;Komk83K&WeH zMF4f>U4n%on8{L%nC4p0j~UJ*j(%V0ek+7&nCm_~|NP-}!JZ*op~6KD>*b9j@~xMc=MO!)8e5DrUB$^HaiDhKb$5oC4_! z3x#nB2dVl+giB1e1^Pv#ux_qInsKHaE&i-(g9k|-Os?0jy_QWd*#gK9RA}-t(@8y0 zg`}$jpAC1xk}~#AYT1lCwT*wEu$03R*e2#V$0N?dF2xzQdKEp6YdOYqa@OlxSub=O zRBU?`g@?EszQ;P6{1D}F!`(}CYD#k#Hq-tziqsfhz^?^0)5fRvDE^eW6p`eTV*bJO z&F9CVv`q;y%MW809d{(*%0Ipp!6VPY*rL0Zw|DZ6zTE~un%DkGv}*H6E37px0iaMS z$;v2m7v8Olm14QarpGZ|(V(pvl?UGY3-su|$%{SX-JFAW=-yB+RE1Vw_L+=F1a?*f zWeg`T!Ea{Q_qFqh`!BPQTLD;t%3a)SyiAYQ6E6jBC)4m*mm|)3+_Tvqk;XNKZFOiu zBGi=!nFD-9fV#Nv;{B>Nl62%+42cM|f(^p4z7QkP_()s~puV-nxGzNU^Z_HCyNX{%U1RNu}MWLCr=9UXJ~G@N#O^6<8JKH+=x6c3IVHW%SO zqu$+Y#&(P^Rs*Bn=h~kS}NbMM>(H-ZC_w`G$zVp#U9$O zH}=1dEZU(ifdb>05}M(oDKK@U1o>7Sh@djV2fjj@FAJp&7NsgLjIuEg+r6u@379$U z!U^_(2v*F~pn=T`){3B%tGpNi9TCyNn3b&J$eS6L|7E|(^mS{~4zbvE9KmsBljuY^5sLs}cq%s0CH z{8&F~E8%IuTEwS7SsF+8al#vH=qOlAP#T(!a=xUhIOIq_&=4{KZ$`q>IF~h9^lg!O z@;HXqWKmSYAsmVXG+Y82=HU7`N7C*^AP`G?k0hQOSa50Mq+yL_oY{y<*@uH(21nPvnm8r&=a=<>2U|=-?I> z<;Izbapn&H(%Q&qe%|F5z`9TiK-2o7q1ZdGK(Lc&MxHDMHF=!Ys${R>+YZAyyp$t! z=}6fUVOn~{aj&X8n9dICVhkVsip>0>+?xEfDtIa`ILqqekl^+rWweX3|5CZX|I(tz zNMpyRIp>8~59vA4&?eEE5hRAyv?C$W2Q3*(i)(c|LS+J8kYJBja1Zc{02<0|>}9Z% zOp>j~yOl;q725(6kfgs8Qtig{qV+BfJkpknvGp#TF%|xU18*R@<`eZ%20g{0rBeoU zyAM-XzUl-zFFeauvPGeCs@E>V7rtCyX!>ZTX84kI+h=RlSKw@LQ^1Cn$fYM8Gp(b* z7$=k2PN@E1kn&XbyYmCF5@>0fiBKw>26m`Lzg+HrST@=RS7x;wyptZssD6eQW{he+ zEi-M1MV?9dk1qBTMr|cDoJT#P=b<@TPE8+fy2d=vC=+0RjBq|>ZG;Hp-AoVD-r$Tn zAbyo?-hbQ9+&Yx@GLG@2Dn%x0Lkx%ihk?Ej-oDXuzzor?H;=yShRA$se+UqT4)S~N zt<^P^L$5&d>nMfqFw!NtykXc&6JY2jPTNNI(-4#L~7iad7FG>=SFOfp&q8y=O-fYyBs#O=-M z)z>i|>Vlzru;~@uDL+dcDvuJloWQH0(&Q5PF@jf<<^QzYeW2k6rIIZ&87h9xUa<^x zWT{x5N_0N4=vvZiaQ$ezwaeJVrQ8sZw4r8)#lb`E=QBeiPvIQC9m7f&)kH+N+aQt-!Wpy6uWmN_0tBzJy6E7cxj z;y$MjVT$tayOE5S|At}XAm`C(t3cKZ@cGlPZh?@`uG^ePtJytgP=^6w7EtnCeQ`(A zO+${`5{kMP{S=(X{!m~X{}1vw?mL||ol!W!p5&eKkJNo%;CS{|jF;f`02ZqhQ=B`X zjixNU^bx+A2qPy7!=4A!;x4eMVU5o1eihQu=jnPm@wC-RokieWE^ATY?2xZU<-8|W z2QZ$-gD-9gJ$nRLnB97B&&~hWp+W4p#;evkM*#JcU|LQTe*EfQ2y*s!0$~Fr-7;J} zuoZ=iI`HuNqIHxvBW<&iB}jvv+3yTKLMT%!o`x-gjnMIl&q&Y=6xv(Y)CIcA!<+#j zq52~rZ?nNvm-&JoO9r3Sls?42QN{1_oBL&=Ghkp~=MZ2`UjSI4-s8#A?y*yU7mwf2 zJ+%a;KxcMk?tSG2!1NN~ipNfZS>^Wj*SoR(c#7KYAm_G}pSy}Z5(gTafL(M1osU)DJaM#9h|uZD2~G9r zNdfp>zpUUT*OopI)_LaAuVx**p|)YB9yU{Ew~@06wwUxj&azGJJY?~|-N{2zic7_zos@Z-0vG+Q(s zwU-_%60SlVnH*tlE^H<`x*@UEq1#rdoa-A8S&MEi7>enX3Lp~1Ei1S z@+4=F9SjlJ9FXmzd5TIl(2zz%zWP0{+2WMpR99tptbFbsG5ru+fSG-Y`9nFLmfJr? zf62~`iAmhtP@grjtR6g>n! zI`FVT^;WBg_b$+d(mLX?i2P%wu%Kf+>hK`#=k6{JQfL2x%r2DWbWZ(56h|bMM^OPbToZd%@)apfTfz0O|B~nY$ z2m6>w)BGxJUTD33W)-2pjs_`5XoBj3BYftPqOG6iPoOZtX4nAy{#X3M%+c93w!p$Rkcl3#Hqx(Aa$L8zfr3EsL3GWR32Af?O6T~!_8q{ z`H{_UOY)2v7<5$JvI$50V$tpR&7#7^;)--bd&PO#k?X8v#bV!nV`J`7VS{6T1=ddu ze@}B&3M7|cVUdp_5v#A7g@6AnpQ&0|yeeRGVq45a9Tw(07GWQzqslr_3fM9nH+$UZ zx~)5}7P?CAzLdG`rq9vn8WTuDyuX_1X#I{ggnW&yrC#=Gk?ipSONg9**lNUAX6X~0 zKZhz;!tCDZNw)J@U$Vgp_XE|64LJ9QD!0PyNXY^rXfiSKBtp}C#94KzI!{~mDq`9T z|Ka}8|9b)>>_HrU7YFF$)&_QL)o<~TE zdboSIH0?fnHzk^1$8>x^B2ChDNWb-Z$;aoIpK z61-HaWJ@i3^7zF}D6kp3j=YAh3cZ#+!b=D2)_6sSjrBLndH3ZHI>{aX5HY`4mxVvf z=En0haNN%f0&iFWFDm??_5rUL#gMw$v{DN`C9Ag3m;P2Xi}qv$<|XggsY9dxfPjr# zeld{l_2Ig5K9y>;z;z~I~FEgRP`NQJk62cWw!|WCLCK;llSY*wJ@n(A>x*HdUj=G0gWoo z3{jyMAKcJW3-4{KpM)L8v%evn=I7a^q&Rs>d z=`eMbyzS)_+)J^Nh0~2rg3+hUbGC_f{1jvCN|soud++Os?#MaT1g<^m69w#=n+0-l zlKHY9Uw$UO)4`F2{Y=QF*AFn3@%YsVU&*>#{aQ0pPn9$FyV2UfNuNy?<8Xw1=tIYk z7Pf#<|DkI69G$BgpHa7Z4h)+W_JC2a!w6;WN9uXP$12QYFZr|g| zPBU=`>G(aJp`dI#bZLI?_?~ll5Mn6aH%nJ|U&IsGL=0KMQ5;Hs+`>iC%&uhKm~O%q zGCr$9vw~fW8r!&0NUYGdUY6zA6~K4-{nz##?z3r%6%DeS^QU8QLC)8ti-Ji9pJUv< z&cLHhau*vRcl;dnW*hDFVF%c;X9Z^g{x3U1Lb^H&WxNc!8Ak7Y21hq^rDhho>g~X4 zk*RyCOeuGsUDsYt${H+Ti=2~#nk;IH`8HSW^@17yUwc>n4pkfXCu3)jC6%Q__AJSg zrKzWk2obV0VF;CFn6VR+eUL;#hC*eDkz_Yzgdz=kD*F)GvM(7C-h0&bKGoHK@V@7V z}l$49I6V`6JHZo)Du6#cxGLs*hsxh~5Y)@@fRNfug;Lt$vi zZG1Ne)ZV{QJ(N7=V zhHhi?YF~l9w^e5|u4Dy=b&0(c;P1CmLZ0YlMvRX-G`;L@SJDJno6@s>nvK<2xLO+x zizmwL&J+ZhqP!oRzQfX8b2<6H%Q$_M(f2v-a}sZ$mxlC{uPW8hp%HLwfd}E|#UQHY z&UZ64+E1xw3|C3hpI2yCwBM=b*L1eA*H}~bbI;&TbmRp0sVWJg_LHMrDWJSnz9)yI z!70C^^Tkg%#o@!%X@rnyqrOyl52+M8!%_#ez{hJlMz$C;IPwhi>MVj$8}JG+$ZJ=h5wyuzWSN=T!=^^t-)bthb8j(o zE>)@CLg)r)N;jjQdF{E$OqMs)GV zQ#k4+5~!xPs%ZUDYIN`)2ajaQGl7-7B7h1hjaI6OLwVEP^!9{8b6wdH<4j5hb=5c7 zsr@g)JGTj;$S?bT$%N+`iM+Fc$|;JY#i;--vm7x;3bPByLa%}c;8*!l}% z3Sd!E2}*3}%{>S|c#AeLtqbo|WvLVJZQyoG$b~nI5z{`nbi!rdZw=ZoNz&rVYw?>u zM-(W%U>y@d>3+-6YP+7BwDxW2}s7S{gWJh0NHID!_D3$0D%IRGh)ZN+}Po%R&)=l1=F`|U4qU`E47rTxDm%m(* z6$oxAf2!r8vRwQ5qWnY`8oMFoy!`%#gF!_sYOmyW<$NYeOmPW_x70wJhAoM@a{zPJ zfT?&g^pbo)8*g12xbA>DcL+RIsvvYwfOPAKdYW!mPS}7DKS%Oab(#?W#WIYtfhT64 z{zuVcm3UCB9MElSnhVsEDK zB18>Eq75QCZltBSWFMCOJoX%s?JC3$IPf_xzM9Oh>9*!-XdMuWp3R2ocwOZItD}QX zoW^6~ExjjM>E4c)D$zU2S@UQ&=xD89QaO+&)E{{YFTbbmh%(-pf;fHQjoh$YIKA~AvjWvbu~ZMG>I8la z)=s>u999jaQxy(LM}@BLFm>r$=z?4qSdz#t{wfNG{jkLBjaUGuUNF-!R9{*1eoe)+ zed*Oc4_18#6X!oYt7>=?0jng+cw`FJi%ZS!;l~F(*9z)-;^Q7(ytLRa$YY?MR8$S- z{;2eFV}a>ZZKc%yY z@nif?juD_xcL|CfxOmuW-Z>Ng>5Bzf`kO;BGr{%xH-z4PCc?{DJMosgCx`k^KOM7W z7{BXCm8Coh@FL={e(=GPCcPxJ==y5%pl6fXk=su#a9Cd=^eVC^&W;Pdisg*;PjBBBRGOkdX7XH6?BQ$BX)C$3Mids6o4KP(nE@i=v#0OySwVv`p1 z^`O|xwT;0Pi88hX!TOTd>m&D1^L9PKrt{3CRmSQs$*85baT_Pl7-N!!^oMQC=NAO| zHThnIWvFa1I)j}m@av5y)wd+T4z@1kOVlgag;TErApGXckMa)p^0D>Fx+}WrZqa$O1Sr-RQJp8F(-!iei5<3M}GzRM;DGO5$1xKr1Wd3bE4 z%1oGpLvMSnY&eh!6F>~7rE_n8M)c{cVR6lhHBL*nwHT1;QoXNT@2DgjMX9Id6CFa4KKPzOCH^U83S9} zo4Hx?&X`s)5YgN^S=XW*O1)~LKu6L7mFuSn(&iPeU*^-+!7Ds?W1-q)f*Gm0z zo{C#9|1`BDN?TxMuLoVbf)Nd$mHKJwiS6K%9IE|DylscfMo%@B=+$9&rL^V?tlLBGt zes3&uA9!Nvoy>*Te>Nn)fy#cCw(!JOu);Nt+D7bPa^dFhA0&$B{6i9&QbqP3vfFHx z4TN%1MAHYfq%{^ewd@QDy*<~$-#_K@hZ5YXF?!t0?@vm$_WUc_yxB9SbQE?{2fczRiNBJjEJBkt@8oB18N<~0Fx z+*}IQrAoef!h{m5{50Nw=f_A|QN>ThdWNWVM?Z1wChej5!dv(UgNCUk@0x2JyJaOm z)sCm#A9~A{tQ5Ee{!Ad1ZUlO0F>F)viR$r9mMGmXbYA-yp$ft7i>@b4R-Gf0dU{0C z-0?wh4Gk*WNnI8EfEL(iOvMIjqvEE7kc8B6K5p5&fRDq&0OpsPq*Hji*22R_1UO7Q zUPbeD)qN4RmJ~)>l?rE{_nd>x7GJ1dO;J|E4&Swm)N`gGBC|BgCtz(AZG!LLYMDPX z9hwjkpjS>6KoZ<3`-G8z-#)*^yV?pMPIypUt17t+E2b^atB;#>hKx4qC~IPeZKjde z5T#nt#lxIajjCv44QLeF7zw^4#QG4bqS!M(e-J4tX>#xpHzcwB()T>1?4?c|~5mK^@`Do{iLyd%|xgv|Psb*Ph(3eE#S_ zPuJ1aCjk+h6318{H&LxsSfobC8^bdhJ#QwMRiY@X5(ZXqmRg=DStC+!y6tMMzuSoZ zRI_b_MnXw}YoBp?bHPcp+iB&0j##klLvlyMF++K_KAdI;%gtOgx4f`>56n8OocVtH z*|mvf;b8aJnk($)$Loew+e|7Vw8syg;uNcE{3;%5bq(6$`8@uFgYG`dP+K_3ZIJEC zN}s%$W*6bOENk>BGq!36-io?JPL2adU-hL3V9?&dTe}N4=6j;Ob~cBnKTHj{v+2Bk zwl!FGv^N65h}FgKlvJuoE`>P=Gzhf92O{noJ`7PqjT4J6Zk?XYM>E(MGF{u3iyd{( zJg8(X8tig|)HzUTXhjbHIQ`D77gqp^1 z_EO5GO}KIs%z{-m0drb{ywG08d-YEG`J|lJRsqSX4&lafiM>5ML71LMEdHVabb~{M zbbE1F3jlX(>rd!gq3&5&0#ti3Kp;DRgFYJL^#8#BZ?VTG*|~-*@iz^!taBy#-RS+w zowKW=+$2pY-_Z$ejp=JOO| zu>!-1_fvys6cTe`JL7Ms;22f!cOE8@@CEUg9}Zbt@ZOd=u60Mk`;=2yLi1}@N28nd z_?4oQR$g{8#_>9Z&^r+!iO``AnoC-^Sp4p=3-{$%4rq$+5lLJ$OA*1Davt>LL5$RM z%-`(74X?FxWFE#WHXM29tNBW#Y|l&+`P#cC`=Y7d$5IzLGvM{L(^vW|d^kF1V;Kw_ z5#oioG=qokp*@7w-8Z9V7|!GvIs1_maRcg;YJHb7f=3hmm$m!J>`&#!1id3ydo82+)byELpj9bEKj@HodO~Dt5~36FG;g1KZo$CUXF|H0lJKR}&mXeAtXb0B=3Tv> zOP^wFUn!M>dQoE#vSr<@Z=T0c+R5F zKJk>jM&DDvkoR)RnBUg9?5GoI?gHmxCbZ=pZXsMyI%K0+_|MqCx&3=*hNATH4Qd$= zhn{^M)UmOq*6VQYX|4rJ6oYfi<|iiGm}y<93G&CBe=nCyF;6>MttG2nG!}< zMZ~k*y|dF=V^_52+S?-)gYPjso=So%FvNa^HdDVl{@o>4b8j6JvomgCiMkck=(WP6 zDtgao-c8!*#M#%ZFD}G&WZXL@&@EY$t*!C3?o~%~ItH4d#V$Gpjz-yQJTK6hdO4h8{Z z1CjL0Q3O_v9mdHGtEfOf|7l2N+mNOkz6ZDM{lyHp0=f9RDgLnaLt|VW&}dhB?7#X! z=(F7G2EiW!EAHR?h_P+^`PIXpNlZRESmg{1&4m6eUy^g%*!!}RyOZMfS^00}tL=DE zmkuh(V240pzeOkUZactw2e>(5|7L0s6|%Vk632r0yMHsizUzMz$6j`F^2RD||4{jx zm*~L9ZzUN)=^*;=UW&ncT|pb^<^SsCuVu{Fmb|(?1A&|cRLB2YE^MMd%D9ZeI9)RH z#$54m`D-=c)wG3IQy`GAB*s7TsN>l2w>%F2t(xDZ@2`m@9@kpBU>Hb*c3 literal 0 HcmV?d00001 diff --git a/tools/bsi/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.xlsx b/tools/bsi/bs-it-gs-2023-con-konzeption-und-vorgehensweisen.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..4dbf2a7e9a5dfa91b995a717f08b89576b8c3f66 GIT binary patch literal 56387 zcmeFYW0NLP7p_^hZFRBBwrzIV?6Pg!wr$(CZQFRtHT}LPCgx0>Gr!*?IZ&X zb+8MDR11Xh;r#KiUB`}xCC3YGy0ak3&|vja#FdgkBz1E1UN?)7>_feXvc6#^X=24$e&??6I^ zph(el3+h<;S23QkzM4@y@L$YohaFo4Qx+{{x>KR^W!7!K}p~A}tZ%!qg>@AnS zk8%M#E1jD9PAA46(K4Z&^80-6U_d}WKcGMg|1VZib$d)e{;|6I4@KC2tm-+KSUJ+u z{b&6D8T~&P%>U`rs}f|TK^c)kZUcUZr@FZ}f0Ha&(TkqR8h-&ZrhnjyzuMX$krN%nqOT+d{7I}TE-Rmz zqkkXguRZfcR2>uq(UJZ5VL6Md4hQhIYnyYZCp%ziK1m@~kZC6$`8Iv9Zh6nooMzju-!;jw=zFiPLzETNk=`WGzt5FDC7;^O-mgoA@9x0wti( z{K`GMwVYQ{5+e)F0L?ymyW#+E>M9a-MD^WD7xOx0=wd=FRkxuZF90ys^BT>l&9bA+ z>@>XpTZR7>nH}ga%Ksp<1PTO%0|W)^W<~!$sByJ*ur#!_wfv94{oe!u|8u#2bN|o2 zx)NtC1{vT+ZUegm=e_L{Y)q24x}yYZwE#fmiU)H;Y$-1kw)~009RlNY`Iv#EpWgg) zrCR!1MI5Uh~xreXMQX@ zJ8Y!A?2pZ2Q)<=6Y%ynykvJnR=7^}%G)YIt$-{?;Y6p+lL&j6}8*m4Wr5QF^4aUy= zmbpXIggUA$R&)d0HPJ&t=|X&9;G&-sz78{9@Z_QCZ;Yr$T{l9rwhixL|927esIWA@ z@lSB8|0PI>|3c$m1pUvkQ}k!krjP;2ThIIl_$_-QE~uo;IGH87W#Q)c#`Q5H(+IR` zzo~U%WX1PK4Dsqo@n*r0J|Z6r zQu@4*WKJGD``PB+W$I<}!fd(HECG;2V&2xq?~%2-tkfm#vIyzAsbsqH;BsAkWpg>^ zL`R!RkkBBJwj!Yd4C0mBeuc+&eXlBY9S3tQq-j_S|DJJC6PLeao`~9#&yG58GRf!y zMFmJMi+&`v#`oJozhxIewsawRZL9Y&`}v6&f;toXoLp3>(p1H!ufYWlQ=Za)fcpjQ zPy(La;dVlohBN4cC--xbWBA5?Zy1R}*7=zfAXg(Yyk-BKOXfTqlI?y@j7!%f8$;|=)3LL3R6ldx8mMsJmo#RRS6I7E{MvA(!{Dq#*u1?waV)}B( zkKQnNr-ILHA6j>ymtVHbX#qR~3VHW8c?+swZd_Qb-CO1=T%z53+g+R57ojY~)8+$Y zn@??Gu+5`7>8JMy{{{K~Dx~KnWNoJZ5KzYb&pzS57&!eku{NRq@5uNc8NJe&w!vjb z>cKqYM)H)WSx+#;jt7-aIbgFlT$75xE7!3|MRsi`qT=pAAFmhiFEF2%_TTZK+<=hq z(_JXF&n%Gj?-B|8(zn9HL8Y^eU*Z64ygV|ZsZ3?J=HtXmR1YvibJ(RzXSR*A*esA8RzQhr3e&WvZTCjb0*(LGs^~_x zRJW4jJ=wb@EED_YwM)0gm|-|h+?S?SU#%KWbM+rcTLBC`y}s2At!%l$e%!cWc8t4j z>S?j*VO)iQzigTUmZ2{m;Lq5`W9u=PJqUNtQoy-|L^!7N#Tsz#B`L$25x0)>pnecc zRewX4NGXKzgwR~=xRB5+A>0D@7H~V!CW6VPVaFBbw3`DE9pSJUO92;efZ7~>(SJ9m z&+FCezWit`0Y3ld{DK49%^nS%t=HSNnXk_mb59EdapI0oHe95240+>}>dX}GP)ZKsz>E7Gx?~0+3&jd>13+(nT^vaJ`O3(J?IwoB<-GyfI914 z;>CVq0-`tk&jIR#KFI)64K=zO7kN~njY!ecbvv!VZo;CiewmtX>urPN1xawhFT&}} zv_~d~%vdgHImg;57U_vK#3Lvnv_jq*uREO^(=ZvsiASJ$ z+mV8@4Y@B_^Op|8DN2;=*PqQT&=*+^k5J*(H zxErUgPBiXEMWv$|G5gA4SDS;FnY6eZU#I=4R*{}QsZeDtNLM;7V^hZVYAeH`nW=)- zfeP3GuiElM)|o_Tgf=BzaA|dXT%yf*4(^a3=O77=ZQ6(Wq=t74xs0yw% zN6<~}xF4hm>C9Jv#(gOzZ-icLXV3hus~V6EZvF@uki#DfR@qc1XJeVFBmq-54YB+6 zV}U>Ap$M}k;R{N&vO&FS&8PSDg`Z~Co8lx17Hp*5m(b9CQeezf{rZfubYGg#G z#|fJx?%vZOkgs4N&5(BbX?so)!=~m4SSiV`z9!5W04mYrnt# zm+Eftg5ZGhlU}0G_ugqv>A@ma8E=c+5eWs3SQQee^}q(>f?G7h<%6pRQVqc|5fw@8 zbgg>Gqqw@B8h?227D!5e1@`44N>B(_rths&l0b-h8;9@m>{!{8#}>#A?mF6(ZQl{y zBGupT#f5q2ydN_1tkjUToNKf0OB)f*dG{7yQ{vVLseBSY{*SQ{aqEN>PyQRH9|~H? zpDX&C)L@F<<7@;Hm=an9kaHaCqPQ{{N!IESH!lO5lx^{JT-(@sV+-u(PP67$8jdFo zjt=+F+ox|)I_hin&h3lOX*dZl#t|1Uf4Ro6M$`0~C-`~p`@QX+*tG9s(-U4Set@;_ z`;!cON&SvmXIQn^fBxlQ|Enzt^wRoI{mboR|K)D*|HGCXo!qTV9RFiTORCbbhiq{F z49OSC3-EfqCU`Y`WT5YFt*Bqpr;9Ew7nDpUtZJG~`@SnZ?sBl6ojq05{e+^$BI$i3 z&ZO;iW)YGTW>vnIe!Sg|LDGfBJpo96J~c9+z_36+;hqAcNOvZwekT5TP8F?`i{in9 zQiRgJV{1f^Vs#ufp9C$p_oToX*q0_Vjz-5j-Z96OysKFjV|Daejn2kVws|Hvael*~ zU`^4BiPnke=#Q|WD!efE(kP=lB?M?obeRA(KMH9V%tRK)a&hV!7V&Q>FDgZ-s$3v^ zaurnkmGlY9c?H&ksBpsM_Ck)ZSiUir{L!<=#P$F3iOE)_OO`Jg3Lf z4{i$6z>s#)fG#R35GK(f)elW zGS79t_qqKw5PsAnQZzxHGJoGzXgTl_v4Gxw$z)f5gzcdD-vs=C+_U2%sqI=1tn0ifx)TtD+b0bbf@YEb5fs!#Bn$ynmJHvs&TUXgI;RgI?|8O;(QP z2H9mn>q^&@`CV>*%{E8&Jzp`5gl7*48e_(v)*jlmhe!Mk;O(#Q? zH*orpNt@V8n;msV($HBcZM?SyBlUh;qq)9XuuZu@xN%x3!AAz@522;f@}e?5LJ6xS zqtz`LmgYH|h53hYKiOKYuT#s0i`zwHUe`PZsp6BYG{oPq2v8}Kckmr-P!L!=azcKg{jo&4KBXMD$*?_D`&ynm(1X)(gblXwnOIo<3lggYjlRoz zQ_1HA(O!;UQ<4_ZliKjm1V&vKJ|9K+%p}AZw6`V6R7_lq#y3%kOSu6?gxua{T=c@Ch^~pNs8Bk8DKyXZACE! z9^pY!E&*=Fg=XASOD0#@?*1jAtM@`b-EKE4%eW&XktjWL;NaU}0tQUOw}p4kLa9%m zpG{bEOC>^h!ZP4P(O>W*CZANCDY0AmXG|?}>u0Uqw811b<9vz(+ZeuGFt9;G_=$j) zMYOoQu-Lb@#HxlHuXCLhZ2~Q`M9#LX&`N_sc6C+38QEJqgRYo`p_B!3m|0a(TuQDU z$l=-M`dR8JrU|B5QAx_$e+pOst3Sd|OSR$tD<*%#{eOb;-@RK=;<(Kw!@s&A_&WmF zZG&oMi$15s70z_^nMX-^yl5KQpM)LFqiyb_R-l`H31G>hmfPIp-0?wO$p&zvU>j*1 zL=vgI;|`STilW_K+5lv-mHHM#rB;OnQ1y2P?;o3nMN?~BAn~}ljRdwCXHhK89X~^t zJnp~uvenUs2)5I|o3epbpZTe<$rY1ABf?V%po7~(^Di~+(ky!v=Q@53`57Y|wnm>_ zrI)<&atu#-EP`uSA|Oi>2Xj9uNTJc^s8zFBQ8C_nXEDmXK*WO0KG7`l_bMs{;95Ih zLr5URGVYe}Ba9LsVlG&JyBZwOu+*XV_^YWrw8S0k2PbPAoZ}k2fuBs8L`0WKy;FQ) z%{J0#fUWaP1|mLQF=7=Ta$t$S(cqIe()dj1o;fK&U)9Yr&l4Vu6*$2AnmGirXS(FbUuLD9q1 z0?e94Z_j2!XwrkzQ}{)Xaq#f7vS2J);%_2%yg}+M@c5<~9c{AF2~WP(S6$=neDr_WnPSn3Sw&6UcxhQXAmq7vK*T22^go&kQ)%StME8>iRd)Mz2t|GNm{LmE?Zn%Ua?_@A~DHQE%8vn z8U2yeHB!2s^nP|&i$laBL$XX&1Z8Yt(ksZN+p$Q2ucbEL zEha;P!Q&F$F_Q$E$J!w`zA|7Yi71#A-rcZ;n#b-9KtiaNRMg?#QtZq0EA-}xEFzW$ zNfp~a?{1qD)Z|V~e`rtcA2{Vw<>VAF%9%i(K6jz}9C)}!?8E4&5=pK%evq|z*m__7 zCvD(~5`-BLfD^4naR8zY3!6KisIJV>UveT>&x|X9;q6v7*!lwSb*UN^ST+qU!u^6L zupvd|8E6_3H8_#!43$>J{uSa?ca=lWE?2&+nm;G22Ri{atlJM(&U{+BpT{ek?DB{`Jj z)xKYsKc9rVFJC47yL2DDTNyTNYCjKer(f$$T1{Wu%YRyjY{@I13%2+8S21$|YL_*< zx1~C*8dLnezPCGrvzXUb?vXBF^ZS^)UXGWwyDyEs zKAmrtn*g2N*3!qD%~^KeuNTK}6<^049qW=oLb^@Sd&Jf4qg}Jp<6MB*<@z#&9{=aE zl|Ab%#ib`#%4>!PmY;V}~|vZGFr>eXpmx7r^dyu+aLaCwnF{vL;i9 zrc<`nhVGac^U{Uskf0_rx8u1eyQb4n_F&g&o}53rnxlA^7p&gdc1LhILFdx{b^b@W*PO0mO>&5kw^fn)E_Cy;BkL)@Tb=e#$EHQy?jp=xKQ@Tb`;lkLz8S3afJBiHPwfSc3 z?Bmnh50N=2sj2g@z^V0Z3v3_JHI0a{2=P_W1sq>kZOGVst54qgUhlXza=xHt##c}1 zoh!mS{n+HA5IlYqY>`^1CebAOQL0M`_b`^*IR`E`DdbP1T(Gv+_UdP@viDk-ryds) zX>SjEu;sgzGq9-?JUh}Xfmr2K0BYWPbaDyHqH?RqGXd8fmKcq)?U(YclhQb+ZVA`# zR$QLqhl-7=vt8TQiJ+QIlP^M1-oq*Ap4W6=ppOg6-LwVn!CBzgQMO8gSh^HGAA5_( zcoYmtNDDT3^@oAO9bW;6xw59IbFQ+jJvVvaH$`TX)X<(i{Xf#v0+PWyrA+;ewmzwZ z5jOsAVGmF%EiMU&QYM0kffzmkW_#nw$&VpCq2VD*RyID1&3M-A3NM-K&EH{{QhauM zj9t0al_zh4<~hsCuyU&J`nGnak>EQLlCWZ|yjF7F? zEAU$Ztk`e^%3^i zUf#0s02*I+H%&i=JOS+?_?_c=e))H+*lm$Ao88tR;#6rZ|&bvHN-5Ut~FY564+gB)=oATxOd6;Fi|jAqSC>^ z0C+y=?uEUpQ`g1=E6DjbkJsAlMuI7QEv9+#YI) zfy^KQhVH?l3*YT}y=)Bs$ebzPO$uD$9B#J@LB)~JhCL&})8Ch&SWvPbg}FSWn@KI^ zcA;UME6A)t2GH92n9Xgz(KdJamF4lz5ObARH$TM@2-7&`&v~YUOVD>rqbWg`dUx8z zZxQI(cL!(6i6eN@GDQ=DnbG9|jlz@c!F5{9sHHlcvK#e0Dsy1OaX?qu+41+~IYB9= zGM3z*Vaz_G;-ybuV2t$P1K2|Vyq|QK2iUrQJF`GmgHEzw&oFvJ3cQEH;Kbl|BW^#? za%DbgL;0h%=WM0!UkS_vvZnNUeyuf2L(w{US_ew`0)9Sge=NMbmTWOm!A4yxe09p8 zzFE5;S^Kt}VS6Qc9^OGCV8fUA%!VKU4;8Y^cT{psc`#vH0uUAnc3kSGAsCUg2kyT(n{-8ZGIxl!2`y`j>j zCbz2&d#A7_7Ovi-yBBN%+ENOx^T508@?1r62dqj8ypf)au=*niEu0~+ff@V;`o&S+ znFuStf-)(k0IyduTdf)&dw=J(-xjKuhK+4M>*b(7-$(olCkQalT;d!D<}dv?R$5F@ zw(0u$;V=88l5c`mV;+A`d3UF4&Xc1Cm#0g)H~va~`b#YcN1hfeN@#j6AXHaiqcf{b z3=a^Auo>^S{M?$kBC!)QC8A;voz&t8ZV|XBZH_lErj-FVuxxY_mT{ zyp*5Pp6!dj*#I*rabc#Mlu1svA$KDujURcE-3P?b$`aJPcA*|@Q;VnLznwwN4x9K-OiVk zsf{sbFf4E=Y&oQM!d7$WPplt~)D~F`C1fMj5*|YUAV4wbiU?yF*2fM3Nb3L+gmYG& zV4PoUu3Np#>I#*Pl&f`aG&b^22em-GghO2h23@r)NalVnQezcGlijn_>5+tk@~2E~ z&<GwjMdID3F;%AG^5I5GyyY15z<+oPSb7FeClpj#($^H$oO>2?9jZL%J*oiS*r-S+ zagvx->UZvGpwFz3h(T((?Wn^( z8Drg>PkfPX^UQ#}u;tiM8NzF^g6c15SN4j8LFGwYj5vH@D-a~c8*F{h<1&e=g|QBF zLT2;mgm;G!$%YOcrZgDXQEFe&m=|jnGj~@LL=ebjlpE~aK|ro)c(7?L*4z1W&I*9; zJ&oOTGSYCV6--!tBcrM2b~6qoiG7-NbprcX`*>zM$E~ot;0FshQbQm!s}N>!;g88P zS#7S?HbxIi^KHqhC|c2Q)Fg?*iUc{AqWS8Y012AK>C0wZAC(*}c!Ey^F@A+od7m}P zcLbCrRUg6FnI|XZXMED`4-Tc5+#kMW&?yzM(7Me?g%e{H|((L_R^$?1eqDV7?K5Aq<10wx`c7{uDG^wObN zg=jI8ilEiTN5aZF zn`N`rR1=d)D()H{oT;ciBb#8oK70Ay8cCWJyXy7wHW70MtZG&ubL<&`PlfceH@}zm zxri&>fiRgZm92lTds(#P|4cgyvt<-zm zKT0|l?xsVoIh4@K=GbyRY4`0Jtw->CVgu6-V5&Gs(1@@-;L{s8HhYG^TIc1s?n z8T%f4u{Nu##)fjeR-Sc%Wdj!Fh*!1Ym}E6eP}$8rc&NZq-WR^Q9 zqekFRKn;imQ2{k;^IR37vZM7GIdb|Qm%=cZfNGJwty)y7a3EPm_aP8&_S{TFCdv<$ z2Y_q{->)cA@J1_weH0M4d66;JhJJI8{l-y>SsxGgQum-AJ*xY0+h;~UYkM-n_{(`_ z`k|i#m%(#lye(P^p)I1A0odGGpOz+PF0mt1&=~MuL-O4jFs$N-kpj+(?k&)2b1_oX2BR9!qSPmo{zTc>B z+h`la1-k?HSU54kQ%5F)X0I-one@_?S8x`j0(O-=p3{Ca*^r0-jNHEX&L{C77?i^6 zc$L}xC!eB}BI8sddSWkOAI2qsF+#5;Ny;|v2eG(MApt|#`h;a1bP6H?w*oA^5g}x*)UcU2 z(cK%P z#pe)Xrs*!Io5d|5Hlbc+>DZ}|X>1Qe^S8UzC!|SBKO0T%>_3vvL!KRvx6?yDpPmV= zH4Q{s63?4d+tT=5DtxD>QohRkKi8rxtF`d-nTN(TkF@Feb{b|6RP>Z-*;Cg{V( zn&*3PiSgpZNoM!jSLHN%J)(J=NzJG6Gl~1d?bAEeiy3+>uNleKw(0E(ZX3vDcn6=) zp|9V%7}234u8T#@ajXJ-mV$0R2B%^WMJA(oZ$Kn$xk55j?g z#kga{EB4-~U)*+eUEtm+hE0Yj>b*1eK|n1Z535f8*uMr|9vfV}W~%q^)Q!ps#(7iD zk2*hXLJc5V(xIpd*@*n8RR$qu7vMd_2DSKMysrDaxD2rmq#l&FTJL01##b~W!_g2l z`iwZ9XyObd7lOvCc6j89pouR^e@j+`tRhT3RcR+=K*)(*<8(K!Hf}U`a(Z8BLde;?G|fPhA@Ji=a$Xt#ttXv7iFnFC$WSsZ(j*)mPi1W9noDZxoX4 z9vWw}u}IIAdG8w~8BVC1r2@9%_YxphVde;LN5gVpU%{IgJ0TH&u{{uwxlEH{xoB!>$wu)nlw$(W^FWqr>< zSY-v~dv3`6O_AZc6v3;)h6W~<)7rckW9ivVfc)^El;S^4Suuav(kG>Rc-Cw~#?ifi%(arw zKA|hivF(jg!N>mOm_UKhiIx_!n6I@`g?o}|KoU(}T{#e7V+VdY>!(Ui^iQ0K8$E1Q9Zv^+lD5_>Go(f6bHZg*Q?L}(G8#@_UeRWQ`E@S{brMcB#l zdF}SPDMZGoS*>1oS9hzU>SHNEO4g>J@eOq7T?@6V!ERV$#U5JwbIfw+Qfm1;VwjP4 zvB^9Wc4b$Q-G_hDbbW0gSw|ijhxdeMzF2sl5(~3rCN8OOZ%Ye}qT)_ZS1cwbDo)sACH(SrwRP4j5N z%aXHgD$my6(JI|eM8X-P4P~}F-NKNaAF-{N%rKj@o@MWA%B%lDL(y$URZ!+_XFi`d zu<@8KXDHWr6$?x+1~VKCwUd&BL8zmgU3`pSlfT}(WiD&YZTu0u@Re}IzaYqnbn(x6 z$uPmRWI;&#KtrcYI@MD3FE~Z@ER0qyoIFhn7(&ofO5`L~P>olm*VUGbd0xC*CXFJD zV=_99NgIffLfit&X?gDwZ12@>uuqb%@SIkI29p_p=iA!bgi7y#z`b+Z_T+U4{m9MF zxw6A}7CE4V@QHau%*WK1B4v&;Gp@$A;44)8nM}LDuKQa&FHJEmbY)Sth(=`ck#^1+6Z58xz)ANwbNj+$7qiq-^( z@ig11QDnEA?b2g1eD3Bup12d)$jaJ)_`zzr*m7kU%&kPF4yo@7EK(NE+Fb|8U_jNh zQ8kf`lZ&pADFw&6vj+D~(LX|hn?6|P7P}eJp)?*Kx}a?5h^bQ_vESRca;5|{htTR! z@sf0QYU9;LU3G~)vQ}7^;UwII|5eX@EhP)zTkPW|z9WJv$TC7>ik}dADdEvr@@?PPX$r$cM(iN53LjAF)UtPa z2mIFyTN6VZ92`S4brPdBrB3E1#`URr)zxVb`JptVe@D*&sbhoFsD2#z{OQ^hGaYV4 ziI1{1%^m&Muq`}Vop^y<%@Id~q6SMglowEKT=*?tF(uv^eNhoPnfd}zY!}mJL;Tn7 z50|cyl9K)w3t6Fhuq_bzi;M5q>}M4XQ8_bX#Ga1yib4bks4Idza!rpR>=b!Nin=-9an)J!x1AV9fOW zHIQU`E86l1bOpK(=EO{(?u){%3)+ghnyT#IUb?x?VF2me5v)v`Ur&wNUf=9G*;Ufj zZy_-8PX@`SStF4XQrHFw=#~Pz$V~!`(*<3PD}GxhA|r2kG;?RX?F-4wk+@N7a7nSd z4~D%MN69~9)+Hv1vopec6ff;BT;&bH=1 zrd`9}Bn_c$YT{=-W3azF2uO-oY9dKRClW6A!G5`P8#=0mhO%JhAxr*hf{~+`q_J6q zjf+1EiaRA?j=4 zHw<0dP;9OTG>i@u5s0fLnd)vSLnf+w{YiF`WoEF;Sy4%KST_MdsqjZihGZAk!;jKC zPBxofe7d`Jdext+PV9q&x!=e&^FIStX7@swhQ{bd6n9)Hh;@{1?M|wiwo6I5 z$gP8c4;#yi2w+EperQ!h=R`>aq9S8}Pag+FCMf#Xzt6=O9-0y9;N2BAxFe}!chCni zHoEd1HmP``d1qz_VVU^W$!3)8w;|Ipx$jZa)p3D)4WlrZCPGU;PEDVNpI})kOlW5o}jxcU=?;hr&O}Eq7 zN$0hhs~fPO*T&!J^Hu8^z@-*Wrh7KzHJ=RFTqnqI3g1^oFV~Iakxa}z<1?=f=KI2= zyxgI#261Du$I>&gsiN=miBzgC(uaRU?n&P{1-J*rPu7AvG9R3w;rPYPOl7@FE9l$(B_XUy#0}D{a*YT*GVsP;CQLHtgVpzdab78*+=}>bl^FrvC5_ZAwxTJjLzQ*szT7YC8Ca1j&y46ZKo?V!Klf{lH zOtDb=IKdFPgomIj9Z_9lqtukJ`Q?2aX-a~J(JvRZ<+|dmg8YJQf}YW?*hUTpx{#7z%G>t$NwJ9;$#KTBnmP~?$)uELP;7%{zQ6x!8Lf?8 zH=j?)8iAuKX6v;~mhDO~Y|&d6&uOPwrrwusA{l7}dbP(>VI$(!a|K=%4EzI+VIok> zO_UB{fv$Tr!|_mkGCI!{a*m(wuRl5OI^?gPD31ojtAXm{b14awYCe%HaJTGOeT!W@ zuLVb9JpAr&Z;uqatN_Gb_t(8WpR9StiOWUNjHBX2aIc_BDpQoFjr8#k&gjn)_pR>C z?0WC;!lWW>?))?p-oTH2zrJj4HGy9rbYr)L@{>$qh3;^FYI1>@#5A8lw=BTvO+zpNjTBfV;eY@xVGjZBqY81-(a=_h-8xnXD8!vfNW-$$aq=NnQJ`LugF-NWwF;=R4c`1A@xG+|K5mM(M7@b@AP-ehH z1AnHK)ChyZA%y6s!{CZ8END4*fVrQ-T%9!5EZ&Kvt?){%$jdH$2P^%pJ`4ECI+SHz zIhzGfK5Up#mj{xs4q!uwC3(=^Va)r2N zeJ!9!fzJnVW=lEcs5eG^;cpY0C;2fGv=gma(v-!S-6jK8SZAVlM!F{7stci9o!5M1 z9l*=^Czg5lpsKnsZ`YE|U&2(~KPld>fmbKE8U%>cOi>6~aUap1#%{&%)OK8CFT-Gy zi5H1t5nbNCG|exwVP=0`_9B{0ypy8OJFDq9LJSWd7yAI7aAuh$@>pb&etip`?k|IP`twR_a_+ z%uXfAbYC$nDx4ig^u8`~EAJ*BT>q3juAX3c1J-4#(c-eOq&0Jl-57_)8{`VU4N5sG&s;;X2O!|wi;6E3=QPP{>h$!BB%m}CWa5SViSRk>QjyGakRTA(KUwTP z91!x?f0&c!&F>CDTBuHvXYOP$VQ1F}rPL{Vyh>>>NA1c}W@}5f)3OG^R#e)yxKZXn z!5eD;6i#Qn2$}NST_Dt{Gb#m9?S(~&xjy_M6M#!#83o&40uMhDCxv}9$&XT=iwg}E zT_>3j?4h-!oj|MLNJ&~KnP{lhs8E*D!q|67|7BSUe6gw>09 zdbXLL4AvbA26;FtG?Pvt(wKfZdgo&)-{nyCuN{%I|K|Pr5C?Oi(s8`XqzNH0cELL%w}el%cg{~E?FFy;GtKh+!BVeD3G4I(;cP14%^V*PT;@5Xe=rYEz8W4YdCW=rq+;3k5$urRTqcmi((Q35*{wUjT#tvl z;O&K1Qc6v1JK)YSlgu%r_n=P*jciRj(%E4&+1D7E{yP-~4MoK%I}t9FTV~&acsywtQJTLNRnFaEXMVh)fb3dDs-<6ET!u_`Cl_@p{S&@^XR~7fslQf+zTg4EAL zi$qQ_7jm@%WJgaZ?9eU0k}%J9$PuuXB1Om=DC@wTCf>5en1!**CR?DrfDqRJZ%I5F z4{=DV`s+R25~>qGj$;nWEGDU^n<9`{aI0Hd2c8*hGkzh7j(1MMJxDH1YUiF|gA7<< zA)WDmTF4ZW3NIx0jw-XfrK#CBVndtM`>9pbIQ4t*8c6X;9lu=#pMIIcoj950$G~b; z-Gm;oK&O?WJbM9#G(?QHXvr&CGew*PZOR)mtWb#a>K#(!X0dH1)iP7JgNM~#?amj{h>iLR6Ge%?ZB5DnZ z`fe=QTurGa-fvl6QWFWI2^<|lQLlQ-F^>kN5jY7h6U`o!yo$+*8|rF8z3+>3Gx%u5qv7jEnRLM)_{!@84&maHGHJnjvloD^TKbaA7SE*Q; z#y8@DFIJoGAS=X$H)XXiu1Jm9ya!TaH19!~zBCPDp&o)AUOT|cIrJ#Wt#Ij(umj9O zm4IGIp>)h_t}Ok3>cv1+$`vW%jUD6ULD)Bie)=WwS@i0pK$Z}YOUT_f4JJLFp5p) zyJ%6ED@Ldi)a2=VM7)WW*6e6BY@r%2%O}IWv8R@}DO#$-TL@={6G3qY7Ey0&;EJD^ zXTxflIb{**3g-mv1*M=3Eb6!RtFpq;Ry$f)#+mStsCb+rGIGa%?etE?UYkKq^08Qr zLO->O{8h=u^tH<>PE<%}Z8peGvCKQGRM!B+iGNa87fs(eOU%3{uiLG5D!mTjcY)aw8siiFn@UGmam}%9XG|{)L-0!BH4shaw#=*p9erYi!4Q zCbfX+B=Z=7HBa%p_n;2bVbZ$3Dje%nR&xx;)t5it{LZe2z8}}mKOPwug${gp$)OWVRo=lIDRjM%#0 za3KfoB&#aZprJo<&2M$-UJT@E->*>ojsJ_YuMl=AhtNjz*t0|`fP?q0A0mZs&ySzp z{ie~|fRi*#wmZ1|@SS!J9yUUz1y-V;YejdP!)c0>!}g#lhJ( z`8vsB+Ys8TR(0(n-Fo+m0$r4uw8R`;ePKLh^chy~wgtlruzAve&iNIR+b8MD=Yw^r z2EQW=a7(qd0kjg7!_Rc%lDq2K8c0slyVo!cQ37_RSMQa@ zMubO;dE(GZPN+dAZtG zge@?bo-!rgI`gVekW$MoYx!Mv33#z)z(UghO&;L0QU_{zC4{ZraI;Pb=Fh4V`UM$v z2V+yuB_N@1J*>9FjM2SlC(;|zXX!$zEfrc%+6RFLK_u%vX1bHH5ExOfwx{#iC9rr1 z{Uyx=q7aITpDPbZemX}xjIDOF=I*3O6ci2qWQDK@9a*Y!P^msj8t|eWBrmc%giAne z2x4&uB>b_zG8D9GNt)}EP&O5aB^Q#L++%#E^V9{f(DGqrmMQ3rd{XS6@d74vJwvS; z)+#2!J-!M`+btz2E|r#&CCY+V4N!Q;bzkd3JT`R?;X#EvSMK$-GZqhNvzQ6HZkGKbE za~JoK;R~VNM;g0$TWzGnpOZMv5p6UvY>AsQs5KA)&k5D4a9>=Tc+S}k+b`+7%#_jk zd*xWn04q?(ga?34KE-HSD#X{UV~~q{+PP^(niHg&^z{h|Zj$bV&AErS00?#g7kjm# zhYrE=xwn0tpjv{}B0v`zRzvMcvNOqEDHfkiJQJ($4uyUabHJ{56J#dss0!#4t)oXq zI(sQF@}QIg9Il>y*dIwCcs{R2)4`nMf8d5`W6Rk8S^2*e7rc524IZywkfhV(`e$?G zT+#w^M&MHRNY=CLSjiYB9f)8P^?|9#ogp0kQ!o@^K(tTw$lA-`uwm=LTvbCtgk zOdws_0y4l9+5A8&7`2dB$ucgH*p9xh!=bV)Wh5#jP%}E;A~YAWUfv2v;znN)=WI9c zd=_TjDO)frAjFPtv}RK5<*p5C$m4p_*^C4No($4dE^&JO7u4EjXMm(=1)VN9ybCK*^U<6Z|b z=##!C!Z^+urR<`EChLlZm!GB8X%niDYhQG#qKSx$``dt|# zT$Y1me3J};*G{@MEDS6reowX7V#uMSj|X-qW4en5kWz##{wyFyzC?|%>NN-m7AKH1 zao6A*MwJzK%_+W9yX!TcL8UFM+X8CcN8JU|ud-P6O(Jv^@LN4&aIrI`h!4e<2;*?r zuuo>BDPO@iS2K;JT*~hlrReO2fw@SOE4JNNw(p>Y;ge0Gf>8?-{58rTlf(%fX!uE* zCJGqAU^CnYQvfo!iG!ketnC_(s(kH%m$m{e(tYS-m|R@?bS%0?P%bO<-LyNqJUH2k zi{a>(t~UJyst$})r0{C8Q==yw8vKMr`+K{Yy*p=W$|s8AAy(;o?J7f4^o1lE9RGxz zEp0cSd}h2vNke7eHAiklAH8+S6%oM6ur zLt@m8KoRAMOr<&c4Uh4O!loIepUtpcTrHW4m71EGOr&eEs0U*&efsIYl;pO^3Fl~QnXNCYp zi3<->*OD`mKsaan-x)Us7o$A0n)K8%w}(dRwi5hCey^v}J8xjHs2tcQ`9^vVYJBTh z5a^uW8+p@^d_&dmi^wu1S%N>$<4W>sNGx?8IaEympu3DrRfpX>>t zRb`&zAaF69{+7dO^bAc)AnPbc)rL%H5|K6|pYFyYuyw>yU<=~9<@V0{s;2O#>gzP= zY;IL~0%_t3PDC@2+~~)1VLaXxZT6{`&*2kvOS6-Y?26gg=5_ZUTX0A4giQ}of^XOX zNQTb+EQy*E_Wx}O(Qp2fLJ19&{KlL}B`-ER&t!YIT~Fk>2S?DKz}$iJuj|hDnzq!Kn78>_&S8ec)yGarz%d2?Fk>#4>VZo-jGGFpk2sd+3!6MN?3Bn0 z8ODbykzI!^?hNZqO{!^n6(n=)&38|{1OsJEUOA51OkeQl=5@eC2pPu7-Amm}mmyrC z^B0S^@Sko$gKVdm<5W}l)%m{P;1t6UF;LfnUN?jzD2hKL)s1$$u0MtKVkqh)^a*1t4ss}j7fctfY zuS3YDv%<#}?3ecBdD+&md8{vxS~bU&mJtVZLa|2H2B3fq9Vi&<;;j;0?^Ti}n`FCk z`REfj$;KbzfIo)Xf^@>;crU>KemO165<1s+eTSv|vTWwZ+wcp}h$H|#ILZgair4Ia zrVLZw$Ix_B8bqP7J{U`XteG-LWe#|$nBB&h!E=ujo;~DUR7`~T%@GITN~Z8<%^Cgj zuGtyzDO8M-1W(Z$%@*hboTWq;Gt%wAbfG1gOV_M zmm%%s=4{X2vEvS?WsWc4zbDHuGns^oK;k;DW>(G;EWBlo^QrUlVZi$*{5Hu9A}I9o~Da1Ao6W?uX?yhN5{Dr^Z};mwh|W>pmA&%Gat? zdX|gjtoq-s%pW+2V2Py>XxpEBec!ln0p+5DSUl2_aq zGZ}#IHgW;N%7RXnNLc=NbBVF3MpD4@s795SyEz7?O)>p_M$3xLB=xzMUa4}$?t z>}~y@ktI`?e)@yVV@m4W!992obnX@U<$dQM!yT&fO z(3mg?S{JK6bMl!4+etAx+B0l8nVhY;r6s@-LiG>uGxl!DEazN;{|VZpwva4rAv$m? z9Q!%ZO(EzHy1^$<=voZM#mj&^8Cr-&!{IM$jBHt9;Tgu3NTP9z*Sgfb+D~#+P&)~# zz6NE%GZ73xs!t-imX+n4&*0wlxMC8hnl)L1(`t^-7s$P8H#iXxd){7AYS^Ovya`~q zopQ%#nyEMb+yHK%2z+xTlzSN=WI}QaHwHxsvM^bXUt8FWfF9sF1tr0$qTtgyLIDrc zd2r3LozSjy;C7^QUsk1wwVEdz%&!KPxTXXE3=LMNIo z|I9E0h{J|O3F#aI9bkgvT(D4UkRPw+u8jIIo|~~MQI#(LmeY)S-#m2BvMZ;^uyZD_ z*?9Nkqt{Oxh09h`j&mYNs=G^bQDvs@HQ#OT>^|$eYI%BNKommPG|y*^mK%rdC1^)_ z7C0!5b+05#ZRk@ud~333lqjQgRhMRk1qst8u5GbMxN22-LCd`s~JI-kAh3?;IV2VZaUBJtQ zfL^%(pF)f>YApD<|HdJiq_?JBVkso?7r`$Y`6iRr^+GPKCJU5*0p&7EF&KHnIIn9T z?%4x7OP51uBP%cyVHTTioEnB}dT)5Q2ic#bc`u0BF`Y+b1gbN{8)-DeGfNW}PS-JK z?c^1I7wBt+J$mN(S4f$6V9$CE^v5`}wS0tKoG^3P)tIT{rAwG$VQKI;5n->;@E5t^iY8nY1@5%kv|F41)} z=Sh5IT=%eaEfko+<`3CzF+xfO=k-v#?oaf6So#uW=l9rtGOA5&>8|Q-z$|sx2{vWI zc`lkkoF@KF}?JSkBexT+T@Ud*Tk3|`veqAl_gq@k;8 zMXzySTn?avLXu?VT(sc4wilc=ZAo9_EeR0U8K}WtWm?9=js`)Bh-_qF=!p|4e zAHhN8IXhU)Oq&^F+=6N$Qf624C4>)toGw|rfZr14c{7c-e}_fMTdHbE?l^Ou6ZW9- z#tct<5MbhOQ2lkzI+l_R@vOY90V2Jt zwdfods(_YPbOI|+&qu@+c-;wX?~)0_E7Eq45{oxWS_2}<8U*f_l8$N#|BQ~IJ++S;( zrQqVlmxY_&KhJqHLcbA^SREFON&3pLXooUvxN`YZX+_Vgg-)evswWNgb$Y`kI*|p% zTK9HOx9TTSCUd-(^xTXPV#++2W9y=A;F^WZ5z2EIh(jfHa`8I5tPVf=skjFL=)CLN z8>O3%XL8DlL>Ugg2lSV+|YHOk~z`D`qtE`Vgu*vf!4whpNs z;cVcGnw>QyVI^5`_!BqR=eNJks8e5<^m;U&%!Kd4gkxAxgw6 zKyZ22M0A%|EXe{PKc|W(G>47p_c$bzH~8o1G}@hQO`Ya}b^g%G2A~U7$)2Mvjr3T+ z1`40kDWd&DSVT)N4tE2BHyA)9A}w3LR2%H+BBdT3WCzFWaN5DN5_Q?JX2?X39?>{l zEX@RI11_yoS8@%k4%$SpvwXiWLB1fA<5>3vKBbN+w8HXX(-tQsmvnxKWkII+By@~r zJl$M)AbrAPljKjnXNF&Lcdp$`&?QGVOipi)i(#`F_uWso_Qe`pxB%>>+7mdpm`=ea9 zN_8I0kub!{mXb54j2%duLyAvY#6sBh_n5!tfM}^mJ6p|4aa}r#9DM*!d)p7O5_IQZ z(?T;c4SiWER)rD!5ARTSZw)Udx!;8SkcA#HOL>lChQHuXOe*IDumPvc?xE+3Ysxon zp*mHf*c(BWXi&dd(U1r7OxCUhpVS%$Ei4bmx%3Sfd$)9_;4`c+^^NLWBfr$ae%Rab z9Sd|yi@D)Jo=)CLlnY5>dbZram1)rqBF(sAh~X5Yvx6GP?kY+7%yWy&I?h0tj>VFN z9pW_SaS2@9Iv(t+$QBP=KiX+uo$*?LI-yKv1dosM-76{W*mYC6i<@}LTz5Ry>-zG+p zS&g!0C(tRx@SMrDr1xuDu@o8BCD|fTPm{K8pc`UmGLg-WezRs4 z5~>i64TZ*8nOwe$rgf7VKZ1ieiEME$Oall0BTiu0XCj>=>Dy>a~S}#r`P?q^6Q)M-aJaza^r0ND~ zvo4bihJ;71G)+;i(m?XBGe=>X409BeX=qxgxlO#lWIYd6Ry&7t;P(v_aR!zrewPX7gd4KZz(2EpZngtW$0VlAI*sPw=p%uSxt!4^^3@FYmT@FKI( z8e@Dcx+2yj?x)v8tXf&pM=sx*nt5n8lB`52!m9gL)}1lvzm(*1CBrFPj9q2>Q)V64 ziED2hZYKTe=18Urel5F%(1;EUT#i~^11cG-Q)(4B`qx;Avc9hMJ#l!AhLcLI6=T_; z2@Dg-`q<`7AW7qp;o;EfP^i+&9r`}&n?mMuz7|JbWETd}`f1KZBW@w70SY>0NJ!4B z9yhK27m$RQvh%B@rW3LJ&{gCkcMowaR(g)!z&ifMy;GAYt6go+;iqURaH1nznhp`! zkJ>3L35@-8b%89L_3>a_Lv9$cVk~s3X9$2L@p!4NcP0gVTmSsq|9o?`+TNZ0^KXBT zTP^7Kv{l4-XZ0Z&vhyu?(2RvS;`_dwS}gks1cKy@N#`0en53;V0e&qED2mrUk{-7cjypXM8^m&1hq#cxi3am>U6Nnvfi@7 z2KW=gjEr6d%pYknsh`+2CGJF#wav0kz9S%}>l{y%TT@0oqGhFH z3gdMg&v;6;MEdsU%ap8wU73TVfvMmq(};&jTB{I)LFV^XTNQhsdA0GPQXOjRn`jTF ztS4M{Bo7)pou8oPS+c9PZ(&mo0pLwf$8~M=mCc1*8L;>yym|csYEdVPYuZT8$~T8B zwgn3a5gFta@TYONb&c^5n(Sd#vHj43BvlkdPCG}~tX{HO0qC5by8EnXUgRbon@KCk zD_iD9^yHgsQ9px<1E+w7$%Qpc)$;OSJUw09Os~=I`nxlf69Y%tJfpE}M%(Xgr|mr~;1+Eou;p0@BExYs&o z&HnwKx4vJmp>P_#X5xLRNkUr#T}~8lKOd~RP2?ZDc4Zs4K^&|**jaHfkO*B-+ZJBq z9x|d*3!MA~X%N64#cd39vKnhonJ{LWSjm9pTFtFx-i2%f8pk4hs&;@(VLy(%>3mo5 z8EQ0GP`Qau^{}mbv5#}vYWe)jgP+cj41m}r_?ZBHxRaJDrmiVs{DrN3sBg@#SAC!7 zVJjK8I|GXiG|n`u?!`_xMLRliB#ijP(<18j14e-x;H{2n{UL9|v9t&bfYZ8`2ZAr- zc#?ER?04|#e1G{(UPHL|Z+{_*91Fy9jp@+{lM{*wNHb9cUMYTN+obS$!+0=EFLAF0 z`K4r7^u8LvZk8Br{pg|l;^kK~dFstFQ6PSh+{GsT*7Y+x4WZZtRzXnB$ry^iOd3f> z60Q$#k~Vd~mcm$Q{U+@dY-6xESF(x2?_y+NfRoo$#9Np>669C9bYpDz-!)E8P&`>E4rXQxU~slF4TR+E`;=J(Cj#r)uSyEt?`+a9L0xO;+} z*4@wq9wqMtr(A$^{6iyRujBje$pKn}S{#;L;O?&J^aR=*=@^cU$B)w8Z>J1U=sxNM zrlyOBsC}EAfUnLHrjTWpT%yM@5El>4`P)|VRjoAJXNe9sqdeirp}JOgL>gWNJf~9k z)<5y>Sk@)kEZxck4>L{BGe0ExKHtJ}Z!IRTkdvkL+Y|sp`lYuAgS`yD zovYmQOuF~zL0C+_+TZ_n``bBW&8%`*6J}&p$yE)EQDVc*mOFvfU21=4&<9Ao6J`m58O`q4sC!fSx57o38oQPdu zU2tsX!fkQMlYF?CzhlcU$$%^K_fC`67`wd!GE^G44S@KtC|%wqI z`>PeJu1>5X?8(Jj;2bNmZlu;Kw+jNh3^4cEiHF3~?Yy-|yy6(8ip$f!BOPcS^5#sY z)@+6Mpc)akAf< z8wum<#I}eBVJ%(9B6H+8|0$urf*6H}Si%IQ9^_V8hTRL9AAsnyxBbogX?sV!Aj!UT zG6yY&&Hb{M< zX|hGJdz71EgO(1cP}E<^LnOtu7B+Pb*xsLCAb;@J=@EhA-k}MT>Rj6(tF9r4?RhyH zy6=$GJ1^2A_6b|hp1$0>m-&(@>XBxzW#8=q#l=O1w9e5KKsH5q5Wt6ng05>8n4)*tuO&}a z$yxJTx4~|K{5m!XzyAO>6F{)q;jYyr*=&KjN8%q}QPNWOqHSwwcIB=|Nlt%s+o!thi$LG@Ioaj)Pkht zxQvc9$z8SGA&FDCBGeX6Zs6 zhBjgB`zkK9lzZt$Own#B<$OD3?@Y%bL^c_hfk`L(yQTJydx>f<`&!su=Ac?fzm&U& z`CcHgfF4M&aT}B>>twXKyo`hJg@R^(fCnOA*7-&iKi6N<} zrYQA~M@M_n!e#3B2A!>qv*FZooU-;YJvr zRJ}_i8tI?lhizAgXE39B6 z3Zyu{NT?s3|MlSL9Fh0^$>)pta=DFM<#c=RXmN&~kcP)3CcYKv2V2?NviA#AgV#c_FOOIPmBi zfZBVYzxdquI8BJ2j#k_IIDZ)KqWlJ?!2ZrYx{2JM{1?=0^%?yC+o0!Becn2ce2$|z zm0v)5w!fo-#2zuXJX{7W?laQFCM3VMWsD8U7hLZjKZ+66b+5%Oj5BA^rPMiPQ`=Q` z6004kfqp)ppEI(}d!_Cznb5{3E4=Oy62tTnu~L}#Jy1Zo4aHkKU9GUEF5a)(OmNo} z7*1&>x1HJ8n$>22s&Ny&@7lg@dUI!^{HFJ&s)ggXDvQs{HGxoE+V3&D4A?_60;C|3 z&-+FYgcN9G=pU96EPwR?Id6NCZ^o7>{4S!#<#z^%2mZ=a5Wj%i0no(JV8X7nnjAAA zQ7YA`LL%*$kLp0GObVb>(_NBXg@uAIrF#4nG?3+Fe@^Ob4tBiF@iatd35!JvM_Iv<_o3-u=^frZ(bcx*%ssuB14IFMZe^Wj z6uYDECgftN##}&4`|xZ!J3F}8o}Wnf)w84NWb4^{?;e`4T6?y9xN&RPK!{<&9|Jb^ z%@tf6$F6QAT-zZ8?7E-yY?UL71w|MLT&0m`WcNR7W`I`FKrJ*mTh(pC6W3-Gw zz{+R~yVe)7TB0M1rW`yz3GSQTIel{Ef9$F#n~ zNt%?lJjZoa#v-T`GQKsxQWX2-JYhXa6Gy(#h$*~1WCNOjEQs79cVL}DlfMJ8w(_|2 z1l&cxl7dDkKDBDlgqe=EQPk5l}c#J zSHe8Q98wGl&KZQ@vGWh4#sY%`gA8XF*e$VVx>)h}+4FCH!lDA-2@nn)l>!!Ddx*DgL5K5aYYlWSl-f@xG8EfSehdyAL32X) zY)-`oKLfBO1veCmJsul+tiDhDM1Xr8ymo*x5#91Byme>VNE0vpLLysuDad9?O~%&i zDS6KGStl)?OhS`kN_XIMZ6=(|*sxD1ngq{5TOhp11DU!N)%{0ZQw^0N7Wxs?*w0XK z1GRDO9shK1ce2HQ?Z3Fk_+)Jd*R(KgpJoNg61PjADGnP!@4VHd?U{LbVrK}3P3Qz* z`=P*6WKvSMd+uPY2w-ZQ(%DqVH5!1TM-v9UNrNs4GyoScrvYp+&8gf9+jahf`Jf5> zfSm`~{zLjPc>ue+>s^32B_Qh^l%=UY2$ll9SVgf!?YUl9*nmRoHzEY@;(a6p)vs|r zRNeAOqL=8~vdGfNHPvaZ6g^JtupE>u2Ey9C+{Vk&Ls(OKQQ<6-PeBUKucu&Mbj8?o zzjYw`?#Kwladas}Rd>@JiK-2r&u5OsIkt{LQI1K&-CXlVchR)W&@uMiJ6D(%YP6p1#4kTq@^UmEKt0yy6HDGufiva89k8>V~i>;PG zlV8MNGQ|2dya4hMjvh_)V7&{RTAL}#sZ8pYavjSr0cGyH^kW zMW=*IkHRZDNB}M(D2|0Tksx+rU%MvaJ`HtJCZSIj5k)Ldz`K-g1B z1MS{seSMOZ*=erIG+Qju(z1ovCt(35hoY{dImxWLMC6s#mdXs7(01CT;(D&{-kOKm z+`)i357__v@l_Gk`iJ&jdjVzBAtx392xj|{jMcG;Ts;+ zcNG4%JKt$pjFCHzgn?nk=1jQlwctzRkQ5X>`op->7bmpkRD>F+OjPI_;N8l5wbs&> zGK5$XwPe^pr7Dm^hT!0mPHWY8?11zeKpU_WSJ$(1K&K|}OUH4-a&MxkqPY&I4(CRi z#t-n~2I916_7Ki1e;@IyW-2&^wC`uLYxps;uvPugSXrq}S!1!@NcA}5c7pW6d*y9j z;psYSl&2vAd1= zzs%rTju^Hev(CfhHXpQaPf#K8GuczJ>kay~(q92zoC5lYty}oBfZxkXjo5tH5Sw*> z(@P-8%%?j*E2-39O%V2AqSHyQA`pB?-^1wi=|r%kI&9!{PgPWt@@iI+f=+63MGvdZQY6S)OQD_(?$sD?-l&k~o zg}_ODi`_-;BHdX{LnyONG`^R-KGMadFkIPRimJ!^(mO~(gDldV^aqjwCgM(KtYdCF zHqqUrBaEr^eGUBhJ*l=rXMh=D5i~u7G@?0p$$<@%LKoh@7jl0VN+$#PIk_EthzISM zI6OzA4Oee7KLq<$W+s)#%kW2vu+uj*x1^V3wy9;+wd5?Q{hlzu)&nTUh2iq z%@v_8&FD&2aMyI7Q|i*_{k<(mNE2XJ8`m;a4X#m2#T-SqeAsq~U$p z4-q3IP{GET*_a?CdnjNCsVJ$q*qTwR2SOKXENhD#-tEsk4XSVjJIZ;>X=KcRedZ=1 zQl!$2xqki=Brs90s~dYT5Bg%NO)o5CiN&HZwVpQ2l2L$JmD1tHv$Vu~6y{Mjh};4J z1i3tNuUPItsav@Hg$Si;d{ISE{E~V?%`?J`!5@)HBWC>ZhaWe&_d8@L0y*yQOf;Pp8;GE(GV^e>!F7KRGF!>MxMCJJ!S?MEsr8RDfF{H;lrzF=0wh zNg&?vN?JMk-HdZljYBR}UZ6T-g|r}R?0j}%oT|?*B0tEaSs5Zf6*x zV0xxx%yObU`DI0Z-`D4`a|IKOBo_c~<-HHMh;B9bxO7AJR>Jc%#feMHH2#|P zWHMU|eL_b{ZdZP|zm`1&|KKA)@Jdv%TV;257pVl5PDBH41g##pc!DAWO`!Ppi-%DJs?5mcdOMfv*4Aj3T_ZKi~f2 zH>`duSBnve!oduzVsmh+cteg!ah`{J1vbZ%ab%P3ZGV1>;!;d24JVL5NmsJmiJKME zpT13eT?v`@CNyCD84mP%QcfV%@EqEU=rNhkj7QvL6fYUAgWI^XQ(1F&j(@{^HV535 zuvF7HIAX%=+M8^_h1RyIq*N10bToUHBw0EOzVR8Oi+ zIVOO%fgV^%q+ZD6b!5O=T+(#k5Vxj{sX`X3+#$HXW`VwY{(2wO(igiRmljx`#&$D< z1=rD9H&*!^ZQSdvq})y^WO=YN4xPq?Ua>QQB+3_T>|l6a8jR2ooA;;NnZN9*u*}ae zId0cAV`G|{l$DxnrF$HW|A0||4Su~4ZlDl{N)`f+sS;5&b!(G@4anhG+TbnfND;6+ z#T-wUU`7zLXI@(PS^616-$9Vqc%t(V?Vb`qwnDWhTbebX)}v3gC8t=f-0|?O?7gu& zB#?d?`bkRX(QQc{vr%N>b)-|CiJAyGG~))h#K^!p(mU`VG0j5i!vbv8rt%&-9p#ne z`m9q*-m}|?4r+_?<$e7y^Q0c%fhQeHnaFkz#7w%*CvQfD;^I77oO2nuc$FLL5@G~9 zTGuu+ED3?ArhL|OQUIu!ubs!xcA7y&MtEo3w6#+&m}SAGvzI^c?=$(l-H`S4R4pg% zjFb@Y!6O6?hyx!#&g+I~=`IZS1`>6j8c2?)(?Ji`-A#dln|Kk!bVceqiZw`41#gBy zBV0Uu3)Geek9fu2yCdN{=x3jASN9%-u-_h_9E937pxC}(VI@Em=481;xQOZf9o;AVc*X%i!PeUg_zIIjxTAz`y3n?&22I`dL0C2TLn z*jFxC@HM+@0w|OpHW|b374;q2FSTIw+qyJSJugC$|H6f^mj8!=H^B-iY!W-c1QxfB zmuCi)aPQm<==FjqjgYYLrjU@N=ux7A2ymCAb3tIEp`Ar%jN6o+fWITSNMhL~*Nngv zL9y?T`Ze-}7m6z|bcG%bDl8OC%mQ~=U6c2rs%s|mHcq0!_k~HORBnh8TZF=3l2GTq z%8`Rgk;{Pjb8|^F$JuOJzbn_&CVbQe2B-|oi^zzGH6Djr#drJjHRb*kk28|E+Wa&{ z4ijQ{|HCzkW>@0w*Atb>NU~TUQx(z=6Dm<4nu}b`CR?+yt=KHy$p}c+$(q9|pdxLo ziUBu#V*nm(%gq~kFYr>y;s9UZD50h6l!HVLVvX@wGvX%8 zrADbrPq8IE9D9+sGHnuMRyMF(0`Uo?lep}e!!8}Scm=rmC64k6vB$n}dd8aoygXY8 z7ktHs>u-q3^x^O^<69E^kbji`Ha%B3kW7mBkj>Y^oXE!SG6UYt)fn)VEJ2CH;k5t#W zhCS$KnKl!&yVaISegfa}=8~4-;4Mh!CcvPi5f)92)Y$~uQ|Y66Bluk$`*+$?VT}da zi7o8!;Yr+|SP5DOtx%8g_wiZ6=1R^r-)RkPcFotNGlc@c($IH+vh)mNXXI>`C9W!Y zs&qH#*=CR5;0=^wAX` z3Xofk5*3ujFacu*Y1j*l2ysU)m-cv4DJ+yyU?W5{B)Ajshfgg>nxIV5)3oA+K7lNx z=37y3;wr_)?0QfSWN8k#hVJ?4@#GIkzEZJft0cSqh2?JL5*Jp3W-#0acsMDnr)H-i z?FMphA}wql;B#j_KqRigox%vDv|3LQ5m&{E$dmg#fq(13XvFDOe0mqRVx;sZ5+Vbq z5tA;!ONHpddC;jy#niu_O&}>Up~%?%)@O9RWmr^S)Hh740|Q7%mr6@Wr<5o;#8A>G z(wzd*0s?}hba&^_NQofQ-HnJafTX1F9{k_W{k+$EyBJa^b0T;%+9T(EJX@sqIdt9V3yDLG=}VnQi#Dir~HCYX5ho6`PBNtFFm_C zWQ{ewF0toDq8}Ys97WpFmmfvMw=OAU3f!ysp?rthfgFIK$tGCVrL z+=93N^ur-GE@^27e`kh%VA8%wtaIRn&>0DnXf-BazbPaTahuKdQQxn2Od;k`s}!o* z>s4ZMCTgisQYT|Jenf;T^h>>*T+97S{k)D6iNm+EKlc~7uM@hed$NeWBx48^;ssB? zyqnqIzYehlZOP=gb?k#NW(A^fi)OP9|FTo(a=4 zB>lJ8B>JO?AlX|fnBSZeZ>0`OjbD+xz=@K7A;~0oVBJOS_-xx}$4u_4n`=AcMxFKO z*6Q2IK{UQ=PJA_H;!U1ANf84EDIetsC1oh0+(l_G5#w*}<-gPS+LoTos;}OCgrz?c zajW6+gLi^El$=+T>T<>j8U@(T6^?VTK9zs3qs4tDR4wwLbV!ax<=e*Vft z|Ma{PoR(|j>K(si!;?BrU!mKa6{!*6W%)s)k1O=eIqr4%WZ1ohMtbb<5iD&Lbv^Kx zCR25#Hpw4FcnfcbIj}LJ8q_z#}W#@{N{AX>qj7fs|p>hjbx>q$*f zkpD*56WG9GdiCb9c1=)`egx?>mj1D}*ybiJ#SA%(Ikqmjfxc+eez3GnCxx8z&#r?be zdRwLKIVsDf=p5eKqTK{uls4*h^BhI87&bnhYW0TS?${NkW0*TSA|J(zmB08RWxG4A zNo0}dGqh;YawwFSQWk6d!;fQreI*b7qqs?#MB0QcEz@I>M-)d))9BqVg&M=(9BQr1 z{c*1q*L^lsQcP|B`wsPQMUK|_ofLmMT7Ro>9$IUq$KL5yd8B? zma{R8uTHih_u5YZ{&pYTwrl&0`FIrt6ijp5kOfggz6Yr@ayV0Z&=y)o^U)X8*`%+Y%@0rS_1dkF#Dy|38^3cM z&-bJJwIals_9Toq%C7__Z{PoN{OM@0Zb`=1x7?lB)aSPVd|6JJMp)j8TO~Y;h*0oy1n}-arbyI9&67t!Ex<1je$v@Z=I;H0E=ggMukAL1WP$I$CJW#Io6&ln0 zrp{(Xw*7J6xAwUl<*POJ4FfVdVT!8#4Fyi8qDGdj=eJHq2aX_*^vZ%c?RY!T)uc-L z0vq{_i!He>FC5x1%U+AV2)kV9Dc?_)&Y|5cuw6W7-ys_`QBgCI*6w}I6?$U!zWCmx z^;tSyp8j0>W$f)cWupz0Ke{PYQ@StO^tsGr==iVRqk9jJJ-#B3*}p{=f%C=jka_Dg z>*O?{=Gi#kRa}sItA9Ji+G^D}R!o1m>tV*3?O6C6`#7GQxbUaeng8_Z2DqM`+}U0$y5jn- zx@H7ydfG^8>fStbz{o#)j$hYYAKxe_-y#9dXDIfu?!}o&3vb_0POF-aNVTZet&lDT zj^TLBj#$2P>T9KYj(nZmd8iKA*%>|e)otNfxr(XNaAT8 z+O7mGqQehUwvP1%hTgpHaPm^AV@5N7BD4N5;mxSFX&&eHY>Mz10UyuV+F$Tl?*H!x zNhikRsfMM{(1I{A{{Oz*%k%Hcy=vh(+=M+#1iPZ|TBZsSqYB9C9d)~<$Thn?;jcO} z5z!Cr^dc{I1?49=N$@SJCu6nWgq24m*Zgw9!W7qB?C5j2v)x@n-PpC+S(S0+1>!rwm z={c^E3_%Lc!Os ze+%j0@{qmwx+pN!;YktloyAajknYz}M7WGC1D2cjMa{uMA2iV8U8#RUuLkC-v8;N- z9^`9idaJm>p)EICLzUNxBze`M4&!qU*cl0K#D0}=$n*sB3tom{H1PdX$ooJ(<<9X5 z0pb`u!b;4C3IS&;4x`p+qVIZ2ZYjv$!kfN}*?Qr7=ga9D-T(FN(X@r~hmFy>MzTL| zO+Wdak`$B^+i8ZyjoTw#V2lR4vkk@tKa#5EC7c4?EGxCzU^;D z+x0QsP}}7iSKHr{`oEWZ5?9EfwnuH3TYKQc?0^4wU9|a%`ksybH8^Rz{B8gD;;;DM z^HYiIbGpBO4!P+5T3>CPE?vLRU&=;qj70uzrMcSNqief5A6oLgIR2;|u3}qd9PT@H zkG<}VRX9}dtz|fk-rK2rJwx}}>Uw>H+Xh4aQjo1?v^h(bg=8eG<*Itl*}lclTfwT^ z#`@`b<+Z)Cd1rnL%X9A4TMRD~jM_Sh5ZynEds8zbt)2n62F+aD>iSC^e|GQLEvX5e zO-^Q9J{I$E$Pzxm{(5@Uq`o0aKJcyHB?Z=sni57$C7pq(@k_@8V?JhI_SCo5+bY)r zsEHR>V50W=-vrmci6>%bi?8$e&M+P@esL%7Prb~kd?^;p{%m{2T#lWq&6uyC@~wtO z4*!XEr7LL(8yD5%&I@YcTa(>EszjeBh3=S8gba(8rTXFO2xE3w$*{bis?VFc z|Drj?^$nS4LHrnDlfE#4qog|-mv@1ahv8@F872oakJ=iGQJZOtrtYO{Ykq|#kfOU_Tz<3(e0OfFm&)kpK4iyRy2|Gpd9zp=WCk-&KhPjB&EgxHl>)46>}NNA=o| z2;Er;3Fs>x6-CCx7{|xGLswQPCk=}D`sAG%O&QyAZB1u(Jn6k#E({tZZpx%}FG3iO zV4?-QE{)D2Ykr*X!aB=~It8}5-z{2hx&(8&!_29NgH+X~`8B7_Xo81DX;KG=H#)XH zU^Wr5L7MX+bERE`o&|wp6is46X()bQ=QQPuPW)RNGiV&|l0H*bPU;%@^;;O9mbrt- z!?X)d0{Kk}S3~w+)Df|SUw`4jLUNs#HW;?Vat5ts({db%I(5=Iw&GlNo5dK@%*Q>- z3Z402(&Qz)LTNFB-U$V{haW`jv0bliA|9A*APl%>nI*V;ZcD5^8NfW$Qk%BesW7dH z)FO2d5oR3eV-1~j=WNGqDa)<|vN0*GTy{|(_4Yr0R&ynK-bAQS;V>XNZzy9Qr!@pE z-3xuEU7a1HR~$1Sl8V-?k6_UF-%Z@F4KSNp4hg7?|KG#% z=9LN}fx*cxi|k&2nW+;qnjkb7&_u11NZ`amQ0xD4vgz`Sy?_@*L(l>|$aZqY;Ah${ zN<%;)r2_BzXx&s!D+fgI(0y3qGgv#=+TbTzRMK1Klb7yVhcecCN6RjY9erDPU{E&g zR3q)5ordJ{>M*8xp;#F7Djo#C&vN&a6A9EDZLFUqg#5Z}{5x#4=vmvf7xYW&&IQ)? z!S6wxH}muCL{t&6@s5wG)*s4;dMjvkKAT|GkTpHkFimk4q8pYUB^roH;N|hsFcqM@ z5FIJaq3;bPj_prPGIkp~FT8Eb2MZv_Lt){mo!g#?K12IIjOQ(eRwD;ooX`8$QLC zLvp)n(eoCm4^MQQMl7Sh1V15@-=P>0XVY7?NX2@*NR%^nKNRZiq&(ujUpH2iJ^j3R z8rTACxmMw2&I=;1XH_4=UOr!2hkYQWO4HJ^;Q?E+oV@Vxo~P_V{4j6$xkfXmP;~L| zP}FsWVYjr(7c)Avl&YTp1vB(A? zkBBW2*OGLJ$)@4?o{`cXb>gJ;aQ~BnaSc8*wvhY+{t0W4s70L`3E%$ViOj~ErBQtM z`uE|^>81i3F7WihP;Z? zZ|uoVUpvIx$$QwHdybxM)kCGb=0%83x74IC|36svm?<6nSmh}!lh|e;k8B})gbO-?4Kn`gJIN$dTg?v2P>@uUlL5C5@bMq+% ztl*A5PFq!ruCz#1DyVvwH5O>(7n8(@H?RxSaP$4>aynJoB|0KnW-u`LF~szz^VRYc zuTU;-_5sFG^k+2NNfW}>v2%vd2s3#b@=Tab(OX5 zv_)B&y9k7>QLdZwl+hjZj5-pfrPWYfada-{RQu{@BUJXeKgw(^OcKBxcigU`BvQVb zAPtIk?k9Y7p`!TV$kIC3NBYEQ8rg>cbxIv71=%kNA2qtW#PIXn^%@5Yf&$zI-6_K9eIA?_X2(talx$ecqgZ^`V%Hj`T&FuDPYX zF~Q?rub|bw3^(oJa?6hr5s`GNpFV~)7?sti;vF&Ic!b)s^Vn9wwmsmQIzNf?~c(^SL1dv-k-aJ$qRn-~HyF{L|u($}*=i6uTZpEOK@KhEb3kj=z*@_LxA7(<}ZBs2=ZM zo52q&iM#*PO%rw(-#R|4y2$Vv+qNjFC(94)a=XdEU3oq!?N~jK^9uKuI`2mrbn$yu zBd$byo4E$W?g|x(`+1B7TtOb>kcKk#%y$drom|-_3s|`QBbStM@Wgw8CShv^hPd7D zkq4RL-7j@9+%;}9E*Vi#kAaU6V#ucv&&gI4Bq}Kye?)O*Td6cfZ@_XX5`m04f!pLW z?%%K_@Fw3nij%}c=@!ly8>7n4J;!9m)YRSjp)O%)8aq?9LMDAgy zwOHy!4%!Da)lyFk0$sEX7A-KREMI4jx*wgo=jApCpIJWsSs=8yM0&;$zLVVmzbs%( zgatLnTpQA)MU2s6C9s1(p~b#g;%9nnHQ{S>;kqC7cAaXvw-s4dc5C5~Z!|jNIcfu~~p0W5CZbnOifDN0I;7 zMGqF80uViMHV}OXhLcZ1ZHS#V6E{ND)Awc~Hv3*+7_ftKhlm$}GdTt)Q}C8TMsn4| z#u(z9?3&*O=!gW7+Us+`f4j!5zsSxJ6Hk_ka?mWQ72hn5|@LLj_SqG zM)&&|b3J;+GJTg5yf&ZUq|u*@KVd~88rMyqj*|Cb zm*^E_JPLIZ%XRWWGtzF#^Q^7qs(G^{kJ}_Mg{{`4s|92|r52ye8$R+=0XwmmugGvn z#?R&&egK9Gy><(WBUe+z4}}~$)CJDvlfE)dpgAC6v0{zRE}#6yo;W!p6leHYu#6m& zdK}Ec8wwfUC>;_%y7dfDr0OZVQ2P?E30!O-lnAW&B0`1hXLAlYD2h>G$V#^gHr>rG{9n9=VwHfb!m(W6`W`qU6oV^&w8|81s(RT1=(+pJU$s))CIE z>`$qrq(4?j(Cd}0KlgHe>~jW+_ftAdNV~ApafQ5QOzhc^Bv8f5R^SJDe3K z@J%j6J&z|F*DmFgceFwJCr2GJ1#E@m#+C+nwuWEiY(x1rg^$6io2x-$18LoOJ@#WY zCj+A$Ru2rcdS%@DUe3J&2OTd1cHfj1J}nI;^K14kp+y71@_wr+Qsj@J*aSbJfr>${ z$hbw*C|MkNM66VED-Yw$cN4YnELq?+I=|VAm?o@unAo!9l`&OkxO`5QfML`thZpp6 zs+0ryMQ~MVaS6P;E|fu zN0rv)wy=1U?*NVrqYVU#QG4Vj3AX`r`HdAAQT)kJs$TCjv~gSIYuod-y=E(GCPl&$ z(5Js~=(f6^vTpKT)RPPGkiK6i4_fgWO$gz-=U4vy9Ix%ki+QH|Q7VVvO{YcoF!RFJ z78)(KNM{%w9f1%OFUC`q5afKC)O#|~FU_kJS63?q;$jRp-xhbH6|cUb3;W4G173Oo zBD#D@a6E!>xkLkY`ukGp?aGc+^pj?)n*aBC|LHbM^HKm)|fqslAiA|$L%(}EEw zlYd_}+WhjQVY$u{+>#$zaGls7{T-O+9|ajlqnHr!aujP+zU$=+@kJ80#rt*1JRcgr zIktSaHnZY?E!oV#%*ALoIU#a(H5OGfY&*8f>i5c4R}9S(B)@N~_f?paw0zRM{Zkq4~yO{uW{yMEKf2=q`>{9NjL>nAY?mR(p zN?*|()w22~VMCLc0NJLaKXqyZH=1Yi?$TQft3) zr!0Fex?Yly!LX~ZcWl}`!yx!Xf2%3q7oR#UqQZKwPVx6R2=h9*Zy?BB#y-m2lC3YT zy5?}x(uSX4j$}^Q(Nd?z-?F_~on?!lab)IC`H@{SiHZU9$O0)$zZQfTwfW=jv6tNu zYYX?g#L5KbM(jxHf1fH$@pEWL4t||NxXf%wD;cvFwJev-xP?9}1DE z>Z6;P)HkEmSm=n(v4_pI2VPNWLSMJ^$krQ#6-<|hiq`blj(3e>DTb%zpaMvD{Av*h zAjC>x1;cjCI(O<3KN`xo31rYw>nrCB9Q61~Q;emmleL4X>nALtnBuPEk2o93_P0NA zci3hvEX4zjHIzLI=gaalRNT`1=ViDgGP1r3+hP(rH(fB-l%SI-E_I7#Njh9C``-b@!-T_dsDg8qPy(B z@w^jKovF?9Y{zdk9Fi?=XC%gdj_bQyMhq1j%1T^g8gS}^?3$PBra41#8#tR~I9KW@ z3;4b1`5HJ}=JKqtF#_#SjyA#KV}ZJ^@4@MCrnswb9#bDXk9 zQ}Qj^{W82{K2J}oNcc{jy&qRKC_IiljrIE`YU9pTuP|IPAz1;y1`kH-%VyRjeZ}FD z5?6s&1Dt|59!s)CEuD7m{)Qu!b`qpwMV;>k+#7K`5g4^r34QE!-`93Yj;uJODu8Sa z9uKnveh$KrF<$WD5`G8GLwD?Dtxlo$gTdc#Hz4&Bk6qKA3Zl#MJL(8_DD;-%sKMya z@OW?++=}L2HWxDCTg$K(naP+zmrgJhtj(Dwof(_OlSZHLhZyoN*CgHFH++$)y)sp% zcHk&kJ4d5-2au6w#XT2c5irLYuRV?A9A>AST#Wzs3pYd~JAIM52dU4M!N`}iqBz4F zzUoqw>qpVbX7dgp%?sF`vM6UfTkzw5WH5oEzgndmIC{obobz#d?S4H=hq;YcA?!Ck z5riGjB!)bcEa|8d0st@bU}Z|`uEzgc}wGi_X= z)vkVH=P3=0-Pk^HobPe;CXA093^oS1QBH_N@V#0P|82vOK3t~2GOPJZ&Nvyi3e<@_ zHfwlSrVFhD*rni*VVbRO?o4-7Y56%c|NV%PgD93BBE|r2{{u8*iRyk?rHRE+*pN2S z=!#=sBMEIt=TO0fN?~KqV~Q+6A>GuE-PPd(5Jq(t zds*jH5##a1(k-=x*4| zTEHAb2Aj>2zn?01Kf>aVP>m!)W$?t<$Mh zCS1qX-*pG)A6KKaA+DB2Sz6w8A5%Ugz}ppQ^ro2H*dk`$>Hd`9f8<%V4ZsD~=~-`qUmOSg%^>Ze3a zB>ag7%a1Z1Ai1ljZZm7J$0d`Q@&gjbZHb!IJ=jbW4E@E{ai@49`m0)rnzms_vjx@{ zxR!ZvtcS7RQ$APD<*?hIcZ6r%=)uu>b;9bswquK4VC{M6&OxD=Y>O@?6Mq}d#+QJw^;elw=$nbpCvg>0W+8ZXA%qoR z|BK}1zw3SDdK-T7q?4JydkD28)oJu~K!{YHk6HcEUp&DL4p~BjuJDcK+j=I9sds%l-Yn$t*+9rwX4?&*|OEm+1*4nRs%_zCbUM{Z#YU3D#J*I4BT9k1sekD z@ymcj-hZnXUMCD;R~yjA7bI$0FK2?B*mvbsqUIF+-Ytr|FO(5v?LdReuJRu)PE?YScBfxbWY_7sYo z*vz%c2E_VF9YkxL!gda{Jiu}se5-4YMsnTvy=d8{p$bCq-@QERCz5Gc~Gl&|Q8lj}}&JKWzG59y&*`ZSH0HF@?8e z*8J9h&8-enGvMXil}{RsPqX5VM8NHXUy$~QMvwLZ9JLzo*GomJQGL|fPX!v+@sqzH zt+Q138_04k>a$3W&Yiubid>)p9FNGf5d621KkTjMZc*ZfdLd4DNPmpXM%ooi*;0p2aii7g!ewK>Q6kd4kre?4@4AnlOW;zB zedt{QkQKB1o|^&^AS;QzDONh9O!L(**oBiB>nE2Ks}z_lf2^=kFtM6WSh( zPUa2xG?MivE9GR5x`*ie6B8>fqUkUve~pxf7J_@BXJCq;fuuvKyS zceFun8QzRzUOLcBP)#nWTyH7DG&dco3YIXYj^5~){xW*{(o%dUVswQ>&rIsLiY;quI9 zT0ID3!jmqCCY&u!(J5$+K`sF~%+91P##HzH6+3t8TNcKJr-?*u zrHgo7tdZ_XteQ$TWD8GyMLQI#lXz2SZ}|;`-L7WEE7;$bj_2Bo1~xilU&n>EX(_R2 zpFPKl$6R;l6T1U)j~^J}@^ynqy{|vY{eCDwHGrAOj`{o`n>jgN?StU3FhRQsGXdaY zPaK!5G8pvMKlj53<=PCTW{T-Q38|B=OOQvtUsEk{BnZ+f4Hn?K%9kR zA~b)h0n_^iAIIg)%kraDgp#;&twUu7_J?0{AE@`*D`-sBp+aJoUbx zy9foramzCg^WCkJ2F7dnMY^YtK~Gx|kSxEd&1Qxf0O+y`VYt-Hn)76|3R-s^00+h1 zYM+PtQ&>1rU<(=L>^W}sQ_Zo(i{uj}OWpSz9@H?a9qgmkQUjfY7_hRV!u@TT36ujv z6C98j-8d>77|sE?OmTL@P255nfNjt*`FlxgWN_-?Y=r{V*0VzzH1_CbZ1eGNLu`Jk z0T(%;!Bz+mG{FtpV%R(?EK3R@m|b>Lzy>a%+c5cLpJzTuJ?pvmoF7IW@eX!EOgH&F ztSGb7PUY+u9rPcqC*x+*;Ka54ia9Y&sLgn(V(agkJQSZQPMQW~CI>o|a!vapnm`Nc zlRHHmm9QYygVU8@aaZVQ8rxq-`Z-`7({MfGG~l`~th>^IjY~(LuC#v=q5JoXLbbyR zV?3{4zw$)2<(4H8#7hh^VIvI$a0cdxOOh=z726AZ#G7gCV07cZ#6&>VX^Mz?c?t z10c<<-WIDcP@)k>P@HH``&J|fny6GQlp`6t2WH@UydTNF7(TY|Ooy~Rxu@L9+Raf_ zAn;D|+n!*sc#xf7S!RG8m;~in1J6D76$AA8lzXbtC^s&Sz$Ufwfno&5G40|i zGY&~DyS-`yUe>3)KoE#$c7e{vp3!MyLc}9wT!d;V-muVK*BjfkI7Q1yIl83orbJcV z5UdX*Vc@E!PY++X2T~=ciF?C^(ky3G$jO@wQIJ6!xVIp-3u`R1nOd$be!@bW#+PjM z?a2IiJ=3Y$jL~gL1=3x}?E=oP&no=&T*o>&s>2Oc94qQ1VZbz6+qLwW-X0&MGw9Z1 z8<)&k70Ag~I6F<4^=dk{jJ+zGy8&K?3B8(nuyV*Dw_^t~|Fs^-)YI;3+uo3`h9grh zU7r$Fa%1Y{vux|dz|`Lg6Ic|bOumg?n0Tu>4PO#4mfH&WBMtx7h1sxB`y+g(y5|PL z{I~C$x>IRyVkc5JFK|Iw4lw8P*<=rD2uu0oTdDebWq>Xs+$3{;yk=w8whh)N?P=c7 z03|SRe)AeS;y`7eeHYgzuW_^)?2g;6C0KR_u-|aGL&YqmsgDc}_e4Z^Q~Ju(!l#A7 zlbBVUO*Xx`0ep&iJ6(hEW5?-o!FWtJbw))*nB6N!RSFDo>*zh+j_3crZ28b z$TYuR& zsM=&G?oG0PSCX*;4|-~aS&y;?1KQe-T^ZIbSJmoj{l}uF4$YPWWT<-6QB!BDm1V}? z;LFaJma|>>FFupMUs$xup5iWTV+YNNq8BMyW~k-_%635OLv~;mLyrHiO$xjQ6ucog zRHkKT;5bSTG{LG%C@zpwzSq}t6~489uTL`mUR~HDGj1LUvO&)Urm|N7<=>`Uzd8Yg z`h~eRThG2yPP~&RJ#ap6sPo9<2(5HN`7=4W&lR3?Hyz{d1dbn@cP{TdyG!$(Qxt&W zE>)hFR2Wc+PW3`i?1GXUXNi{W&7t=~Xf|krP!h`1QmIp&ig9n7$q4U@ojuLH?PC(` z>+5m=p$g1wgOdUNZ@%Bg5R38@$%y#E7uwr9<>ak6R+GwwFQ$=Y?7z-4ntAf3&~uaj zA`XJONBM7KB?0wO8CTd5oc56Vr?Ne?yN1m=R0u5VE+BxpCIhkmaLX2@$0 zz@}TJKc9b?%rR1_F!cHQX0xx9c~1ERiJq36UIl3EjI3|`>6S3cUgvx=QhD8}b<*hN zP+hI_6`>7=Xa5a9`4r}`+wraMB}H4}v-;+!is`{l`L1&vw&THO2BYrZ?jPJaE3AlV zkw2o{xuQWCVkU^DO%JRbSE)*)^RU!8ELo#vDUsgI@1sbIAnRU4avsA$MP!Nr-6(6} zD!KVqG)O+!Qb$0S0L(2xTVUC^vT*kwd$A`({M%M(%9X$EI{-bu*z2r+3~Cr5Ni8PL zYiZd?RjYRO4MF_f;%ru&haCT!!*^kyDGBxvl5I!bV;X7j`7*?G!Y9j{fmSMsapP zH+w|_yx(B|ER>f$(w$fC7pgorhiX5Ne)oE1*8ST2y)pIPP<(aPfLm=da}pX%xh-ni zNQYgy)o^@QpMC;{16Wa*FBad_3i1##>OgXm0?_H5Fy3Xd;L71x;)W)-#rCp66UYYw z;6v99s<74YSK+_iZNb#AkcVN#+?-2`0u`2Ku-4fW58!EtgFH!n41V+_{2jK-m}4I= z8M+EW#C*Y~oJ_;b1%5T7M0viCtJrI>408CVsZ#*npgE1a8U`gC;YG#y;u6>DQ0{p) zmu5w5k~vT&u!=k-ss}}jpqFk%k9+kN^Dsa#26Iqr;`&-e?CWu3C{MG716V!|bDPP# zsdcXkyq$2czNJ&rtRaasbr02B)j|r_gS`F=c0Cv}sXv8-!=#7MZqP)5IU8S-vOo2r z|8B|Xh#vlW>I7)q*}g0Uj%A_a>kGY?RPw5K63pw&VXUdFko;{6FtZoEHqrsHbcX z=GkiJnD->5Nu|FTAt~)9@aKz~$GNKv3<()d`!woz{XZo8+WGnyJ-tR3bKSh3Cm<{7 zWWS587Al6=TrUDGpW8dUd5}ARGg2ayT9LfY2jh#VCMXzYy=>}_vp+@k;70qGHD2Rp zgQ`xmBIzj1ZA1z9Z8l9gFIYN|W_df4W^q*IT(bs47C__oRgl6SfNND?vFofmC*V>G zyu9zmVPo5{I!Naze+|kifTB)p$5pEC%jZa8QP9iThQzRH$^rYHR1PgtEQzdz0>iC^ z(kuz2q_5}gt5Bp}0r_&?SSSOd&T#h!THyj3=(-B_)IvbX!s%w% zBCf3GQj|QV4k) zKFZ$<5VLqKPAG^nV9-Pe!O!9=cquKmMLFIqzTWITjm(h|yZRH$MmY(q9NjB|cJp0U z;Snkmlo{V|z7R+JM@Wb@A=oA$6ksc%(&lpi=gGdqgA}l46Cn`V9TERcfWF+ff&UpL zLGAGH#z$RI;yz;X9`<2Ke+Xb`7O4^n;h?Ir=llZ9lE`4Ro1j_&8ixe4H=VgDVRS1& ztU{s1ko%s>Zps%$SFWLGh)pcejn(EJwl4Dxu%knzj36CqO&GkR+RPx?{d>3E;)?hN zl87uT1a%8dZKII3pP}^?F=0CGg87x9XT&nAm$t%%HN7xYi~CTIvq5~l#8>pDZKhDr z`SE<-$d6^_8f|&2V?zxbMDxT8siLQTv*;VSQxk-l!^o^-P_B}>4XOYs_Zcz9(}^>I z#RFXvVvx99fC~x$Z@I$!W})Z+PVqi10S!y=xWufgf^Xg-5W3ARsUHW0sG1^eEoKHE zz?FCft*A7Z1Za6>%E%p6tTvn)#TPagLI$sp^jyH>X?SKfq^Lp=S#czS|BW`Q)_R74 zryEeRI#S%n9nGzwc^LmaXV&I9DB;JLVQ^Yj)=>>$)rU+<+|+_yvou(gmfSK~Em^q0 z^X|sL!jDxzE^t!_Jue{3mCwH|`H5Ed?^8GJzZ%)xNZ}yX{x0mh^EX5C;wYlPw)mFZ zvP#{L8^qsr*2dn{n6u(e8ia!^1xfOS7CGMQii0-kO#xk9znvA-nAP+hylw|sGNam< zwDr;^R@Q_q)St*20TJa=nGL#L*b7fYl**vYqbRZYbaH0=Gue z_u%+v^KAu$H5+lXN#l+6gtXQ%PGB#NF3(aJ;}Hu6c4E3YuyB$ zK;qY>?K@1b^+zS)Z=MByB!YtQh|TLW)NiNW%LwHQGWVf)!X}0)Bc!v?$I$7Q9Jd5- zl}m@b4N!QW^Tnk}*L=$DvMzBUms*i>{{bI=rM%9W_o)S5;coW?vm?b3r!b<9Ehz8wj1X8Ou);(^N@=Qwf|?d?ZF5s^fc3iK-T z6{_i#{%v*f3p>&9^iHw#W0o5Amni8SRQeO-AEY4BTk<{X#u_SWI^7@Pxo zsQ4da1vb2OW`mE0lB_=49#JW8om42_Lu3e^B#s&iF~ewrg-Cl=1|7b|^F_6CA1w#6 zUSeE&v}CGZF7ifp&8P=U;=GpsEi#( z#;Q-ylOX6@?s%&$%*U#ivFeFE9ht%I%+3H{0%={Lq(#DadB}YUS~)`==&JI8^>S<5 zr9}R}dhcj}O1hqg32QdkMJfn-iQp*WZqMWkf(HJg7xY(^$CO`Tg-obrtIBS#7?QKV zzlRtXmYax#I#L(se8~ca)A?FRV~2?zSV%<;n%@Sqf(h4r%y0{wNt#q!QM{{aXcS*S zR$gaxB$Wxp;T<(5Y-Z9(hq?on4^V2h<=aokFSilYETm}>IUU-4>T0fOvVxe{tg=uW zKF0jVOUXafPDN zRUd2)S?FbV88=TPnO+zL1&DPG7zr^ryFF{UGuiu z5`N&MjT!|+5 zF{nmZR?DTu@vc#WpQUCCjZ)FGk|_Tn4;#qeKY zQYme=iC`2q8fx)gyuVN$Zac0iqe!4#xR$&l<_ok+KwxbS_R9%+ z^22S;CXR#dmO!dr3_n0g-f5pO>o#|8sSy5{(jvPvrU6>MRjER0=>zlEK^`s19mMU~ z{94m{_iG1C!N=M9H18p$(aKr z&P%G3Q%#4egLC8KN`4Mfaptf|9Y;)g6C2||)*^?&HW9qPH?(x3Xi*5lglWpH992Z% z%e05B5q`+$<{u_WFLvR4Tp5|_Px|BcYS@KC*>I;18MxrMCCBrL6&TY52LNOtnnS8P zFG=Rd3MG)%G)Z1*-dgeje-i@#66)D&Gmv;#hnQ*^#lh3^f{;NsahlMSEZ>CYxUN%! zrzQ$0nmBZqx}m1%iT5pO7-LY+$-L-`s_nHMIp=)(8qD!`kBVTx`6ULNK7o|*Gj9XI z)H&yl`^b4YYx3mX%wlQoKa(lWUx#Z!cdF-ZhowBwZ~hzI=b6Qjj%9YoJ70IYqC*fC z-ekZajKd0DvHFV%@$Om4bN{eUBm9EsWyY?k`DvfVi3V3eW6Yn7=0$Xh4N{Q2@wZZI z3s*%H`V$YJ>5}f^UAH`P|0;$~|G|3X7q=Zf*DA`0jz82y{o${nm=j0G z8ZUM*KVbF)JDG^(pv9O06z?=&0q^ZNcFCI4`WZdA zpBW{b@7Gwb98{PKoqS9-I3u%rtN6C;!KO7xSk;DY@3!ANZoX|2PC0F@H@cr%=}O+I z1rmi)tq`Eu71pnlcaKWWNN}_!jVGy~&+BDNx*Gg*xdkfS^K(~(bGErZlnddzKXdzi zqw+3HKg|Z-GtNcTCj49*4qZJ!3zIPF8fQe=pPa#S?pjEP zF*b!nREwlxF-b%CR39I`2f|3o1wCU}J>`1OTm2h`pLj!F z<5OHwCtaPykTJZ4dmL74IMrxMzdIu(9Z7eUK8M?gyD(eJ$@8=XmbUQ(M(7NsogZF zv*hhheD}Ins()}2hr<*!M0B=og`{Kc6l9RitPSvNE#%994hWRWg~k>VRQ*l02`^Co-QP^WmbyymBXuzLJ6C~(t-4$XBErdqLtg3bDFljR)z zl?Cuowfk?sweX9C*_DjPr_D>oI#>zntp=wF3qI=a3JpMwsp5>e@`ur_WIYZbTg2ECzl}^HUSgFL&{EDau=Q z0J;fn2B!s6-9teplOjG4%)Bc9uTci_Yh_&kuU-)dB#y$8{}{LMwN<`6kn{hKK)2Cp zpytti<2c3?6&V`Q5!?7C9?MMJ_HmfV8>2&lhr+HqeB)I@iz>WD?6JUY^|uT?34EY+ zo5?!^Jjbog`!<8a_4U*X7Zq)F?Pt(=z7o}*CqrafO6lc5lzq>sy6)~qcxBK$tUR+$ zaqfb3LBrP^crJSwMnTx|s+_9JUHNir?f7R9cx(0T1+5}>(Z(A;)DZ{5Mr2yB$UP7? z9=N{#xBUMaWgs7Mu%oAp{HNBYL?zxs0qO;WmSEWsrBgvB;Lna-3VOe032Vl^Cb?gtEY=8!E;2?s>yHRTC zQim9?KTf3rR2Df%_CkbXODawB(w>UM_5nZlaRpvl%S&$>WPGrct7rZyuid*+1LYkx ztK?sk3;szetxYC%8_n3n4bBf|S9p}*gXoT@Y~iI=DR?R>>OA`*F=XnK&TDDW9G`ju z;L2uaD9EeMLSx1T!Nb$sm9dMpJRgkB=wdqIwKcrlFN2JuX!{gQEX=3q7jh^2xC4?n z{&&g=Dp*@%9rc9#IxLuv5So#lmgaw#9V_-a-W3#e&A^ki1{59rwdFQpZf-c{rG!d` z+GePouF~#8|DX1*{2%J=jgMqfjU`&fQe73s5@RT1N!GFNQcZ~|!(cGXG>B4R;+mvk za4#Z?ZfUVgYO-WY)*(xlEM2;T5Wcy|_l)lA8}c7~@A=`(>oarS@AEvb^Zq>NIrEx% zKE~Z$MWY*#GrO?vQB-Q7)nOAF72}iK!IT;&igt_5yTtE9x`JRnqgIfQ?mOZ~)YpoG z(x}t~f;;#QzFT|;CaEiniR12XA1_i#)m!p)Lesnn?y?mPhabX*pwndp`EFBs;axNk2TpKqx33@h8#(A-$--NyCF1K+uQoTJ#%m@)eV1NCrEZf<;pD;;SE zXpwP_XR6bwnPj!x`fw^{(P!Go)Mvo$A~-X3cX<%p{mPt=6r$)7CR?n*=mGkh$Hp4t zikcGHNY8tYG#slZOHTW4g>-jUR3}QtGdxHVHW4-w9M7JV>CYSn=>U`3sxi)4cG6n) zp#s-%9V0ERFjdDSw=Y)Rz!1ICb`yeotFD@)A7LWGGJ-l6^n&D;7l*-i0S=gPiMo%h z(;zcd<1vU)C#?%qxGccWvb_8%1>mO{E)YM=U5fX$+@&~9O$fw;=ntP!cQlk}D@6fK zYQIv@GB3*m8xg&QlyM!5Rgc|%3vf!G0e8;UYR;Xg!!l(cYH5M|AQ0~!aeNNsr$WK} z2YTQpbKnr3@V1i4jE@9cg5=hjz$5xQfK)gEqJwY&PRD|XAII=hqP89PQ0IVq2-}~Y z6mo+BT@HS-AV#2f)&zI8)+2q=<+Kaql(yAa9S9psRbk>ri#&j&!M3_!S!yV$MIJnn zw8VNMqgpUifwYn|P<;y@(lMj(p|Owdq@X_#XctIuOoOh_fyyLxqjopC-(Kn8pH{=? zZ8H>Jj)*ZZl~ZZQ-DpE)s93cBt@6{yX^$Y8g2wijKZq?3(%Ed0#43iN7Wh9tDA%yu z<;j^?SkGE2nl&{jIM$k4D&!tRHLI#0vqRKdG+ic}O>ZSKVa)A}X>+q_a(M%tT@}yX z7wefmSn&0$2;8{85yR4EA)cZ4A1bU8TxR5j*qHNf+zx?4_`$UlBodo*qJjqk>E?q# zL?Qe16wkh*@b)MpD z$4FI+J-ocBsMvyNpR0;a*03U1MQLxu;^eV~Epn8h!4adu(P!5(Rar}|g)N(*Z%^1~ z49BGN)ALGI9!oDg39jP%H6;=AxTWREj!vWRYI>gv zl|+A0o+3L0yl9bLC~b87>pTW!p?)?(l%bewViaSl$M4kIo*CE~VqhEk)WX))b(dpk zpU!hmf8Cbuiws1nXE`#_!X+yxB0^sNbaamVJy)hMg{6|`sdsJO`clVSTI$}Nm(Ug3 zFB)h5quvv0mvv6Ac;IborGT__{QChbJC2Epd99*?j-~#aYP+LhM>|h>6(66Ue_DUY?WKm2(*7Y2d7}i8 z>IbG4O*KkW=^^*>SsncScDhy?SwUDAnTYDE)3C68Fa1p-Xhg;#{jeB?Smq&}&%=3B zi6YMupkH>mg&Z7t6##_$a{-h}oQ&vkpla{{Jjk|H()abp|110-H#?o-Y+i}n{;Hpk zWl$HKSoF6!LCZ!RenL109THvF>qu;kH7vdq+(vz{dtu<*gvOVV6!XCm)A+t!1bYXR z-g|`Z9uvnY{Rz>}jK_<7)AYNHwme2`x;PA*RjjUJAAU^y7UiyP&j$LRCauC*B9teN z+voyXm($&bC0nDOnQis#wVlk(;Dk-^80#S`HzoX zE*C(rWeP6^9wgwtl{L%rW+R9XPiK?gNhRl7ae8I#KUWV;p*3TA;7Xy9#a%<>Q|-#G z`3g|Pb&dTNyoF4wQ`ENA#Uy;0oqYvRXpahRM#{1L*rBM}bnM+KoN4cVx=lvBuqSk3$TAKEhCiH{G^ zjPIE}+lUIat_^NpTsYi))-Ese*e2Qrx4Lid`OZXgjATd4J2Kh`g|bi%eh3%oWD)*R z5c`*;Z%H_P)9(q}PNH{SBQ3m9E9z(a3zLw$<^(XmC^gsyBm{Oo_RPGgBjs#Ww~2N$ zxXN#i@6et!%TGjvrJi*yKkHOavYO`V-~2I4SLU;4ACIX_R6LXk zoWb9U@4@bmCyvw=+w1q`OOGzds29!!Bl^{rb}sz=Sxra${H3Re1U~0jQ>zb?O$Lh~ zm-sGlo(%^fKXQ!$xnd_WkoayWH`iF(P8s<6Q1Ct!XNMpXp6tZcyp8#40?{)s@EZU@ zKZw{{SK)KOUE}PJCz6$wxcypS-{wUG7sv*~#8(0Pfh~bV+7=9ki4_^f>+W9}j$pk!}LRMaWQC*Kk;Eh>{ z#6}3@8?bjZOTXB~5*_gpB!PW5l?RApWkc@y?gjzpk9W1F_uj80h3){TJbGA+-Pi literal 0 HcmV?d00001 diff --git a/tools/bsi/bs-it-gs-2023-der-detektion-und-reaktion.xlsx b/tools/bsi/bs-it-gs-2023-der-detektion-und-reaktion.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..b66ade4cbfe285401c69e22513d5ef19190781b5 GIT binary patch literal 54441 zcmeFYW0NSs7OvU0ZQHiZ-L`Gpwr$%sciXmY+dcc7I}0Kf$U06+$S0MZh+vvoGHb=Fh%us3nip>wyf zCMW~}qR0mT`ZxdoKmIq~fvIF2s{sa-&|C0Nc+$3_7%mJW^`5oSW3s7l|7y;bzupPR zIX|B{Vz@@mkrdYKur`i6uji5vaHG^kO{5^oGpW^jPwHT;j*9CV<2$8t@3fN)P}Cu= zXi}|U#)tFA!}gso{+KFSG#bc7eTO(zVA1^p9`!6rUHT%$s|<&_%1(^Hd}q(L?#I?3 z*pF+L_49XtmJM@^UfT1gu#x~VG+nzi);&^W-K&*I2@>xM6ZmxRD+T!z&0yHa_mK=3 zx6bBfzU*r&J@Qt8iSe=`;j;q>V0som`vYIw9UcvO#X$?pEtLYDmImd(pdSE2hQJ6h zbPMVj1y`|NaekW7Jh0!)LCwEu!Er|zU&yhS{0HIAKLKT@=UR!zaMl1LEnqyaj538` z+1Q8zy(0pW4zB*U8=o9!c(Q?y5)nvyZ**5gMKv?Lkb>b*y+TEo4?diVSUFp+=8t~@ zc~-hK^_@?QKVxLVIOX>FK0p8fet&@hy8<45lOf^~Z1#R~-)I?a;R1P)~8h(0r1DuO!t@ImQj$#gd<98J>}V;C2Eo zPuWrj9QanTgkUi(ePIcw{Y9Ehr)RTkkt@9zO9&WCV;yuKAsJ zc55}Ss3=Ank_nu1@_xku+T2|%>V)jKl_BPR%FxXOU#4zLKVJCC*uZNvqc+QqG_%wA z@oyLYXJmFDzbXEM%n~pF02TlQpu08w|DeXr&e6)y&d%yT3GV+Q2=HH)`#1N0@1r|u z)^d;mX5==gCurWsA<@<(nX4ySuukh0fK1_FZip@Qh1`xmNw`yBoUQ;ph~&$Mf3EC% zzwCAh9n3OEC7zTLqPe6>bCcqYqlb?th+w64A*ZQaUm#G}!LQA4@Q>4%Na-_4VI(PN z==yDO@q&IGr30Q#_7dGwrV%FAxr@gN>;#W&8`IaazhNn5Y)YVgH5W&Pv$)hc^)Wm28Dj*_$cs4w>U2$#(Q&efA%eQWBlghoH2p^GL1Sr#O;&@kGyi4o zuymo$YReVfKo3pS&@j4CUnrQE=fv;B%oiLvNctNi%2BtCu&HY%OM2&F6!p{%i3@!z)iu@7`GM4E zPD*?FNF*9cwQ^C3X)A^&$8jgunnz8hV@-rX5Ep^n)b2*y%qcx!@(PdgDu&fYpm0$1 zt!pfKlrf&1+GI9oLV_z=Ob{*LJdj?Jz>?J-NEx%bL>~5yi;^w?^Q}a_s63JM_#_nT zS*JU$Vm>zOX&+elYMBQy)p0;-4>02Su6YQFs(C4>aWCSHz5bdoF*RwrH67}0f7N9< zDxVS%D3F#LtG~F^Oiz%lo`ZkjWORHgIsm96K8oY+&InF30$`VXX>gb$x!C3>0+wEu zcB!ktyc8`F9PXmNYdQ?(xCsa$z*RHLoDIyDQUq;8Lhouq-WYUHrt~|g*RY(9EyHCD z&n8fvDQ7yC30qP>*<5rd8&!2j|5zE^4>)?0sCe$6{}QTZerg+x$zcnBele*bL`rfC z&SXRGd3b)~Mm}WK7Kji88}9y9(hG90bxcZpKRjlTvQ1=!935wXI~4Ro(2e~}vPT;2 z*ncE>(TV;Q~8KY51# zPul-;_&hHqZ8!ZVd?oDvR0sbRzq7fCjS2mKN5=mI&nt~-TWofOUi33=1TQ(7^+ZF= z1YqgZ12zZ4HK|CP3LVQdM7ItCO72e7@dkl_LW_CnfE`bY4KN9R-GwrTtU}p$TifhA;hS{$|1s=%2f4e zK2E$u_X0AsgkQRL<=DE2%>vkC1eU6%GEHmR^=#xW&;(qqif-gc^(Z>slYUr1GqG=8 zyY^^|8Af2me`{*>*QsH()Tn^l383le^{;Md<@_1^iyc4Aj&|2WJuNmpj4eN4&Za3~ z753r@`iyBjwjPV#3wQS{1(;VvfMq&gq5<`9NZ63NrLN1IWgyLq; zg@9rO<{q@SfZc^M5kfi*JuW||-4Y1z1cS*~_ImODT9?Z&`tRiQeY<+wmm7`4!{z^) zUvOl**`uMe^M1cJ^Yi^?{5U*kr^ol(ADv|SS;gmjKR%uP78uL#5TWn&e%Ndxr|Iv#@xQqFny!5bTU=;%*N@Q5RZ`V5qyh$l77#HN1gp4@!~Ks0oE6xa)A7x zPc*<(OO5KzMHXFTD^mP)-9am`o49DFU#_OxcH1abE*6~_hn$Ej|L zMS5Zl{s=+{rHHrI`%dS^G~5@Af6uz2>sIlg{qsr4K5Qgb;t^opZlth$n^RD< z%p(sy>&_!*izJ@nXxws0V)l~rBvKqS1$Z=BV7t=x^|@s7yB3NYI6AboE5X33xN<2t zq-^0h9adsJ8t8=v5zaJ*%?uM}??mM0X%5MPX|^N-omrSxJc(*o5974eiKhMN=nNDi zX1_m}H5Nc-Catc=*Xb%X%F@#(m8z_T8H%UnY)Y8k?d4cBGu4nf5P>_O)m#3EI+Jis zkftOHu5C__OSGBKA)OLr97G{;%{x(im00AmMkZKdc=+d>wI4@xVERd3m#rXxEiW|{-hQZsm@i`tpKAObfdx;REN}A!0D!S-Vf4*b`{7& zV!xD;H9@X+uxI_$R}aXBw0s5*{J|XyQQlN1V`G`BA_7r24Yeo!wZxtBRDfEO@B^k? zSs}#uVWaGit+g7rmk?5Mb+s7YQos;Uka|}~bch!bH}4-Y#1Hy(DG%gBOtI%SpbGT$ zuVS&Wd7Pk~5nV{3uZNkbHA*FKr)c96Ez7XpCyO&152MVB$Az{6M=sIMs{mla|)!ktQL0`vD`Ut{4 z`ldOh2a8!{d@S=uB;+~bl!+kLgBpzsZ&3`F53U+XGz7;)lqIz@v>L#V;_G{B17Lkx z!6^dd*_VqcfWh3Dezs1Dg1{PV9e*lv;$%-ATfsZI>uFQB{YG?)RjEEoit^8SKV{@t zsln?w*JeGIHX>W{?=8Ql#BJcx_#}P<9^)e8*YU}p0ya)R<+TvMR`fTiK@@z(+3+OL zCA9Fs=Q!3yv1KxoZPX)gUIsQP+7sxwwlVd_7TC|7XDzNYoK6~@9PgjEPv4_;)YlqZ zIu@VPu@Ya5BQIXexyCR?)Ad>=_<8RC`q)3QY2U|XB)(Yw0&3s?O*Zf&@jq&tVbx;) z{pY;?=d|QU|t%<^q+*(th#Bt$${WQU;is`r!!BQYKWN_ z`9_p4poJoVwx*_8XkCaxDep|>Ht%;EpJ;88wIu2KI(!0S7HW1fB`>q%#wrf4+#(Z+ z@~MU=ri{{PY?yYyf9qrxt56j|0htz9`X-_E#rJurvv5IN=H?~E8i-IRd#`(Gy5DKj zP{wLeXDkeQrL4Ft5>)PLyGbE6vBI&u1PKSo?Dn!+I4AAmuRxFT%Ujg7^$unf>$600?l2}vyggWG6qS6rf1I6xYl!kID zf$(mV@HO`wDBj_A5tCqATL?cj7uHmqDAZOS4_=_;4J#lEiKZ9wMdsK93IngIvEVBX z9~?9?YMY9ZC>_Eg51!J5C1|;!RSjXLH5{!WYB>_u!^HqK`J%7JT;8M52__zA>KNPd z`#ZCa#S-V}sR0J8{<#WdKJs1>98iHq(Fo!xt3>LEFjwEp&n8a|Xf%IneNCr+i^BOK z$l+jr9iY*eQW?yMGtNx@T1m6tybzyl*wypC+8D4~vxKF|DlH}Es)%5F!RIN%Yv665 zs8s#RU_m^8lz-gcWHkUkPrsoFgEk;yE)8{%e-AMH!4Y2OlL-~x#cIt^6>NM#rr0k+3JndROy4s3QqdpdKK8Tto@ZuJj` z7VYXK&kK;wn()Yw*r_-eoK8Th4n>sGJ_$6vhO`=0%d-rYWJm^b?Z4OvcPVl`r6CE9q91G_|f zak8z)DyC1!{}sSvwna>r|Ijx2=Pfb*@1n}d+{DD$iT=MA=Krvqoum<$#efpBOa07G z&=;fuBq={eF)5PMR(aWEME5r`rsCSV=4023a56eMOpF+ijm`U1`_uiwS$SbIs6mJw zG$JtGea>Dd(o`w_c31T$+9f#v(nz;Vvh$_n6=u%H37BFD-}indOW z5&H}cE4!juVQRl>U49cw-{dzbkp*rrnu-j|k?iOMF|?NIuR+E8AHl;J1mHx@Cp)Y8 z4QknYar?-O>)PiIRa&AIAt<+tf*~ayzjc<4`j(;2xOsnvTl2ff`#-fz-)}jINL%Jr z)aV2mxxBk+{G~<{Z!yk#zryL}0#!@dY2$8%G-G+| z99Xl1B#%WjF<<5!7$1+vck6ldCsp%z9-O)}iG9Xgl%O~EYAI&F`B!n2XMpD*@;v4IrW!5Y!=tmA+t3#B8|E>&cGMZ*`T_&ne*oor03P%gI)5H;eC&NAfv?()DrnHVFX7hrk~z)TlmR&L4*E__!D&UaVRWnFSCo2AEsC)yj6urC<0 zu8#`NtIFju{XWcp_R#;kzW)x5loB#>&$2X9vs2WnW0JDe4Ju4?%xa1h6Ed^@4bl(L z{e`7cP?GPYr0*RJx?+}wQkIC}X4S>o}b^&39uiaHXxSKSa3j+1twJ}H)I9-d~`f8NkiILcn+gvet-T*Le-`yq~H>)^LzBh@jr<39jYz({Dd(W99X%d+5*~@ zpZTN??5Ch^>)&%5oTHvhlsx88K!0$Dmo-sHs_l4ZfbN(l(DZ1e!}VAr(lza~;LtWc z!RJIv2T)%rBEqT&mKpHDhb`qre}a9`>D%o@N0?lqoBL}CB*Z7`NsXh=Y;A}_hB|zA zs#;!>@g33wN~QY-Ch2cQs-+7rqBx@!>O3~7xfmrs)n(d^qJOLG9_F!XFatX+e<76A z%!AyNAW^kiU7@%9{zFB}JIjz(oB89 z1dKdy1~>O!X6?f`kYH6LBSf}eO?(!hG1q;@)SsXY_Lz*O7A>6kGU9OvacIbfDSOBU z{lB;8AoGB`L_CWb#GsC$yIfDAOdunt_3z_Z%Y}8E#c7l#-DUl0VnZp@UHb1 zALLYYL5bG_Pxnm0C-J92;0A>Uh7@Vl!oXf1Y(|T`!Dxks5uCwR8WR!G#$HXID~Hct z4!AS4w(<$-Y(P(6yO90Xyi~IswDX+9@xWLeX?v5TEqyP3|97C^i57$!5P%V_LvjS5 z4iBF@pQx$I)n9TZQ_qSoh2rf|GT8cla?AqRtEag-ncxJU;H74yt~?JUYyG+OlkWb-#~`4#V=imzt}Z zp5MJ)?$hFY-CqyRqT(`bxixa+&@NRz|2?wkiu-x2`+fcOUUu08^Xt0!d6++T_4>xg z_uI$;TX=DelbbnVji{yIyN(-k7?Xc==#mD9UdAJw%`>xFTeXhFJBiC7V-8Swt@B487T&?3fk-KI; zy?%aid>dRg&hW8cocZzc&HeRoYt7KJyMGzfn@(Gea$T=&MgDo|qi4I^c47aTYjWMx zy?>qd`qE<`MYE>cd~e-sj(YhvZn06Dew5|zQ=h(vT4&DX{r%a$zvIrc>$K@ozfwh) z<<@J-I$?R&{Br6_uRF0}?)vsw%s#~bjb-KG8Be`;da2c>;Y+W3GhWqcPP@L)?y`?1 zl|zeyw#G~CtE9=x^X#~2eZ2nj`T7yIsMKS(sME&&xSoCRWas+~<~UQc&4#}*?a}4Q z;XPco?B>hzH9e^^s3w7?<+Zrl_Uq*N@g>`onXS{SM~}w-_~OX5&O%OI4$%t?9;35i z@cIL%lOc1Dzldhnm(ljsM*A%I2q^vy9^2JnUWbk_1U_xd-eq2vw5>YJq%oY-+H=aH zmZZ{4pQwcQeP|t2U-=DQIv66e=W;T6VgVh)(Io@&YPxD;=cki1+ksqnx;btNMH(nz zLElcI^#sax={rTS}ee?m{6H^uUDplR8t7o0<(e|HDo|P(m^af5ywn=8&{)y8=smW8zw(Zqa zaL5#H-Tx1@{$0rjGPO>Pj}ho&H3LCK993Cka-+O8J00LgV5J98t0>ITujtxGdk^MhBc&rE;+HIwP<%O+QP z7mfR~s(!roV0Q-Ic79q56jzVX%!SGubj0CT4!R6N*xc0*W@OiLYF}baHU~R=b5c>VqL#)wy0PI$m#{*NXwr^C)*(a zlWP`_o{bsTX>x!ZkEdbkK$@0yx7LyPW`|EUMrs%7sXKwj{GGj=o!;8` zwL&##nPr=Es7# zdWKCz^zGNMNH@Y|aO*br z9FC;Q#adHPlumP^gT&8cZVKhE?~D@Sc)#wNGoUzAhM@REI!o3zj#`v3Ug8v=ht>!_ zF|_CkdTNZAx4Zf{UgC{f#7iRQKw8ljTrqMG2%^L=%`eZuHobaxQf0GR-Cpvf#JqL} z=4uvGpJrJj4_Awr*Y&NYv&c6cGfs(zojTzcCjJ;P=8if2*WU;=LnVvAIateoT+WD} zM8wRAV!PFYS3|bk1JDyuO&C5l%@$EuJ$*K&kbCPA*+3?OSb_*$gc~K4!Qn1}z%i^f0B?3zIsy|* zfGD5&v-&Pc+mZIUq9X|QQ639CyC2NUFJOx?>ZGtZ+mB~ywnn`3T@ztuX}-ErDTCTEVYdDnber=(m1T>(KNLe%8*e*$hybEH5Kek zt}BCxZ_dzYC~*4?5|PAF+|;gro&ahUC2ia^3gybOXP}jGcg-(+xq3$H3jl>6N|^8Z z6%J!!{rCtc9*+Sum=(m#wF#`$wJU>RB_a!S8H^w(NN!7H(ICL3>FvniL_)TGM2&!+ zJ(pf!W8YAAcRsh5!90bi#!34L6K@=OJ|JwT~K;e4s%Dc*}fouXDhx+Rxx(SUy zpMKIBJN0e|A|;=*Oic0jyD>rSt^7nBaf$=c6uea1ca6Oh#lYB491 z@oG0m1vWZ!!@E=Q9W@!!?WfH-Ww1;FRSS{H?AaEA&>UzNoe!CHutu9NW2ln->fitB z(sVW?*`>DiW%V^!qu#{uRh_;g2_F-e(khwW7Ju>et1?7!Ma*+VLNcNZ?Ed6%(g88M zzbylm&cm3)uVO-H@_VHZy89u3!Moz#X!3n#9}Ln&@1MPf->r5{W2VB0KtaPI2!h)B zL#~Ag&@2x{3LO9KJMTY5#g*t=cp%eL4M()QO~(sHZw64rggUg+q^3o^6%+lTHw9w` zr=b94wJ$#*=da5bs&XYS5bSlI)=uS9bElWw03JxL4p_%_R2&?H4EU~Zy{5x7(@hMHD44glC`97peT z?_R1Hw+yU6MLfq^a?}w6X1E@O_8@vT2y&fX-;xEbfA2N8L+^ABVY?x^sU8W=&;u$B zgv_@Tf&+8QhrqavUh0#vNj@A8gCzfUM;;PwK7y6&h~=>o1*sT&auQUj8$Gy}fhpsJ zcs+Z=|8^=9sJ#>C1MKO_oI_C)c0*XW*$`V5eI}#An%A}E_4u%U{@vr1R;qien}g@$ z?fG#5ar0_sjNh`bM!u|^$ zLzHH1u%hIswZb2EB?usKx4<7cfl)QIh1UpD;Qrxq{9q8Ig{)c?K$@3??}ua+fOKVj z^DU@&dZVWF+S={!XvZ1a??iH)rp|kD{1owonMdWvS{FzKA^&z6p!?^PC~$CO zWH!aSOsl`X^3iwhzy8@mKF=pWSD;Z4w!XUH5Xh#HO0@chpiILKL9Gefejy~zVbya8 z-!=iBaYV7arNs;)CxOZI%M)y(WsTVIYq|@}puE0hmLzx%aC>XS@f!&P-SwR*|DJF5 z@_~;{oxGP{Xq$=9D2_!^v5P}XkBLxmt%f)2X3{9a)Jf8lMuIPp2M54KS6f*=5DvdL z6OHvY{0bz%*s(XGk_|+}R@XDuvT7MJ1tEYDc3k^*=)IRt!s9eaO^Qtf<^-by{-nLo?+}|Ts)E( zdKFy-QEAiGsNB82>Uxbw+Ln(?hXR04;BOMc#nUY6BQ~unHthQPTiF<+!TcZ-tgm0= zVZ!JDY5nm$mrM+2?zGUe4Js*lj?T9%R-GO9airV$9^GU!t@e_e%6WC)pKD{#ZuG?c zKw!B)82KH@M4HIvh4khFCt{uF{m|@XRAHbXnUI@12oP1X&E)*2S-9EH2QRC& zO5c;WiF!Tmc!)pTIO0Q#PAGAZI*~-LX~=iH0ymYrFi;Qvi|KG-u-p=4BatEMMqnpB zAfAMt5X%`IzR4tFq~EA!$00ZYc_R}7n>vJlu?b_xzPU6Zl3tzWRwqnLN@H4}?i~t5 zWc)(>!`7oh)N=*V4IMskNJ0VSeR(^+S1lbSL0HpSRgZ`>K>O||a|zJW3#^q7+wLfa zbtP?x!nxD{T*VnNyQNE02gb{Ri03gxR#GGNj$@aCy3BPk8Chu2Hl|`WdskyWx71N}DakkjaH@sEWc;zarm{p^L&5tC@H;mOy$` zmwD)tS&{e84ud=?j1(VR^<%C~r#K8%l(v!{I`^%Q0K+ZO3|CK=Q_vS2OSwt3J=EKJ zwdlOzA(1Fxj`l#y42^34<2j;+84~Rx@$knDKF;bSsPs8VI_nM4gr;vjh z?^?*%S~kud3f!?&6Nvml^@oiV`{`eX^@hMuS_BK<#K2J;>Kmv2e5ND-UqaCX=?QFS z)A$NDsGM9n^KLSYhEWP{A?L`dR#%$thftL^qORBiI=>}u+G7^Snb`Oh^g{Eg&-m?eG5QK-+6VLUio z5UWuxSdye())VN!Xz9B-%5f?Hc`tg4fi#u?z>gmja;WqG#=yK!CGy;^V&M9-t$TGc zKG8Du$_~f>it7vvoKydPh&7XdO z3vq(J+8A)WdC}Da{A`K1GA-cL_)O_BRbWZEmE71D5k#>9fmc&X7o)R=Ro?0@lNa{R zAD3t5UY_iVs21joZ+_^BLR&kD8DbT}EDa)Fqe)!d_6q^>`eLI&Bzm}Hi?GBo#<9Vm zn>n1aM9bZ!aUrd00K0Aq+S_h8ysc#C!QoS&&O9i=CIrdZ#Y{;rUYH(tt!B$p zyF8r_7R|gnWOo?47(P6FrX4|t=T6W_H;F8$yAs0y{jAXief{Ig3^J;(w`LrZ|6{-0;y5z~M}r9vzskz_=Jk}~Dw0yZkb z{L|Y2uq*z})-{Yf+t%v4$Y>Rtca9mKBCGJvLdB-K!A2i1KL*pkjRXKs4%r7$Lhlx1 zMn>Rh0}UNk;RP>cAX{AoOM21FuRxt*mhW6H)-!d$$%>rstNeeK+35s3k>|F$`J$G zFZGf|QNX z5t@9F_e0k$B|5H!5<(<+VNR=T@tJHmMD}uwa)_53h%h`I0$RG!8Yh?;TnqNo8LL-) zgNLyWwLcp#>=Fl533oS1b+wwt*AO;o=Q}#byaQj|)Vpd-vedD|2%!#3*(O}KP48+y zf+&Io-jCqP7m3bqwzHbn55-v`8BZ6SUSY5a^XrIX4xkv738M+wg*{NC8r;(hp-&W^ zKq6TO@MdxCR<|vg-C=4Qjjdrt^|VIhlYXxS@n*NG!r`=4#W|KXcN(}0^&$bF1zcKB zb!MaxYUohI0G#3AD!ZSekc+-=nC;@D0zjWl-^oVdDuPj*#3-!y!evqwpi9oiR-I$Z z4P^S_#3WydgWMcwnv;lJjaLMN!OKO4u#D>zB%XAf1N)efM&M$mn6cxpRO-Jpggd0^ zQutIXHWdd~$iax{+rldtyfh~asOssA=u}5}6vT&&fh8}tYzTaiLL5$|{t0pcW4G;R z<&JK{fZG*a54&8$u5#=!n!@e&?3N|QEDJky-Y(>jsg#mA$pxkgnoo~fD{VsQ23rc^ zbu?7|-plxw@kAi^5BTi&?mJcViP|eDNnnYNCe=`OR#tCD1oxJ0`P*nHWef?-D*z+z zVRt3+;2F?QQ-)#gMJOpr>qcI+1238F8JcQQ?mJFHTR`VWz;&UTDsH3jC7mM!vq(z61ZZ$A1|Sm|ByThPup(+V-H6w? zBeN%jBK>St&n9R9Y!3xU2?otL@35m(GC<>q>ue28y5AaJ$aWO{IkSrQx(yo9z- zuZXi^U2bi!$bHW;2LlbyjD)s?S}$M6vmOxZA4Wr)45|cK%(=&%zP!Ixh3$?2&j(TB z5Yzrh*(?(i#c<+ljZgx&zgeM8Pbs$)9zi=~Wlwys&*vgRuR>hCd_YhP}ZJU<|;yoJ#YS?kOjzDWY@A!$e|P6E6>Lj+SXyazas{H|$?Y>d5Dt_egmSxyhrmN&50YZ>*hmIWv& zb%Htj?lJ*7nU1%q6arD%}lI z8Vozw&%dq=Mq>0Mf*W<%`ey*+sf`6)>W3_X6IG+tr<6)hOO2d;#lmzYLV|s@dC34d zLjs8eHYNHCoKBY>@3=+UzcJ`qL?4$?uMWO?rcsJ=RE;k&r0jDSuKTO1oe;D6qqYT) zI2|5Jj2?e1BJHdTa9CBCiwN(^>Hqe_;rIwpp$(0y@=5`PA!wWH28~=O|2T& zhLO3DoxI7h9>!a^+Wl+fKpx@~w!uoe_)%;3#|Cwsge&xof0} zUKzY^P5j2>iNUc+Os?Dr#sFHBKvnfS)dI2r@{z`UxtF_CYA~%^r9!z5u~_io?%2TI0-U8mx$(l%^|y`PX))Id57Lpffeg1V21b;hyG0%P8jJ}6t}Q)+ z3p+mXo6eBI*+@EVrK_t%>QDv;MxN&hZw;xHe}wig!P@W7H?16sMQ00eYL8uJHTsPr zFDQVR5;YoAEnY9SJ9}Scfu0-v(dO`wesjB-aJMMxCl4=^rz3gOaXVDv-JEkNw(O$j z4(u?_E|yZ!*hq+}JV5tweuuSma(`5{Aqj}$^MtsjvwrSH@tEZqPu#9G+V@M&}n4 zXgAUhhy{!lwe=3dZ$yoyxE~7}S?5IC*lF%#K;9RRWmf&}UtAPK)9No&-)CxN{XCBb zwhXObH?*{cVO7I`RANo1wm(wP*s-31_0yO*RiAV7t&^|De4;abGjB4EtbKq2y8Bu!79I?&5`&7evie~1Ns^wiTS`osNAT_CvA^r?WFixw>Ux``+o9`z6tG=ifDx8$q@ zbGrBtY~B`2^X1ayxvhE88OlThf!Bq~sgq8%Cua4=mvazkfe2+T$7IVmsX$&U8n4R@o6dD1)7(lJPQ!QQBli#ETr6`=lU2#%151|;} zq-CwxE-RAn-=8PNF4|=yDJR4X&mozwYf`=l^JhSKN5v#I<{ni&p6T;gRZt>GRta)x z5BtkWbG>2X3(4qRPQf)>;SuXdLYZnzld^*@j8|9n7)2}-{#nDIXK!L5rorqNZAATq zVF-jexSKyR?C^Zb!0g-I3-mrIVs==20L5tJ55x`E{5Qjw)PTWB69~Y&f zDU}^0Fv<^AzVgTcLqAwFp_4nUbl)yWDmHk31vhUE5#;P9+xR=0jNqv|hROonz-6#L z(3E0Z4Y7Aw;XF=6RL$PSNbi8=RUx{4y0GItSs59x@pHr;vVlQil4BE^if{i|>^kI> zDPCl%33mzw1`&BE^J|d1m=(oP)nOZb#ppD!H}zLKepWz*c}dw*Mn`>E_wOZ$&5GjK z=C7YKU_#prBg95p~zeX9CjsXCT-=Fl`QoW9;FDY71z!Nb@j0uF? zMYjcKF~lQZAk~@4{{j2F;cD^bX$^Y{jhO{d6h^vNp)}=jM6yGYpvIC`?2iHXvW;y$ zu}K%PeY8hO#3Py^Wn-A~e-%REwYqUqvIMONTHTk22qOL9#D7TvQ5?;}xo6BnGo!kl zK21j+iiy8QvV-h3BiU3i3S^$bs*MZkkvDR?zJa4x7{1s}zfdN0uabHa=oq+$F5*rl zHd%|Qqo3#WkHRRIc-3v9iEeauvRohS?D7j2z9Zk!;xT+3dJB%SWho3?&&O}8nC`i( zO71G~LS9JHSve;1O$Z0sgQ1aqaMMtZCdkqd*)>xB_Yq^#z5Rym&g`talCB%;f{cn; zR?3JDkJ51}auB)o(HVbAnk_mXIWm7AIlu)P;RHgV)jiJZlq*&Q$3DMRbpV zo&^LL_I&PQ1TD%Fx}=ud zN>MTlWwnb+hx8)K;G1t9|AYunEpnt3@1YFx%Ojr87Ljk#ecV;8tUxc`U?gr|m@beR zn~k?&$DW!&G@f_AZ{C|0>&LUBu7Ulu7PS3hUU_qJ9D~|mIID6u*7|(whcDf)dvuy_90?s-+$v`Z|F;o}C_|&x>36bIJgwin% zBT>g?Mcdd9tmPi~V=lFxTx7RYUZ|DxZgUA%XTpnZIa!9D)$&(r(sT;xYEe3UFdM!Q zI<@tV{G0VCp|8KM11I6^ZWz?~wP14oPD-k6c0O2i)#%1oG;RpCzjl<~*c$`EHT;0C z3z?{exxoBRD1hYau4j%ieh96NH%8&PK?G&Ogp-&03Mwpk56WG4ylz=%ItSO8p zH3ELASIMApTTa z7)vPf^r!NNQbq$Y6JdB zM|d;ZI)j%ei4F4g2dCl{x^!X0(+K{wgg{65uELec(#hlIawQQ%HH9=*(=ivSc=X<> z$0W=b4pYRzV9yJK^q*R}CsxeWa>%-ZP+^#7Wb72|DV|5l(##^R*p3>U^lTX0>)~2A zXmNgey$&{^&-XCxU@^$MPGyZ=sJR&1O5v=20(6buzfmMw<=SNt!W3_|2elje*y4l5 zf)q9BD7@S3t$l=p%6Q|vHx;0aGae)TYmEy=c8ehmC>abq^t-i*-bNmgp&CP6Lqg_&6_Ywz+-{w&}5Lji%Y?QY_=tcsr1rs5Frsriz0c(LTSa% ziSm)@edu&RPARyz-q2Tu-Io!%Wxjx`Wq6Yt@ow#ti9YqmWStGbkElU+-~k}8>R3<@ zq!wkg;}+h!!Qm|Wdy>ib8c^ecUq!&sn(S9$22M>OV94AmpSvB|&;7d} zU75u#w%(h#Rq!t4y>b?vvnib=MFoV=XA*z*U3$gtUFmIu^r)AgX1*mT>{j#3UC=u7Gxd$)u%n+ zY3%X*+vfX~j~ZGZ4trbBLWH5P6eNXe$W#hWpW>8N8?XBdhD|XKgI@DGG5MX75~Y0PE{FMIBwqEZu3r?KrKA0m`fM1Q zu~Ur3O15<2QtaNSfNaF}m}$ybB;TUPl0~k>vl_MJV{F6$yda$VF(SAtg6=W*&ANt>gL0dC+v$?0JOSYSyi{|wJ;(yhKE)=@1ZPZiD($a z01RjsLLH7{-b!!nu^q{(56nkPedp_}>pqrfqsbMZwp+ofE$xkjba4+zI|e5)3J~(~ zA*ll#tnetm^3(|GkqGmfDhDIvsI*deHixH_LZI@Sb#80uvK9DJ7-nI)Uwq@lZIoSF|^GO0nzyQ zb}H%QhU{NCg>c+ZZJ9;Wg$G04hIS|5wuy$ISoDPLE=dv*tF+tODF3Y9gWspJH#n*T z+(z;+Jn~AA^|y?ImP6bGF^fTN4VsvQlPOKN^%D;f$GwtkB8m-$4a7v7Ga;ft?P2Q9 zLZNzN7KY)Tl1v!1d%4D!%=fCO%I7G2mU9%X2->oh3ea;^MYAepjvX7jd5!Yft8^?@ z5m_95)^$>KTjr5gC&K6SDePxYu>Ft?-R>Ts4b?Gj+A@yLkrj6s2pBohQ---FEW7>s zijFjsu4kMBt(%eW_L=W=e|^~9=9AzIoq*N#t88v((2bs%CC2-KgmVyZ3w@cj>0G*2 z&PzyNQYi2L9{?>t(!XK+;@CBcwx75q_&XoDMYY^ByNi0bkB8bHBHL+3(Tq(gZWO3A zKMtgF-Qwg|zB?M&90){JPAh&4n^ACMFozn7!KwsjCTTsWCJNt(g;VZ8P}hhRAg+T=SHk-WA>RCYjcmikoo*QrOpOT%DL@!X6F8X)*2xUVXP20L zh%c&KJ^(w(30V__?!pFKLE#8)6G*8IK4ZRA6@&_Z9Q#lh!s%jT+zMec&11S_gHJ4* zrkL0jl3l29D5#6JDs&B5;)J&d^oQ>H5}iZI1jyKS?(Ki}cFi4H9rR||3IAwUhS#3J z_CgM-QrjlUYtn~9xITlr#IW@Q;)>yv=rXty@gMI{A)50yg*cSFib~T9bTjcf7zdC{ z({y&02+Qay6C#^uy3mmv&V|ylvqRy15FrK~PI?aJV}K{h0y)bPMzTVWk}vY!xHCq8mb84{w;Q%jt#am)HcL zxOn3x?I;pl57pB&C{N2zHk-h3pl0!>PSSkG5Wg=Cq=URrjGRY)~@X1}dIF1c99W00EVTx^whl z9yU_w`;0f1(KHN3V=El>em}7{UPI;FKJ$PdmT|}eJZ%gWJy!rHUp=b|qZ2z*x&(+Y zNndB69s@=58;9;W*e^%qqMmXOV46sW$Iz${u_d# z%kX4rq78?1pEAt%&NQ65jb_=CeLOs=knpg@qvMRmEJGrA5jJrf90efJ1~H1%D4oDL zq^tq8b1X)`IrWQG00wZ)nZi8P=u4`vUzf7JaE3AF(^Tb9{YNh~JV*tw@CTo=?CNJ< z;PfeFC_v^F59DkvsT(AOG)PtE*S=edq?+vEUMBd3={y3)yKql-egdVXhpU=c zVFY2z3xpsQJ!@H^M~G}%v%g>!699ENx1a;1=4xhO5a|k!?g~}|d(B~wna&bnhp>dc z+gpJo=*ERQfQV}XN zd{^dCaD&S;Dno36@g=4ei4k7v9il2;!! z_ujAB-?+FhT3=sm?Io(Wc*`7okrz~OeMW!>-JF*2Jijx3Z1&J!*ERf$LJt)J8*E}v zBBZ?8Z*D?B;yBcNwbaHmJyN0jT;P-5CNtTsZ-N0Ky zF@&Qus~TS+4ngwActa`c$CKn;T-&vn!-4q}>^ro>yJxL)uhtjVq97y!>DpC$xnUm; zOBFOrXygxljjnP)v&Mb1VtSt$n8HbUxT8=zj_Oa%)JUi)J?Ozp*?#wP632w})cDlM z*7v+NaRi%QnmCfqLJd;gvuVJ*+U+(8yAV(S20Ng+-X2*viOF#W5!L}QoVEzH_SKwh^K!y_QrTphFw+2!UdD-J zee=upc71_ag?3Sd0O4+@kv2vs8xFx`86)XR8GZdyg*$09y#Qc{A+%v!(Gr>ngc7q8 z*8t2}3ckw*Wa0Zyim4L&pNs(SPpgHO>F)~}V?f5;Mws-)BlnQ+c+;C5OCIs6r!RGk za!0bUcm$gwe1~c(rzml7UIJ1+t6BJTqTo0gq1hl4H8dCmiS0~ZY1&?3sMnN%!srQR zkyy-80jl*Jgzpsf z!+99=_1@m;U~(Hb0~PLu7h{*Y#WW4_>g^F2lD_djE%tvFTEeQxL)3=jR#6+@wfvznPOz_pu8$fp|r@F z(?Z0tTNRTtOOig$3gdh|Lq6HL7Bx9SC#(qx|( zm}H6uVK*S2jv%dp-h6l%|J(Nl(o0;fap6gS6oBKe@%ym+DGUea%Q#9QpqAb(3SLxC zvlq^*wTz!wRA8vY1t!TfWw)GQCn*sCg@vzKq^C3%HfZQ0Rj@pEs7ac)9B1nqV{$Bf zN2Zg#m49FB;&X#D%o-;v4R;@_gEyJh4sYwc-`M>nw%$yW(jE~*IBgYa$JBso*l(_a zGGqUK-{N9lpWj>BXWw(Wo^9E4i$K}^>*(EjEy~rbS*}6c^x1#7!-J0-%*BL1?H8pdkzfo>UE*gXc75m5NQ+mfW7q^_Nl8aY8Mjw z!|xH~ENot?8Xi`U`3dutuA}c)k@m1B5_Grh|DK9+VjL^_Bh}{sQNnB;-U*WlR!;tR z7gco#8ag~0=-{e){AN-y3CvV>!A%EbAbmOm*NW<*O)wzAajxNzHq0~vE z(8vh6DOB5QEx$&50p`cmdW{JKJQB-~<82g`giUXd$9*uC-`Jk?Z%K(1?%mAlZ-cvq zNSfvAOxxM+0*wMl+_eTs3JFJ}j3KQhJ2gdR+$p=0+N!VVj)_{m6q`>2Mo^W3GArgt z_8-h}RL#Q1sG%#)aI~gh&z?}d#rI*S5fwXrFvg}0n-kjlQi0-lZ$8wm5ovEaj{7r5^ zV?8vL;q7GG@eW0SUQ$)qQn+|=7^?d!w6?fb)d2uXj_qo7bgZ6-l6t%-I8EDwxT5vX zC_@s-LU1^tg-W827YENLVs^`3>-o zbEe{fBMG0A$}Dy_y>RL|s)bYYOq30lno&9Fvl#Fvy{IYWZjE(FX@!~HOIYu!x27Ym z_8w{7Z$B!vVyTvwzOLQPHPLMh*C0D$z`gZ#MvkFPIX-0bGZSN)`j7UU$bm2R?Yjfc z!tk`JHQ>e#m>VhVKCwTxN&N}Mz=!N6`54ZD>ICW$s>-Pr)Ylg}AvXx~PVq_Ms`wyk zya<;=USx67Z2ug>si04%KR9tXx2VTyWXRf*t`x(CSn%YjTR!ksR7qo2BSmz|4f!51 z#nswg9!?Ui{+JabJ~&b*mQ%2>B_heC3-7&5Nx*Eli7Bmmgyhx3WKn+?n!$3k1=+1= zvS&oYggJR2mpAhXz$2+5VGR~+&`a1REX{W)r8>o{*@TIxGFx>?6$l5rR$%C|1gFWg zFd55UXjOl5Fgv}Ber^j7*8SesyY10;vssPLuk~c^vwuf@az*sWa(K7mOR`XLQ6PlN zmC^Qv36hLY;o)QdBCUUp^ zuy}=d2@;v8D&XeHbj?Unijur_|H!5FR6|XFgl_;WDrwno;~wX|^^U?kc*O7+m$$zg zT~BTg9)*om4n85NJ2iK{|Mk#oy(9u9w-T>MWyX!@XleH?^rk4D5FV5&+=b4qXJ*kX z?hi_9>lKP!?<#nlJs1^sKZx%dl_6BtLA-x^*#e8)vX)Ffc$k7QzT_O4u-i2os=#^j+!=7xzlqCRFDvi`kQmrW{p@K z7vaz>eIRcMuy1d1p^}h-nEs4$j3;L>bS=6iK;ywpLBAZ~sy~f{g><+fUQSJ3%`YxN zuH*lrxZpmHzdyr0Z8rV%Y`tjiy?S=?_P)Dq0yb*jduE>NB{OS=vi4#y%{wU73MyqT z5|(L$mu>DnTQ7mwovrcy4DDTK6(4`Z@y6}uewLAk`@ExdIbUl|`$oeyD9zYCM3xA_ zf%{VM961A^X!8~_`~hRy;dZP`zn@~%wYV^#9ZopjFYZeYc-eCXD#$_Q7+5qEpLnL>!kGrObI?a)@pxTB`)1Nl^n0P-^C)l`AU%gN5=K%-G5^TkSxdcdt&5 zfEAn3SOh{sSVi+SKoFo(XEtq^r^snrzcly0J^{f{y-?ztA|Uj)7!MH?e_qT-ugNnb zZpzY!d+GxqWqQaJxOH;S7{jueB===9w?u;os3UfcES3Q)-tRm=%`*})K+}9A%Y2jl zpfO4phs+FRl-pm?TEQDz6VVD9n%+5?od~~r-l|oRNEU=-JC_Lu5{%N@*(EOAy{Ln} z6}TOyrqG6=6RtV@UjB%{K)E)E**MFjRizhCC80yoFo8Gv0Q=|$AhDyvTghQkC-Car z^=uL`i<2Kors{ol4wN8 z?XieIf`Ms>$7T;`cxWwt(6|EH6`R=80X3yG?7hp;-K95`)WouZ!cEO z|7H@1vDieToD5;#s#G1TGXv<`VTcH&e)QERFoGd2mF)L_Y zWq5Ge0IUU!eEoU1xhY5l?5 z7FvJAHDTIk3A&e?9)Ycby`e*mOW8L)NYBkwAR>^Lh(L6Xp?;2oO#nw4=_;@Yi5O|; z(4#Z?E6u4xdcR|SuL&-(1n%b6#tq;F)pn7AvTb+Z^>HRzL0+x`7dNCZ@fO7)x{Ef; zaP`U%J-W;0XFfTad*faUf-~;z)oybmrV$Lge2?@T+ib%e<69c}(l=`gtld|Br1{Tsi&6&SKVT@*r zn`BOb10$k&oVKpzis8qgjk0wwzCUa&^kL~jV^RwHTVr)s5LHEbW$D0E&TRgB|DH5j z15Zu7Xr1fwr6CQER9RacH27q83dm4puciK+FjIE+HIEDINZSWdx^60oGnLL@H>g`tlkLyU$RzjlraX{IH3oE-*| zf&Ie6;Z=34HRRwB%MCeFq~bGN$BZ@$Yg|GA4Mk-E!n;#y#W1jk^!5rKf$zki{`NQP zn+z6?(U_8MkwV$WhrcJ(LtDnXn&7++nuutxSeSL=hx7V_e2p}i2?Xz49@>R8+?4aM z@)aArlsP9^nP*R8!H!H4oJn^0C%bcWhskYx-@XSB!ycm2A(n~_x-FY+N2)pey+;(c zF>sY{sxX!Cj3QHsRgKc*XFrt&@C~?hSO%mKdgnt`M^ula6^wT5UfCF|;hmXNC5#x= zyO4(qt0`hAZn3pYgTrDZe}#$Fjt4GN>oaRB6$-Qk=+>@C?Oe=x4-pX(-I+DEj6CG; z@0puelE-;P0f0NO6q5v2ZYLT7#1M$n`jX)h_EAs_0N>?-KhjqtEXBbT?wJbBt+?%F zuPQG^Vup^OK+M1+y`86cM*xc#%A1hK{peW)C3t9#QYBQ^Q-x+DKTfP;wbL#;tg|xQ z$_m2KCC)GQ5=oMGG&cv_tKq&p@Bi?z64Y_o8|2a@?_(4c2!d~963M*PZ8bKzgkTNg za#HmO(S{wQ1caZ5jog0)$Fm-<)Vzv`K=rtbMNhqV!45q|X7BPTEjEyB^bn19O`}q) z2_nC-Vgrtx*y;D22CyI}5#s&^t?S~SImWRWNX~3#wJ^Eh1(Fu{g}1*ic(GjV_C>e) zTqJB)*^Ft7-gm z{T45K^xbBA6b9?1*-G6w6>60@G2P~&ue0YD4$blamt3TC8(O%06ldK{eJba&5!R;c ziVw%~yrIHoSBsbSz;1<-6Qy8jU4)6QI7E5u-E#C5+7ks&ua#8i2DBdcQM^pKi`6An zF7tC|`X=goIb! zdRBTHSNck`L#FChXLl{F&B+u6Ia~@U$Qg}jt|dl9{xIR6OPpWq2~sMTB`3`mG4u-% zDZ_8`%|S;x_Rj#_6`95LKqg~mGA&^+1AdbNL(#I0n(8 zhb&~mqLtU^8W-TBSbqBY^hgTf$U0y~=#H+s>K7^uaX=~=iM&D*w!QS+SBUR?o%>sp zvfU<$s9d+sm{LC}kD5>1SZup@@8V2o+Arb!`!E6EqA`qq?(TYxQJ*^~q=jNP3-pND zASZQN%sh%_xP!|zyaG0r`~aQ!0I@7bvaa~V1NJxw;%ck5In1WR>#(<~62P*o;Fg@r zVGSR{@`g>w<@IR|3M-P=aoW;5DbDm&a0qi$%`A}h@-m!p!O6TqI{!vRbF)OfAsw-M zSS55`!UY(Z*MU03KMcL$(S&O-!7>h1oQxNF&s>^QQ&!ley#X+%nb$65@~L_elSaNDD9 zTYxr3vAd|INmkJ;mfGUVi}{1u8Za=>H}q()$Z<)`YR%YFk%@<5*N7Hx(b>cpIc^<<3^RVI~rqh#ghS z-Js#fooKgF7S|4Hc*3-|*MiQpe~qIJmJQhDEIU1HjV8!qNfK~jcfk}gYPt;7?NMqS ziNC=g?|1MCxI^FuXs}u)){o>H{A40V3zD#(1*4McmfI^ueXYEyRS5`R; ztM3(2Og4B9A@^!P-;GJ!{DNlM$uA5x_{QLgxTjONs;5Iim~E01qQz^9MW6UD)x*j< zq(9o7{R#BevUhd7uybJ|zE|qOIIbcJ-kHr!Vv6A?u57&gwjK5?`x15M$OY~-M-Fh` zvAf!Xys3t}(vg6>^wW&!&{(9wS}&b+MG6L@zXKf{zfvqMAx5<#P6-lv`nXrK0(gQ) zbSww<#qWZbgoNbjpKox{yF-W)ggAJpQXalWSLi}ZfRq0&7T)R`N7LZ;?0SCt@dLnW zwbjtKuWS{nyH)B>LQp|&T(}=g4Kl}T^k}zdkfTRX*-yI4)V~Q$7z$V?g%cnd5>n3% z-Q)Yjq#cQWfox+}e&g$t`v_PjyatiGvc=&j$ojS0J(#(_*nTSQ=h0N6zfHb+{`r6k z%RoEsr{Kfsa$5(zL?Q=-QuW2mYpEj~Z%HmydbDV*8C<&p$U%a1dLJ(`ytD7rSd(w8 zXK7$VPGvDnGsAcmT^Km0W^DWnSs7V*FfpLP^y!i|6OW5Tlw{s&=jT3+TjEqa7` zfohJxy41m&Nb2bZIh}Kz)*G?m2mHi1oW|0A1z&;sCQ5uJPn}pnkgg=dpfKkapF~7{ zRI?tRxYWR61FO>=^=@M@mzfV;2fz+bexO%((&K?am=>>>Y&(uLlin@f{<=9x%7pck zijK;`lM0Tll75B=hGj>ky=Fdj7zx=!+^Ey-f-;%O*L!w5C5t8`4=x+?i}WVSs8u+> z2KD%ik6{914H2moLR;yr*~6C2*E!o7-So6?PC}mNu1)!JF>y@O~cD(>`-H zzltg=NW3!e^*|!URXIzRB1z^N)k0$I-#~Q~_9_&UOnxdAY8nk5?!hvzV zGq3!(`bZd>>O~)a1UV&Ca&Wm@nOYvcCUsTx2b(q3owj5JeqK`_()dicqSUo)CW1OK zO1<)M+84Km!xQfT65P&sd1YEGooBb@qX0W!Jd8)xI>yUuc1HVDG%45vNn?5ncS9jQo z08C(&`#Y|mmGe~4e7A$)7thKU+2);~zK7axR2H#BjAxt*rz9DMtmt%Mq5BF4OA|F% z-cB;EU@!_gsWKbN-i_deMAl|s0nMTcr_POWyWtJFX-2uS)yAD9Y%nrj zZB6X7z$~g8cK6m)?%M*NlBK#1>Zbio+|MR@`eg1VPUwp{0d`<4qq|o$IU&N$m=wCg zOO0DF{h-T=V=v88xtw(IgJa3hPt)Ak1}5Zz10kay3D+f11f&coa97jHCfMsEQ)d<928I*N z*Th8zhl_V3V zXs?{t`EbrjmprLEH)vZf4J)GJhSKqteh6CM@t7+Ez$)Pp6Ct}>r-2N#;HV`;i&>h) z(o2a@S1!Dv?{`Setj`jgUJS|PMG^K96F?i&HT!-z%)`&42-ygAFAFXp!&KDz5Q_%NG4cY$hk|>m#Y`0%E^VHg zI&(6YW@DV>)U=SzXd1-4DWSsx3+^P5zKS%pj9da!OP4}7tdh+paUq5^LGPM4+ zn+~?DNkEBcxMiniZlXxx83g*jb}m-_5lpc@yQqA}i419$P{t;Fj@TdVm5du(u;_9! z*_8#s0$ZX0)N=WoPZe|+lF33Noh`TpTfa|_|8(#xzcIZc8gU|n^^Sqmnoze4QpHLz z2kDKfs#@%?$cY2}KUrt@A+&@TGBF*ytiUec}Mt$%!uu<`{I~76)wu*1k+2*q~7gk_3gN@X;uC z#hWxUor9Y)#@2w1vE1J@k#NaDA7&+7K{=?pVuTxdB{Vcehk5zr7$SkJy2&P-r#?rp zGT(t`&tuBY8FQu3wiO&CIY@&MLCCKFVg0hR2cB$&E3v#4cf6)btg~3Y#3%5 zbQzO3*-QNwC@Q}3maAr|kHL{Sc8pjUBZR@Z_KYA=kw&Wpy9oEfY}IS_ra=8+3~Whv&gVs&)7*4_w!71e@w5QW|khW7(5D3p5>BF-iJjgXHi5 zFJ>(?xZ(;q=<(lkd1WUBa~ACpsb(Y(pI8PdOB(ZT?WSvb`XqKow!r-b?qks>IEBsM z)fa8$J*O$>mnEAq7M(VP{w3G(xYUJeK`QNLA#UA+WMtbt6ckfCi3B3nF29n6SRar(!ThvkYGsR+ zNRY51EbGS*n0%((5o)fA=$5Cv$~{DL#zJ;wC<{rc31?@XmyQuHCZ=o6>;@41z?8Y6 z01KfENZFuDW9ZNzQxQJvIOs3lZjkxAz)h2`S+8szW$-W4e;9a&&p&B(CZtJ2=Mt<^ z9m9nM&dwr94l%xsXiL7kvn3VU6_NKjh9fX-&V8J#5gw_K!I4>(zyQsf;?W}3Gsh(C z;CYxoV`X(;j#3!fE~OL3z%2@5;K<%7vBBM2a9iPuo9X58^$S+}2BMEBpDZs>;Uq+) zF?ujLs8|^ zgjsXuMM@4KdmU^0LzGM)TOymog=qHJb87#qau6Y#(axZt*WC&krp&g=p~EO*M9mNXUA7ZW7ECNnwy`v$h05nCfFO3R#>#R%KNbzsNu@< zjXY~Ek3+Blw;ob63Tj)h(|P@CO{V4%1-LZ?s_|+~2*Au?pv-0Hm|r*~&y~H|WJn%I zA+K0VCjmo>>`NCsaP~MCv)UGD@X$}ZoOmTGFoVv?uc}od4}Zb1N{%$CaI7-_?tqrv zNFT7eX&UoPFEM<{+eqsP8do+*x@MKlM7ffvt}RJ zCKLOX)TfbS1C{eN7Icpy(^dSKA4)VP;8c1had$T?qm&+<|K_gZ3cH*6_p_!xSs60S zLD>#8DzA7$NpdV5zotifdI$i0lS)PLYS_xA(DEqNnTFjxAs6UyMA^dT;SGdQJYr9l z?HPzRn@-*bW9~p1{7pNN&sagl;S~?Dmt%O~JsG673W2n?TKo#BEFv=trYPO`m5?7 zCAl;@2t5$@mD4P3INei)!O`zg89`+00l{07-$D>@T2y}Eg4(28+wa@d)`;J$)QPC& zypi>9h;wzSoimL-4gKHvC-3yti&boPxIa4i^wZU`a6bOmXR(Y0?*<$|qK=rN!`=N# zWiZ>f=nz+Rl8MP+^lrnVns;=M>v(=0-rf^vmZl4yWxp}o=s36n;-aGQSVvQj)atFJ zEi`i>$GSR=9boEVBE0u1CH+}2O-{AlyF*J}ze=E~0i?EJRb{or!ggRHyn}-heM5mb z8HPgf#qPXvNH1Rf_UPnSpMH8Q&zVVL^-MxaT_V{CON}rPTCbdb_h&+?q~OLQ6@y z!@;0%?l_fHJl?xl7BzrsXCb1lRw$R-9zDTb^5QBE28o_awWt`8VY=m=r8gSXbz(_7 zcn5#eS~SdL6l#;wQnCN;0bAq{G2d~jSjoyXqSy^w98rrP>Xpm4#`P~6S-TBU$S{5B zJl4ZjdyoDHy9iaa7*&znUMa4Ain}{ucx9$3V}BR$c`Z~b=zLnyawvq7>lP8riZU?+OSLwfW4 z7PjS6XSz@U9y-!}y*VdXd>_H9kP(WuI~DH11bzHq0v#iAFOG(DL+5R(0>; z7bcxF&2}yVFk_$}Hfj4n#_?8of}zbUlXE+NmAjpk1qzIhh#6fFNGK@4sl!FdWoM)x zVB*>wPIbnB8O_%=YDyiz2VPMQ5z=i)-p9>aMi&vjaDs~v)ll`V+%53$5m6<1GXyT_ zdlvKCHD({%wOA;9Wzx^T+3i7+`5q4B54$@A+!g4YB9*g^UONnK;mbDnstWhw4W^uf zut>e44ZK>1rpVtcy!dk$InPYhjtFD-mgG=XoUp?Lz81eh z9;nZI(WJN%jSU*&rS=zKU=u6=omoxsGfie|-Z`(*SB~_P{>{6?eZ*@m7u@h(tXO?B ziwo4j2BUOJz!I-9^PQ}6mAC=x^Mj#03#?&0f7d5m3j1^RNvv^jetV`4@BEy@jP{M(~jIv-1 zsT5_|XijHz!f+OLRFCWh&b7`v@R6Ha=5e}VR8NHf^XaJ&3Rc9wGvoW2^k zx{s|FsV~w54Z^FiLj5vpxPz?dKGJEm5jR%g)ov(~kvk;e;#Q9wek#@pFDrs}1#>4g z!gkLXInw@8br^|!aR&?*hB@@uF^Pi>3TIW-G9Ue4m+fIO62|YL4XH-qB^sMtk*v%$ z5^l;vh}?j3EXI8QaxigiF6$qE{VytyprR(!BGY?uH-g(*c{4Y1**_XRtcgkZFnSOK znZPPWS)<`J*Zw#heKXN! zeR1o-I+6Z7G@ojZ`*8emACLD+;xTiIKI^c)pky_cg*!h)(WTZ&H<89ul>0V z%8U}o(#y(=^WJx=^K;-5+BgiVZ!;DR3-TC^A=S^JXqcM|rM_mPQ_>aye(^emxQvaG zdL&MpsKy{yVXCW@z}>?d3&~XRrj+rRnDWDW;S{qaBg{+AvE9z0Pz0%~$m0>$;PbH8JW()udl5hK4Xw)8T6ecq}unXyyx%#p5a}Y? zXk@SkuP~Df6&`GmE(8{jN7!nE>WTTp1}360S$_baMLPtE`&xvVPcG?G>p0xR4!7CQV8#cPMy0-zy35JqcecTu9uO7bsmWHv#L#F10}~Z{g2&iZxev$W4x1wkPVr9DIS%$EiZ-+Q@ZaX!Ccbte>&(TkpQ- z>LHrifx$*ax2~%8*64nrP%sohH2Kq;4I+AIk&R2cvhYcPxX| zfyMNQq&PsyF@>!VQ>oX!9ti}UBqKL`ki+^CfhL}#qDZG4LG5cM0!x^K;@T&cyuRkO zgoMvGS5~4AfKDdOX@kv zQciVI0jo`YEtIk<<^MqyMJKQ=L;9u^810-j)Si3!S#$$at0|Re5!xs!@8~8%TE+<0 z2ofLEY$_3knub#|N2{?i^4!&3vl5`<@X#JooFrIhTrhZgSFB>#qYcgZ-QLpIm>aSK zS75`LeF;g7Nxi^n)+2y*i95AyVCA$A8J>bBLmBQvD4{%K%wEaVjJybsWvBA3n4Y6& z(Pr9p)--G8L}zSwwF$P01L-FDafT;P42_?StraWTmD6PX+V<#QFSbDSf(Z5I?){pq zvzRxE*Yu>GlN8?PV%jS8of#)VK+cg~k->8M=}AJk7gd-^zq_|1SZk+$32 z?E&}?n8DyZcB$SO$Z^zier}~4O+kyDP6ckF5P-t|Mpa~Y!}eK&?EY~-<=d0H=>^FF zEKFep!PB2s^+uQq8iW5FdNrJGM>>a60^M6dmb@HEzu+)J2r6p7M9D1@Qb%P!>)@rXO)PV|!Io**~mU^-9NF5a-X}DB-WLRP{7R%tY^wYDRV9aQTa~3Pj zj3lKK7+*fI=cg0S(Cf4**{7sL0aXUZeNMS7b~&&djL~6=ULswO4!{8wu!|Z{Mwf)? z8xXxQj?`Zxws(QC;v5c6z@!wrio8VaVQ%h#j>3^{F$3#kj4lqB;u^2Y?SVQYhJ_V{ z2S1bah?DhWLwT!L8q^ORx0e<0uaKzUS$%(bJ&I}kepfs;@U*OXUAq?5+pxZ6A~r<5 zFowpa(XUTYK74(B*j`wr#ay})i`d{O9&0a!&)gv-&sk<36;^A;1B6B2y!-gyV6tt4 zVAI4xXEJi3gA2Y>sY_29_5SW~t~x@THK{o)c!TDikyBqfb)Y3@z79{xB+XDxs#R;` z7H8CAu)0Qv%LCi=3?gzNPmi1Uk1Xl1Mxr?NY*DK#OtXVp?S^IK@RLDJpC?a*cZE`e zm(v~zGsImx&}49h`_zb5U0&z!`6nHfqGgH=B}_Y2X?S#$*!!4%=}Xyuy+(=zfdXi~ zybfZS09IG9*-YJDM_xbI3WOV9-RjL`oGkLU$b(xf4-t432Xa1X*fP8APg?71HFn4* z-z#wxhT{p*1D^+kkHboOQN;&L?2Z}Y8P;!UmlmElRwCKuy)Fcj5@SJIUkBZV_QdQ^ zoqTnb^Jre++4!R-zIkb16RT%kw$A6B8f5<5tr`jw4eN!5>>6hL{GFqg}i(p^w!V~lJu*K62vJ`^S zs0NO1QbnjPP!YN~R)jS*1_s(w#sNpoYN%p&C zN8k{Yz9yKZi#3o11GIV?9_F^DQ&p5$*VzI|Hj#%5pBoV9BLorPGw%S5_S(AW6&g^Y z^9r63B@#Ow2o1o0XYdd5f;|vu}0Cs_ol{Ap>{ECbDw|QAuQqLj((A5p`*hM|=i>fBawYLpeIT z|K#Wt{{uDZ?cf#LR06LVaVvQ)YVHZR&web zN9tT_wf$wYAOwpMTgNJx=U@cTB&+HX&7l%8sTmMtsUa2k-Gxii$5goVME=~V141x0 zd2sFk*FN|Mm^92|=*q+b^8-1ljow>t^LZ>p-n)vX$nnOIAF^qeB+Y;xUDr)2Gm3;6 zK2u0&*lbc(Qi9IwOI9(0OS?sJ*ZM#$dcTJ^bzQE|?w+gwZ*Oob3+gq^Y6hopwM`q> zp;C8er@P!TETf|`@MOUx&bk))2{=X~|-j*v@C*Dx?kmHDs{Pv2YyYC3sa?T*SJ zMQ_hIq$lev`sp^554i>NxG4v;tm;VC&>DEwd9 z;ui_O(#cXxsc1aiI~1Mj{Zi^DZxVM5-uVbj=T2P7Y);J)fi4l4!z_H0dBs17n}OWu zg>I-{!<9>}Z$BgoW}n1MvoEkp;7_FbW~QwX87ZHClulh4Mn3 z+Cky3TWu!6*^XUHfmCh|F^UmAA`=Wif+oWgvityug!k`15uc%X`sy{>wMScILQuKa zt3*N5X@$8l#(=v?Sb41$vGa7aFo>WJ&_f1X<`fpoDbE+%;S&7*AdHu9u*gr}W5Zar zQ?Yg8l(QWEu7UW$f7#z)-2t#N<(?7M(*ua*_`cPP>znnPyVYY{<$k~?esTKZaT~QU z=F@;1N0=@OmTW8Wi9+yM@dqqXT7mgje1?Kd0>@%@MA(`-!o|CL@7yyUj;fw&|3HC; zkFLHcw&h4MpDF~17{u`Z5&ZoXXlfy_N|70B9B{BF?K9fWFn~L{Bs0x(i%Lby{}Q6F zSm^CRH6XNi78VPq!1P}tqE6gSB^p)YRRSJnx0t1BKo7aD@!|-LqL&7y0!K%Gr_%-4 z^y3HJ3p*4ay;$Rl^G&nB!lK~D5|tr+ZDS9MeTli|QiZc>sE($fAP?f~#JMxj<>pH4 z{Nnm-rE4k`jSe7vDf%_A``m@@HT(j7jM7rNxrWI0LhJ9JC|gnZuS>vNDnN*Ssa?qx9;^Sqc}VguZXw_w$!G5RX&nG zj%TG$jnXW*_{VhWoy%V7R$o%MHI?U6kx^*iluDk&d0-mKI27jm{(v~&u@Cd`31)(# zk7$Wu{g*`FU_V8xALX`XF_~CpLg$(S5bB=&b z_M@|Qz5oMW+>>8$D5I0Sg=V342q})D&^}AEq_BQ_gsMY?Mb*CNUSsND57_E{XSyqZ z#Hqh;7i_%D+*KOmb|l+SvnA+7p@qpbDG$jI9`TTxM_|vt-Mj&}71Rrrc_nB(zJh5? z8GpBsKeErM!(5%i9OMmch8x?F9Zj+7DfrJ_f!ymvP)&QpK!$*n6k6-n@qFn?Gb$$) zU{YyGG_Us>Rqq#Xm#@a2#V^9=%y{rC99q&_cCerLtj*ryiJ)gt_5s5;!0rc~yWhQA zvtE`H5?kU-D^}yYKj1#^)$oJ1RF;vKn*PBdc|;uXYKuDC>YzL%3E^eR*Ipf(Le$V{ zM77ckLuz4Ns#HTQiSpvsd@?C@TRupVhdm^}=CE?&Q7{jo&&@V`m$e$vf~g2>oG(%kLc+fhLbPRcm%<-phl_=gI|BDa;T!pbJ6 z9(3J@Av8O)O+G;=0L$JjWs%!=uIWjT$ADG7{ZuTDgyZS0KLaIh!5`?Ugsn z*)-prYgo&GDRn$SFZU1Zb%}NP_#dQwS?p|3)H@u+0UD)rq3ZZTR+?Ls^8`$);O5R4 zb*FYY2R&Zql0cZYpPnC@fB>cq>e^)+cFA|Mpm2jhsXbgbFX!RhWzoT58!E!8h7B3O zDht5k99&$Nmp7Z8EqX2nLcK{3M7DN{DMK%U@(VjS-(0^-!%DDMTv3mzheYrH^4ZE?>wonw(_ zvZDb%!kqLk>ew*MMDofL{P9ujB~t(zIK~LHV2*7vG*b3pxf8SB+$1Qin9trk<>i|_ zBFzOG-+2#^Bc9ik27sS>$H+}mHB;s5ea!ALszi0&g7q1&B!(-2AT;z4H8MxkX{&r1 zjLzi_*bNhW^W=cfKWXnxnBD0&#;JfGm`Yl!g9fX|-~_HV-{a0_GO&Fxj1UNrE3 zgFB9n3I7HLi@A`x(Zkl^xTVgoVPr#a){4v-LRo-ZsHQY0%RTfSXKg`2=c#&TTI{3N z0wCK0bU=Rp-NkpjId(#daY)ol$a$sj9d^y6MJf`I)pa(ppCW7(Qvd@|zQxP|R# z#~xb_BxnB{0_u8bnzlWGK5*{|9bcJNYFehGV!9N3BH6!@=&vz*2&naytWKv6DFIv%|yq{X|5vB7wky;CWh*SDhR2;6tz4B zvWRWPG#p%7#_PZVPMRHywKZu}J1X(T;jbYnUZ_O~n?T})AZR6AnPNa42K;rge#J_~ z)r3K>S5tc#Dir|S7pzfZU0;|CQHIot@r&S@suBBfb3ubf{L)yEtBbSS_3aOTJlr-1 zEdDCg!cEU#{PorD&HAdL_q}a?5tIsfCu+upZr*Vo;@M3DF9_Cm;GV+@9^hv2ql z?5*1n8_=N`0>|j%2a3soGlzT#Y(3;{T zW{rV`x_=+8sZ@_ACs5w9Q{DWYef$X7S!^B$M~U?(F z0@B^xDJ6C1_W3;Locp@x-hbeJ`CMC}l^*qqb?!{+9yKike7FslxT*8Z60^=j!uMht8H{Tvj+`aa}dc1>7 zVo3Z;_{z@>ZE#8XjHuFy?a7@m8jffB9U4Yw^EKkE_y6a)Y*jC`dfrMRAyFZt{J)*c z_Uxa73uj_x=!rrP*iUJQ&Yy}g>b&aI)7F!nYb@GcN;9R-4R8uf*E*ehPSh1nQs^w; zOo8|5&8=DJ+D|=2*VP|5b4h~XucF@mbY+@03UBtGd9hBRCqEORG~L1QG|NC=UE2}uVkG(A0$+Dju3?2^cXXO%dvR>{{T?1%+YtiGb4tH2D;rt*oxDwQu!1!enh2USvZXy|Lf(S_LRQ6%j1?xp;$>qZb=leEvv_BA_HEOrDcwod_d2(rx)E2$BBOtz9hed`&K^xAU>fF zL&q!3;^5sHY9C!PD?tw1(Lw#4O3P!v_Xq6`2ZY8P?8u~NdJOG5#QsVVDq?C+^*E$4 zZ-}m6)2(+4tm^DEExZkuc*^}GIsI~6f}}65{A&V}@kUnHEzV1EOvVQ(u_sji_tP#S zB@JvZ^}*qU&iJ!r^-oC4w?f~_)H1(L@(~!C@>RdkFf#sXG1#8P zi(~VYgMmIu0o$KE8+}V?a)fUlC6}WP`bY%pk$Z(|@kg@E&PCi#-0!B|3sb=*aYTZ7 zNXRqN>oy7aJ<)kDym2N!!Cq^?)K+FQ2Nke<9^?h=G1ySbU;0CiKcSq-1>)QqpkQlX z;{Nx6h8c4)yA^SHCKijBlQuUxV=d-cGh;Wjp%X2}{RBUL?C#HSRmC_)+-p_fIiOT} ztj+rL!NbIxtyup%6aT9j@lXDjT_(4`yYBuh+-;cL?kwC@TrZj2-e&q=#x~bA-|k(v zH(xJU-2F7U+w;F|-dMQ3ooK%462HA6q`Nb}Y0td9n6Uoyz`=xe?_yzQ=m?uuR6)p9KM)EzH#_s9!clmbPYW!=Qv(iDnD8B?+m#(5OWF$y4{5akxgUZ6lmC77r+!$TT2q_HW7XlX&AD<=wStw z-r&Aqnpf}FaN@NS#*O~+hWmTi1iQ9hi?yGRa^2Rbox@G6c$he? zq4jIO;3H99|C_hmX>|VV*B9gCcNa5%Z`wxObXrbFD0i}Q5JI;w{fEwIbs?)p)LAaLv^DuRf! zkeGkRk^8qQl^uiY*Dn;y;CO6OAw!6${kR!c)5v31Y#qg(2P%eaITX?HdKOP27poPO z&WxZi7*B7#R^C%eW`?NFd+F|qJ>P#CL7e62k|QMKRv6!XkqH_ZpbXa`QxwVW38~3~ zWe!b-4VL5@BEd689+ajJypDrs*Wd`^=N8(eE;4F}R| zk+`dn*6M{Z{8kOiV|>ZPWHtWLPSUJde`To3)(kUW{8POK=Myu(5|O62lkIVjYz7@ za7KM0rlWV3^bVwnQ9l&1%oEYz@!G_tB`}1L7Bmg{JA;-q^XQYW)?7n5)l{uSvT?I> zDh!G$`i1ebJsO;V>;nH^qgfRuGhFzIO^3#qZ@%%3rq5%$@)$@PSkO>L$0tyiOSf)4 zW}Wizj88z@c}{Ms>r>2P&#Nj$!Tv;Wj%Dk6s~3FeHuyW|yNEVuVH>cv$hoSA9}lw8 z{N)(h%Qycu&i!tFOI7h4AB^Kacxi;?ZBbXtM=SbNj;^_DB17vqeB6Vx+k@zv zx6tt+AmwwWIRSme0KXR7^4GFV=Lp>aW4dl6yyK)xhndzeXlXgCX;%VswCpH(>S5`4 z8erkrL7dBX$7_GIAI+tPzCHsU34 z-S=N!!tTQ#rwR$Q+6NbOuf_FRR1qAY2|GEz%Diqk!tCRJA7M&cXv)9Cjpe8>DD>r5 zNc?@o;A>j*9{aFHjq#>IKW%%Fo?Teg!!&ueG{8;TVzq*EjvnkjS@JsaYC*RpuPV&t z$;VAFDwP?@xDn+@OS%MHhsbNQt72jYT9o1(aS4G%+fk{4Cj}MK>z!T%+`_j`*-KCdHSgd$egDBXUg-g@Z zU$3vCRpIC4q+22AeY?Ndktn_}$viQ89WaHVp)tUtJzzM&9{aO^fe2@yI3bm$CxQ;J zbnB$mbd7{lh}n;m=-3)bt~AL+Pf82)`yjGf~$Th^Q1_?EzK`~BZUapA6#vura}rAG?4xv}RgGoJoQeUF9Skgi4j@G}(H*|g2MKXKv{ zp9;kNJh-kCH(;GE^E64-6{bY>>?Bfx_kc4Z!hIgHXFtBwgv88R+bWhnjnU5^5%G2& zas-ka$s*$^|KvvNoAV+2+=7A)hmucwjsk;utD$|L*VlD4ep#pE?S1je0gajudbc*H zsy19!vSM!veLw)I2gHxgnP$QnS>DdDu>J8=KCRLV(+G%9m^aOYcn4cj$;wK+DGUG} zg5wC=rrJG8K$G?5i(hN1ghu}m<4SWQK^Im;CP=+>6Hl9Ks@Gi=pk&sFS|iU;Eo)`q zu@XpgAR)bMf*;S6w0k3~LPCRmm1qe5#~@3KBAZi%8f&LyRdmk7=5sAS5O?T;PK5&k zXH#R_*MFGBc>!YvKh9l$*8k;f^cZl~_m{KAgF<%!1ZUeiROOL3z}hvx2mx{Qz1xO6 zh?QT@1c8SpIXRhV&$W)#+e^Rl?l-)ukCjgjG8a2KrGd{R?_Fn284pBU&ud;fj4x#& zF_+Q(`62eTYy-2OGeX`1d4@8UtYWC^ifryHV@BWl<%NdEp!F`MY*h>=v+$grWKSPX zgr&C-JI)^k(rN^I_b2Z8nr9OFiOB(Za&1ITAxIEwMv{xhY;pKg>L2iGr~j- zwmBvTDn0hwdUT}sqJH!Y(nit?JBbbnq+Z@5?>}?akvWWuFs&lML>ClglpK13EnE}e zs|7d`{7Sxp{zR~p&d^5HQgN^leK$8JYX}sxC0UErehNWnzGZZV4l(fRM@7f`zmJq3 zZF${%rSZe8^K)zxN~MWh%*_c>wiAW53eMk=jZ4;2F&K)mDP7p^9Y9m$3qzqhm>ZNc zYvQRZ^550$ZZl0U3%Zwz-N+)$7&{dG8cPjXen-!h8Rncw!)vm&c%3d4WS{n}G!BDb zI7g)%`G~)*Sq%I;eCsZ0}Cmb z2l;|`B1keQ9e8G1$DVvqt-e^zpU?|)xm1`)H=_+hiRg9AZ$g2L*elcG!Kqgx8xEF}91dz4DkVCP^(Wa2 zwGVPJHt!}M%A&*>VKKUx=9*%XO7)yJxbgRqB9W9D=KXH^VD#IIz;QH7b|l+}gTRTT z=^I^qJ=xX+zot1+HcZ6=N28Ik-DL&&0Cs&+5*c^nLAmDpYVbgAws)|dnn$$A%r@Gl zL{qZmaaFH3vS7w{_YXCAV&$K2)&vD-&1ervzSXBvQY^p2Mk-A0$__AQm%wT;`s!N1 z+MZxMA*gVN_HGntS|S#mv04IXg1kn3@oDQ^A~B&&PoRPsZ72$~7%8M;M*D-5Db57HXOZ(PsZZQ9Qa`@oS(*xCt%C# zDS7#+UD9YeEs#qRzd47vVdiS@3Uix~^c5IcyK=^^t3Kcvu&4E zS)t*j)vJ#A+=SA|b=tPM6*H#^9T`$jIGBD67rRyB&k9q8p#(iahfMCVr92car81S| zNy}7qnH+v)t?cxTN&>>v={~f>x;jj(l{=;WJ?GT%fMimEeL_mq#L81yS{DzUi9z`= z9A|=WA)fylA=bjf2;2{O+De}W7gXV`g20gM`?7klQVt~6Qpj2L2c!EQwjqWOpK=IA zu=cHVpi3rAGw-@5E`w!EWfo?b!eHoLP5jMEp$;4LGSqE{S#?-IjGzSy%r2LGcL;1M*kZ6#Ia@R9xDV+DPLS5K8%{ZZZD) zcz3KZ=h+I=@kYb6YIf4Bd)8EVqbPZB?TD($efR3%THf*rAw1isyaj^uCc1hI@xbMA zuxrrP3yGAz=Q2hN!^y-y3Y2eYoq>N!d8qzz)YhzSChRe^ zd_yb&C?Kk!QzB>i!aKkLQqk$IGCRKz1{t=Kk~&K6<@}HkVOZWpHQ~w^C*8QoHwnUh zbacXbDDO2DMS%KDSVGK)xx|=+4;sn?Q8*`#)xk5L`Al9XcVsNfaUff!Wd=JtYq|0h zRZ-;wlcZ2HM3Z-`h~IV*E` zo%&<=>mBq@WPuKh;~ZF+WX51TMQtL~ri-;;-V~D)Tu@sXTkF&|LnNbi;79gv_EjKI zfE=JQK~idqO+D&Uw)(AT)1De` zG4=P^Xh*hccOF6c^1PmLA)Os}(mfF+@(s9X(z(>#<3G?&n6|!JLn{E0w z%RxEMCbqo;fwiVlz%SK591@C_D9JaqsoG0F;Z8X$C-L%NzT^lsCGBct$N_XGIx?oU z2^2=Zy;vhD?ldh~eoGhejo@M9k4&qARIzTY#?o$CKkEr4(@$+(=|QMPS7b7`e^&qu}E+}+P$># zVIw2wq%R9oXFsxbB!gDxkr;`hVWskN&|DY|Q5RBg=m#YG_BA0VRl$ zc;dcrSGg+WgDz&RCo*hkb6~tA1qme2CwTYx8TRfiNGp^_n#a_xPfJ&Yux9y7ryn+c zzDY1nF3?quX~H>q`wXLr?2y#G5&IHn56sr-7P_*1dRQztkI$WL^2KPx&sMFWqgfvh zi9P1LS$iHOey$0f^JzsAbr9+L5)pEp3ir#&y&suht|S|29wMh9!jgFWmHJDkZ;iY9 z9$P6k>)1Qt}aTR+XyN7t)!wq_rvVGdkCFc0Gh zb-m{37eOQjqn)y>86yR~p@Zi~2nC~WCz6qyuyA-1pn%V;mUVMR;JTA5J<1^^yBhMU zru)6Uc5Zyi>85Kh5Yd?Q(x80YFIc26mmvt+IBN7I<32ekJ9S9v?#(rrF-tT4Eqjc% z%PMBTWpH1*kOi9iYb`tKE}mk}y|D4sb9T;YUzS8t=amUCs%NlSt2{?KBjhv$rj~q| zpm(wO`fS|JbtZp5V(*)j9MDM4gq`X(&WWI|SL#B@Xvp0Db$An4Fx1(+n%48mxMQV} zo05t+cHNVUIR1{#rG#7}QSI_KWkcD;JgWQ-cb*OW_B+VyaP%glrGr`Pv^W3tx$ zNS{L~Z;mgu#-;Hcd?g(JJQG$Qa8W7E$gML%I30bOLU6BrTB;6+GRf(M4?oQY>yecM zpVq3NQ>#OAL-C>auVJ8tY~Yi_cJGXjIOl9%8aREsEBq#93HlydkFCWTp9|Nn&0pjS+XX%hEr$YyWyDXHIf)N`N@zM zTXLq4cR_|{(`#!er*)_ge!SN*{*ob3H#mQ5W%)wg0c~j57o5eqh@fWT(dzKU$c0>W z$GorvHj!QjJcj~RBdHhYhkTwaWBdmM8S2aTcKhu^l$`N_8oghKJD8~kk1=;`jop!> z^X+~{7Ie-K;veEPhb*vsF@lk+?Qq#Edbli)PxrM;q5zXaLrgpnA6s_M{3hARHk<5| zZU4a_S_ijT`(5%b?3==$*XT=s6E?*7omZ;Nl zoXPiz++EGy~G{0vKz!A=c-Y5VJSFWi6A#p1V>mJ*cGhd&j9#z~K%^hHY+qfmqzN7++F2 zppG+Z<{|7;Oy@_{Vo5MZ)Yo=Iky9%ebw-m$>{GJ!h|%GQ=V2av7MBF@R-_kbBrG)^Ee3VFu(<2Qq) z>vXOzXu8s0KE5>Vis&o&tI%eQTiiWjgAjr4tLI-b>mf| z0`uR}*%`x?-P4wzqBOKF>?!?>(d&uT;E`!{C0xrzvn|x2@eOjX?vV3Dj0T-fiTZxxW*P@jKtlh5~Hy?i*H=4k~ z+Hpb8N+gJjjAydD=lHzdc!#P{RE*K-2(cT2(~N_0X*5Ay%n3Wu_VQ*9Xn7G@o4yN? zPD)tpqeXXXNwO)X)5GeshNQF9z?Xa!4?ol6&Ju8RKWyCPL6nC~{ofRHg=PNut_HK0 zO%q8rj`V^5`x0MUV<{fX0?VI(VNG7dZkiVl)1aNiXHa6LdB&Bwl5Ncqa1^2pk7YAy zo7V9mF%juprOC40VY~~0h9zl9)`5#kV8uA#o?V|1{O`4vn`6Hg)m~OA%@z(H4+|uO z0VPt*lYLm2O6`4CYEY#F_`XuOcv?#e!{{BYF zX{qf6(_IFA)|maHX)K#(L=@V;ul#%tvlGTsg`$dlt$w^i*?GYc9t0%})R1lFL5yR_ z)nE*7i!NbDMeOZ60S0VMY7{eN@uF~m!fe1y4x6+fjZ!9xv0}Gp43vmRqU646v|cBP zvMp^X5Hl&QQt#V;Qc*x)sqJfCCtqjoDcTdztTId7TjaaIOk;{+fzYrtLc`K3Kq&}g znXI!EZ`xlRB0eD*{bU} zefv0569Z<~gV}s68YeF5F_j=opqBXSd09WW@9J&+V1%UC7GFt=A>o?N4ZjzZ{&g>G zNbhGA5nLiM`~f>Iu+6lnp-cc}6lMww=M>)_oTTnurR{>Wa;7SNFEC1}88FJ<$&C;; zvxb-251m_bgsb0$@0PtQM9bB8q0mn03ddD8j2Fhdlh`9^Ehay66`fT~=h4tJc< zZ^~W%1e~aC7xaPzsDn`no9Az&I%(XLZq9IAcRHmlmEF!F*bqTUQ7~@8C-$kiTxV># znsshaHOfD)r_m3Pao3n-r5K}3hkK^>nrRJ936iMKhFy0Nx_XPe*7d}Z8xxz<#bH7y z7nI%O^@g**Z~okSBkQNIjPkQL_6+Rc{|#46o4xx}d`>{jpvph`Tsn!5IZK>Uwa19b z_xPQZLB0GBDo2(;+34d3`}8{H)kt^!J8VGH z?A7y~#~I@xkQ}KRwGvAMb~D;}Qpe}{@30$1b>mb-5HM4k5NVO`lks;bMXXu?>sZ&k zq@TBev(lrgfE4f}OuWEtZeOcHN+!hlH~ymeAYWTTM6IElm;qx_VTns!Iu_~rm+sS@QO#a>#SFM?R&yrc5N%ia>IpTmlXFGX{T$p&IA*O? zp8mUfGz~aG_Nazd8d0F|1ho*8Ol8>FKX8^y+Nh;9#Od2rAw;axUD5lmf+om0A_NMi zJ<68qj+<*M=WbH~R=`_uCTYhbV~YI*U43c7#AC?rpSb{!;Nb=m-D&yJ`~>@F)+Pd_ zk?Rpw?hLJRF0F(C$*hT}h(FMU-=XTj;m0SKV56Z5%z6p@C+ZJc5KQi#iSRjD-9D}L zeelgy7eH3@g%gVNJ66bwUqHxSYV+%Y{fSH7H2F}!5vZ`2iw}346(hFK+XLB&3eK{BqIYv95H?s-Idn(PaTN|hf2ONjvqiFZ)|EgafC)$-A-1~@*EH=XIzj|m zITMKQY<^y+1hU)gAX3{~WDxfrorRCBua zHF|?^C6(D!|K2&2pIRxw$9(&pp~D?}bI@as=84z~->Emp9O9MDbngP3D$o-FcBSu4 znh|Y*b1SJ}TW&0#gDZQV{Mv|x$#pa-H@8g$4}BJ@?}gZ_R?ny_c@GB!3~&8@sN92u zTK7@M7$L(D6hxOB!KZ1ww`?&UHe8Dc&(Cef&#z{l!%}bGen>ApSI@cgHEym)OCn?a zJ~@$kFvBYn@>v8&(O~JauA8U<80cGDp2b4JdBS@dhLv{9L4ZJBJ-MC|33-pY;pkYX zLU}hhRxrfH8=IzPZL@$omRUyqMd`E@Z-S1)l8r;ESqRPPS7cOM?%94jQ^!V|DYB_G zy}ug{>-`D$FZr$?0$6&_FWSnf4)?u%46tbdp7hN`;E)BNHfyA9+11B5soH04I-44q zRO&gd9}FE?<5U2hEz&7jenim@X+4%rhBfHtNjo`>xjbrQe_6Je`@J@jkm(WGrK-ND ztUKH%&@xR|3`q!ozfwaC+Tg#b*)UrJ<@GdvRR=8+#1`)68zXQ>F|Qq^$r zH(v8?ZM{kkF_P_1WOXxIvC4-nitJ!DE|wK3Z7R#3o1;dmd4L4mkFyvlYZ5^MMAv_X z1~{1n31qCl2{*4kFj9%u10Ts2xP%X0EPy{XPt{0~MmI3B;H}iJZ=11z3*CVQ987Ow z&u=nY6vUT$%C6lZZgT?`;yw6wCdw}F-J$8B2GwFVG${5}V^bMGe2z3ew#tLN>{Ju< zSGEX)HhBjjF}6Nw3yJG^L{UKuHm3VZ*mO0>8;bIct@7D3Du){O$sL`D$SfWOritzC z_E<)NZ^*fy7Z{>QI0zvD#EAhVqL}mr*4ts6&#XwJIw%rN`pnNPkkmKbM{ph^Nz9=k z$=*Vhc_)>@K?(n=VV%Cz^e@J>55-2RSwjL2h)Gf6gpL$4HxK5!d+RDi;L;=HMR>M; zD?;4LSaHhc#6ykpalNt>(q~JVDN?~;HeDwGR&1;;mZi5`Bg&Px6dP3F)*g2+O#Z`P z`;aOUvnPkNyW%WhkIecrXiP|`3Qu#1CD`Ky&!~u*o`cL;H|wEccq|~Dhp;QBSOVU? z)#pxuBRtm)m%o=t>d*qFosqOsK*xeampz5(kP(SRq%`-j0}~R!q@P7nAdxi8RR>`s ztDyuu^cSeZ^e*I{KH)1vmT*9N+klM}fv{qP0kVWI6v>&Au?%FVMnGM_-FpWo-S10( z5A;CEM)z`A+GhDIa_~91U`>Z?qsr`X*)zvKfK!dim-hjI>{nCsi4n#J z(N26`3lv=oJTpc`nUnj!8vsn|vagjA=0a3Im;VR5u}S&#{`4L-NjH28ek;168sbT< zbVqs4*{L?UXH>5VSO=@uhU#AEbFlQ>W1IzP6l6hw)lRg;LM-Ylw7#8G1kV_Wed_{& zcldWUTxYLegw`}`0^&jHcVl$_FLszUVR99czsx5MS}3@CMxs-c;MOe>sp^U|PVPc&Nlhbf#VP9e{MSFg2uBh;zW?LCkIfVTwWrw0%Z zFzx}$j81%*mRUgS&Py88mAj)UWL>x92KHLJ<>k-6-=4daJHkN+>2L|TMcsq51hEZO z4K1s{xi66Q;$(u4S$;2+8i=SU*9~G--r}$>S2XKIi25;UC4>B)gkJ*!3Y2w1bQvIq z^fHCZ#-^+Y_fwu5Qw5R($P_1HM(&DBku(*Bdo-gJ;!qu&N4u{fl%*QN0NZCf_)C3= zGf~q%nGb+(JNf`9rmmrK2FXl%N#6pnsaoo!yjmd2EFa>@qPggv+zaX;&Q;KKYXpy! z5e$FvzcJonsz(ncC)8ePOI9FRPn4$3ld*qZ#>+XQ3>+}fXB;?nBvF#p>Mh1}S z#7H<>O#cB4L0yrZ&FF-@=ep5Ww4v($u^uGEDYZs3aRi#?jEwPDLnesEX)BLhgU+w)w`!;Pv!LRPm`d>$YdJRlgr9(IaFZcy znznRt_&#af4T*;}mA3=u06UidlJU?Bx#@5pdVz3MULGs)z0ey(_fCeV2S5y9!)Ie6 z2nPE_e7>XA0ri2(uIOK+|6eiT5z8>3B198v8H1J0)BJ6AHt(LKQ@*op81w)l6avU7 zI&twPsKT3a#PXbNF?iOwz) za1UR%ORK(_#&2ScX_gEL25ET;1GhDFt93@G2WvJ*8y3rF@Mo;{o8 zKfZEgeL#8&#s~MnU7sh_yiJpFJeU@=`FG)<>JBzyhX>sJe#z?uXM+dzYAMW`aM|)X zc`N#2UD;rsjkE(Q#8+Em!l^U(SJ-p3`d4W7@UV)^!G&He?3?P1O*nU~yf@b;pJ}0V&kW)wIB5ZP&WaBfl;B&omczLXX>yl_-B;K>7FncEp>8PAD!=8LB@zEu2CD@Gmn?Icnz6SSE^AX z*HXG)m)wCVov*)~Gv}a+UV&JGw2QLk_9Q~Q5R`$1<~wu>z_)Dy>D;+*;lQBdVsRiQ zi>3t~RZrBOm7Z4gVq~ckazbsT(HQI4p*dfh@=}HPYz0Qau4pSthbzuV^Nnqyezu(N z9yys3gs?)Du+;crqjD3@Ifzrg_?QV?TqY@0=-<&i+E=-=2|77)dqR8wTAO+>ORL`` zu)mWiOAJ;94YG`{&OfzW#ZZX@l ze-^?%3+K;RziIr`N2v{xz6E~HK_A8jz;}#q_ebA(QQyVsc5N2 zx`!Y){YTo{N<`3t*1t);O!TyiEvP`kaU-UU#wR|{3%Fkq*@E4k5l}!WO;{ z8#QN%&uuURMog!a2E^ zKD+w%Gc4heQ!^y?FAcYixcKxo5dw^#DS7naSBVjfwx+>_yQj30e!Y;lC9S)UxtVRU zSn-%^TeY+{*Ga?wGVfoc|>p{$o_GWL=BEtn% z+VJl`Cu72mwJS=d?(uDmHZAPxwu@yB;aje&FW}sSnklnr+Z{JJW8svOrfhdjE~{D~ zp9OCv7XbeFotoR+a)6p(I2(rWcE^n6x8m#h^@@}VIOc?iQIpNb#tt+xKCswjgnUYD z=_9EG(pC{Gjt-Y@#k?O#e$d);Gm&Bt#Fx~^;4b_Yo3K;<{h*71V*WM}|bYO?D*DIg2C2FP-NZUlL z9GYL;ZRR24*U;ITmOChhAlLI!oXUmts3>I+K!K);&B$MbjQ;jSic<{!DxnH%TYa3_ zz2dh<<%uv3WGVf(E5)!Tb(qqc&n{?k}H}2#uWA3c8kUA zBj|-%p#(d;staC^B*QCuG9gxDYS|kSYsyBt|3d!{Nk%je#T>=6v7l@WULpf-o=!D+ z>^Tr#>@E^K9CU`^W0vx>kp1mU$I;|P6?uX;pb<3(A<|JiZ*t5jrKiGnDG-}QR_sX z+a*$f@pTuhw`R*Y_&zYEw{g=TE2L#=Ai?vVd1<7rF2&7WX!>$c816Y2YErTIqKa=T zM@~_%xKcy`EkDm?eSvRXGZU1`YAGBPr&Z7M6^H7>$PVL83OVUx36kXJKvbOfu>ns= zgL>)`xQ62icwAS8i~0L1kSC;TOh0SY2L=5R*55hudB-*#2ro0b|4PA)RD+i;k*rE+ zV2fK24gf|kIkg%)Wqj-QBBPnqXUn-Lu77-LRB0zT=i~867KMP00#5sHoTo+z`72H| zu(8}$B?`C+wNqy6(TdT7+4|fxI8szV zT%GTuk@>ncM2mUph88W}S=LydJ{~8Ttn=8zZP9M}0yF_u(B|@bcTU+GUc-J}nW6gI zC_hY(&mfR?2QRA$#tC!T(Bq!4){fkJnctStBRg4D8%*tTPLMjXk zHD59Fl=C8fptRr%gwDF zMQn7aZ^cw1d*-J+b|_`{05u{nFv$4QkfSKA>oCf5K-kD)=12z5WVQD2dnHWInS@H0%YdFFkRl|kxnAl?46BGBGp!72lNHxJQU~QTu;EssDcNF%ckZCpU zA4hzodLJr{>Tjh)NifQs*knnoTDDnho&7*y5Zlz2!6-+CCLn|o&D^$X&|yf52by)i zWmKx6?W3)d8QCyW6a?e##i`JYeqf6Lv5B-e{Rm? zI2soWP`7mTL5HQHT6YJH{I3ZmMl*$pj_RrFx`IN&+t%w&+y!3@$Hs$NF$|T)gSMzH z0wF|8{OUh4kHS|DoU#NRtGRxz&(~q57CPEEDgONV2bVBk2n!l%`juc&y2gY(7HzP_ zWEvKMvT4JeO+hMKC);9(Deyra#d$CwyjZyuN`50qn6k1N-GB?rpnebn$Ac0)UMpE<()f(bu#i@|^0%^0h8;)PN zAp70nJ;HZ-OVVGtQAB8iV0>hU0;Rv-LejO(;#2~%4tmVe%ea{wK9}w;{c1~S#A`P+ zMq6VmXPCAte|rC*!@ZWt9o=tS!<9eLxH~I_QSNJFJzl^Scv6gbA(8FV^ap>k0|`GfE(r~9b1Q(?etwneJB7U{CiJ96Zj8-8&TQ*K zFCBgwOWZ%^|I6{6HD3P`i&G(xB6Z%eu-hT-fL{qURqb=PmVEdN02-j18?!tbw7qxs z;It9z8jor+5MrhYV!}rW1Ls*W*`>R=;2CN@``7lVr`>8NRgWBVT&2DqY93dFLL-U# z06U6Uh=?e(9)N?$yHE&#MsoMH-Q#Q$A(lYIoh%nxA_0jZi=8KLPH9rvY7B;wqMS?b zs2PhUhy_KB! zdEc)hkj9c!e{2I;i>--=yiX|sWsYnqTcbJB2alNQ!c^%^LZB@l)(?Bj+?j_m)xlKV zXh;aBs4T+`V^RtfESCL_>FJ0nZ7HnOQLMYO>eNqE4s^*SrG%9!VY zG~1oibeqtjwu7LHz{wQiV+YC9wD6l!KlN!NxbPn$DzCmmJ+OG9vi&p6DU95wWtq|1 z%Ju?jt65OiYQ?n0Au;VMs1F`n1y+INZ^g#uLwv3DIN(SrZC0l+H6Ej+Z4zkB6YhhN z&Hgd1i`~ZAAm37z^3Yt6zoIoE#lUJ{78KVh*)wd8{M#OhgsQKAkE~@Jr}ESx>ce@~ z^5afL@PpdlAGWaRt)Lm9UjeW)^c81Xg|hoT(r=JYM3IRMBAEkldpfh&-)VCT#Jr> zC(KolWNbiU6Id1U=-mmea)ppT#z2vygA3{REPY|9Mo9jPy;F8!(j-C!NN|}>P!4O4 zBf*?7zAHO;z*=Vo@8FYnv_8CvV~10lFWc9cAyqnMGIlmtDBq!+_{y^-JR86UEMl9r zN`)Xm-LGrxi~>X_BdKJHE(0@zt5i`3z_O_xr_WRcFjfj8Lpj%48&W18 z8d$|FfR~@5ha3`xIkr74&ZY?YD#+_P7KB}HbyB*9vM80a$$)QVlkpu6X(1WHksUja zjI;6}%9JU0n_|KCe0K%$sP#EjN1d`liAtrwt3Dm2`i+O;{9fdO+IR~yJ7$EokajIi zpESEFqfTYC0Yx+M4cs$?O9Dz_l$XnSyhMCI{*FG@A^UX^+Uk}w!qB$b611>@g1PZ9|%PPp}_|?&gTp zG5i!&T{y>W>cNYx&Gq`eo%k}UAZY9JI~@pq2!Hgvh>C@NOfqpoRayC3x=#FHhxc`f zAOU&i8Ei&98)KdB!2mJk&X{mvmTg8f7iYoYXHu>1foZb-_OD|$;n8mE_9fhexsr7% z$_4d--K_i-sLd!{e?;P(n0RhG2Vh~Sfbr0X|FEbS?NU2#GpX{q}qIfWDDXg+%ska$Rh&JPQkT%LVe}^sN|{bB4T`CLl{33B%0VnD`#j{RZDsb z=B2G)NE~XzfFlstBp>jlyukn@mR%-p6QuqQv0 z6ra7=#lv&$l^Eu1!1nTd^`6O`)kb>DAAF2iA)6}s370Ol@42I3)fLwbI23ZoV_*RJ zyEOe%9ih3Y389M$&v#4;K14c^O;wfzsy~9SI%fo`l85ju@iLAS6Ds@&+!^q+)4XbU znhrgj99BNNnR7`|cTJ4eIKW@5jAje)=bfhZe%73wbi`>V@#{ zc|5&h@>7}?bM+$l&hI(LE7Z%NcSQN>UGfL3Zvh1|@1H2%bkpf9NIXlYyZ_KkMrtX9d3a55W0(Af8C2D`sIk*>RgS0afDy0I4h<~hbnHVqg&vP9WK<PPA@&J?(vxt^W^D_Up>8*g6d)0dy*dn;cYibyB) zd`vNZA-XIX^3uvbgMrTqy;VqS_yZP~APLh%g)CFQf$fK+i^oZ@9$VvHqX^@Oe7Z-!Ua|>+|9WB-4wO9EJ$q~xQK8>nRYq!U5OhSXNZF8t z^u^4ZXf!HaTG+|JPO|j*HjPe#?;y>h6VZz=NXkMrBmxp9r!uZ`&f|~9;AQ$qRupVR z^rfv!EFI#;xcVvLT-CiTtV-UHvJs*E5B++~XJGa7URiRapn2?omn`1#@!Doi=Tv!W zHv+krcmQie!lAV4bF(l_F&bfLKMK38{l0q>N8mzcrQ7#j-Oje$1M2F}-jYmjBUR!S z7mT~!?6}4vof}FFk9}n+j}Pm56<+DY{rx1kn{ee}N}RP^+m^xowQaxq^;GX&viyn7 ziRBn0FgtMR?OaU!VY^iS+gEc|l6lXHfj7QJMM5I_pWbNZ==gt}@xPrhJ-!t>!;Keu zfODrkTR3-GO(lE#So|b;bu8OS z4>QI7(9Y>Qiwws6yWu}K`Xc-L1K%T`#GU24x3=q3Gla9Bo<`1^z7KfKU@_YUuPF#$ zX8RRim_20EYVj+P%``VWw*Hs2wjOF-Yc>AcUapAcXJM#;T-hR#@X%Mg_1l~NACp>t z`)t{GMB$aJxL_&s)1N>P+OwO@4+iN6*=(;gR%qvfMT|PK?1swFfga z&b!0u44scQQ{~Y9|C)xcqyGtx{n6bQX3w`1y`i>ip^e4YJ;yH`n_1-czw!I>uj^kL zzB{y5t>Sa)yeYS%l&9o8J-I#D=^pTO!e46UTfbFn+&B3z_Urc-6FaHWx}6%+SmP&n z`aOGp-uW-EDFHbaijhf|L4<*gfdd$SiVP1lx5pL(lejD!sHuStqMh^eN>cMm;zKG6 zQj23jX+FRk)d1nReW^@91MUM$Y~blZNMH>x*Tfg4<`nDefk!*hvn{x6+qP|MFWa_l+qP}n+RL_W+eYv6o#^P>ac=*D+cToF9x5Md&Ke`f z$Sip&U=S1lFaQVu002UOJ<2v6CqMuITrdCtWB>>tEnz!bXA@gzJ!KDj6DJ)ycN=Sh zLJ%N|d;p+-`Tzg=KllWul69;G7*IlQ!9U?i+lpeiFpSiD)<%!XroR2FIa~U@6OeO$ zK6AuyjhrJXtl4309Cu#NB_7~Lsf(IOL6m1wtM#7L!CD;^*EPm>O6A^ZCmEoqLtN1$ zTfvME=Z}Z&J74@URkUa{kc<8v;#7e}_YHW|vnX}xixjUi9O^1NF#_|QJ=?k;TZ3Rf zu36U4-vL@S%rSat&!56d0L0LA?b2BHNRoB0Rw5;czb{PS)4i`0~ zo16KvudVdRTLmV@%ZP-}4j_Q(S^Vq|d~J7lH0TuvEiAWG3Upc;lmml)00!kE^@?s0jU!t9p(m)=uQNU)rm4vz>El?w}HQeQ$5_9R74Bb^rB}n#@~R98Q=Qs8S%xP->+hV&IPS_ zp4oM7xgHtMrj14JMF?K5NU5Tbf!U^uU8)08-|g+-h)IrOF<0UP0Yui7msQWqF;vF| zYtMX<)dz*abfmxj7%qQQhXZ*#v@JN)QyeigpCsWcNwrgsaYJ{pzUK#YjUkfpbpYuQ))PyNgAgko~qY#Jo=#x|!h1)NSd<3tt%tBsXk}<;XZ2qK_kS}8@Sn>4%l$ulbtlbQ z4l=-u+y?ao&HFec+L|PD^+XHSX}toFDIClVv8BF{+wms}cM6Qt6`%)^eEIOtm3{A* z-43CHS>~w3lTt!7msDwPQoM2W@bLr@th6rVG?nWM1PVL&wfPOoI(>>)D0f7hmNP|H)0POOEGM+8jPL!FLQ^b z3w2gouIL7OXrhLO(S`a#!Nfc#ejjGO;K)JJ-xyJjx^0AIZyVl2|L+h)+3r)m@UP(J z{4+@K|Df>?LH{duidA;)HW(0m^O}DNAG|KoK{mu-RaRkOEwbiXTjRz^Le-z+rd*-Q zFMfNSgeYj~b+7|)KkrU&Z+f}u=-3rO;HT7URYJ!kf`Lk*bR1hI=BD!`+(Usb%c&~n zB2COEX*zNIew-UtPJ9cVeEWf@yVhe=wRG6*tp?34s7JC< z+z~{HX(-jog~g|}7@i!*p;Ipl6Qn!fh8P5K=h{%~Y~skG+WI6cZ?d>(nyUc~`$63{ z(NI7e#mlHmV09quy@W&iNBYb_^pN@)&g_5|=T#EX#k6{y$pK=x7ykStK_EX6fn*(G zbi-2ihw|Fz4f0Ymdy-ep<5@kyh!w&YA;zm#rJw}9$~N!kZUV&6r)t-4%60sqIm{w&x7sv?n+2)cKtJx=ujIr@>}Fh_E^)}#PeT$lSP ztJ1!>ln4&>)4#OshYDW%2lwG(SR^cj*9k&|8r&F)`n;{9S z)aFY%^w+>uv}~nSJZh%KJaD;cLPw#e9s*Y^9Cp6JH!KW{LJ50w;dj2SHUOzfZ$LYq zNCVt1esPl=v-|j?1RzZ4fXey69duAhOP<8tA6a4~@xYUpja#H2jj!JE{FNMdv=Rb4 z^+<$2e1ptpENY%>c37tS#N!f%EdCgK3bOTtj#vmyn`OZ(+D86(U!L2{?H=r%-F9qk zo#ncp)OQ+HsaVB~oE6(!YSjx3YT^itak1(>EU98*A(?yl=&_5gquT5KBvcMQO)Wsr zeu!NJ$(@6z=hz2Uw2=dKyv8YSg#*#Uuxx!ST%>n)*md{mHbO~X(lae3y}!Z5W6q)Q zaSPGy=7Zhb=4#?waDrbH9r8)Hb z2k!q_K+j7_+fDyLUkUra`h)+#-`U*6#)SSqk@3IE=at5^EjBwsFZvlbf|nf4dZHm_ z0X)y2AH_N?n0SER-sHlw@}!T zq^72_H96P^I<7VC>*3d|eQ2lWwcx}YA!6b~HL5bb8jwh1{2!Jmt^OR}+XYYm;sK3d z%vo{jbOcQ8P4C~HDtBR05>kj4Ge_XIK#>Y>BNNfk`sibm+$5MC*becAz(0s}B0%_n z+sQT6s#Gy4D2p@#n6d#^*Zc9IAkVDh`c9JFlY5LxiuA$KIOYpO>jw4n<&}tzMBLK( z!c&@ncM)$2c|7ufhU!%A^H5YL$ko=mI{nzgWTmNBwAYszat(EB2r;U#a)|Jz(p5d0 zj}tG^y?_iY;g_ymIkqlhvjFxOfu*XcOw*cnJsY_TGyzwuq8mAqJ&I2Eq#st$OzfN2 zu00xKh7nlt-cXm>r-(_+)Z*zyDBY?=aA zVK1Jb&zQzz>#^v)aCgs=fO$m(Sf=wO8ZaKEsl%F)w@&lG{$Nbi=Ala@YC~o## z2q;!y?m>GC*j*?SA*9pLh{5 z1xL1sY7q%*A|X>s^U(;uE~Vi~+{+aG?)ee8hwK8@!TO9XAV#_9Nkt8-=BjC96a}T#f*i z-DY8>yUC$4=Jt(-=^LG;lc}<2Hcsb+c!YG1;9KOA^m{Hm>g*5k7l(-nu)h&12gncl zL<3B<)Tr)UWYI;oBE?VF9kc?wiHmmn?P+(q&R2_@Mto?cBSp>bIIg)EfhC!bZBc=f`L_W<&tnn z*}`!;ti*aW&voNiA;?=Gm#%Ze)P5aT&87M}~ zezKS~7C>eut**z{=_)nKQqw1us;q?>il^mlN|@g5`Hr*_^wx_xa9$rMa8mh9gsRc!;>?)R$*F4);hi5RY?HbFQjs0gi~lpo zzq88or;ys{)uJ1~gj+{Y(aycCKy=Cj1yIM3uwFoP9n#nS<^h-L?y!QOuj40w3Bo@9 zPIF2P7PCtGSmuq0%X7pj6G5y8H5wP*q8Kh8Ts4wt2#$#;OK4|kHGm(**Z0;2!1}a; zQv}GfFBek)gSj#NY@HGXfi>7V{#4||$(%g4f_HM))243wjp!DuQhk&Z<)8C@O3SfQ zgV%Ac&3Y_tM7HGLTYgXdv4KnD6aNi(jEjt4$0vUZ*f{-^*FyYS(ch#7QScdO!xKjr z*TMsz<5(BPmd;GJQIEWN8Q7#~PoU%4#?%{IU_W=BwYbu7I%#xryno(4eUH{rUu$sb zSbR>$N_;Vnym&F^8p9Y(*K3*J=eh6qv43LIzK_dDe6jom)V}XeHt-|yKWdv{)nfns z=e_=?ESYuUW2XM|^jS~<0I>fpOHR%n)+SE>B}mPx3UOH+2)=dBzx@X}tO#SF5an!H z1S*zQl3nE6RlsBome$7EwC5GSJx0KgUfVXVuQ$3#v+kx})85P@ljRbf7Xh#5Osv>-e{cs`#8en@W|4!3Z`NS1q=w7;VG3 zE5$vDu&DJ)5-P~Bg&X^=3dzYe4wam6Ja(~G1Hp@b)K`Y30+&R5cv)--FGI~+O|s96 zVvh4W)qU3>E5=fRmuBE40=WEYftD)n5vsnAvold8TN@YD5YQ(p4MD$AZKI8(Bb`XX zzgoq8gM0QAZgM=0iV>(k`e1xyQJ`>CWhZqEYj z=icCE5``Qq;=wNR9aV|NWxS%a2G&&>jZ_md?~UrP zIkkdL6lCcq^#QDYH36nM_){1dmVrc51?ns+Mc{z2R$fQJEJ^igKC)}JK`(QN{_uyB z!L8w?lWJ8+VhkqmI62l$Ajwk0j#IX7X8F-#zims_6sR;68yk~@?w8&ajV>XNpp&t> zJmHbqkYwUC;W-vv(p768?3Juqvxy6a=!2VRwL&ModL?!PZf06jRtmJ5S8y?$^*DQi4|MC z%}aOex1_1Imd!lCnsF;E?vP07S9>8|ml*E$FK>Z^UMaQH?HA>17_jse+pN`kO09zh zzsP#{%**Zgh|y2#O2&2tr)OYwQlU{jt14!ZyRG)SFg``#@!7v8hX1@J#{bh+IhmW7I6Kk*=f?bBT+U9CirXYW33*NVz(?=` z7rx@D<|vXVRW(z4?jXY$rO?+Vs8fC1^}6OUEvCVWF~){@ahnMlyxP}i*^oF*v2m0J zXB2BhY*n7-8s+arp9dkvcUN+>!Ol1=dU`YXxgWH)+a6g}1Oo{kIcdtpdw~$mj|)sFH+yHy&OYBg-a`wZ!ZDTc>hK z&q93Dk9otk$%eGj?5|E)GtdxbXe{#5ZCiav4eNq$J^;$a(T=e-7$wc`TV$MUzp_aM z<1a0nYd4vfNV$I?*;(^T2O|@n#Jy~@M;+NSizHJ=^8$t4i_F$J(0S~*uA0L6!~KJ@ zIBY0gG~b**pG+#+oIlKjg>Kz0jvqxSlZ4KbmjdP5UIoRear~BGIth~WUOhW2NBa6B zga6&I;*H$BNtGJ-N|#G*#l9UjOMneLFGVYgjxtoRK3=lKH3|)u@%q;*p%xzLsPewm zZ=U)?+|R*$xJO&_TPmd>v>li86ezla2n(Z9MFKI9@CBccX=Mca9{92rElGfcoMw4Mc5I+O-) z;nzsq?i~L=-N%1Ia>6{+00ByIrOBxI-?RG8+N)f6cvq-Xsbq#mIA3QHxS zB;H9$-#Zv|#VidaEfK@bs*B@O^YnlY&ouYD z_z~v+lO6wQy^51G;<6Y}LUyU2`PF^NLBt{Q;}uc`bJ{8wkJr<)^g$1oTw7JYZ+pl# z#m|LVQq-poZnK?yczwCXLazj{3pTRBdiY4^991G*Qx@&?py>;S)K^ri6=;v1AVT?M z_jaq=m9Wk4ClxKmY4|Qu?AWl>mt_)T@LxU~=rhdE zBjV5hU|4pb;Gjj?kv6}8%+E1I{m9U=od_j;A!ZwU_H4UrkHZp4&O>-zA5Vv!fU z<8xuE0jaH(5MiZq=76p9U?}=A-C&({`S*A*lclEA%>lIe69JO`O-`)K?r4Dq#~69G zs#w~P@$T3ApfKo!lnr#Cc4Y`F9Y3cL=sGbgyBMK3*JIs{rT-9JJ2unKVj^O+<>O4GvNoXd9vOXs|EMbyp9GJ*{*&5&ixJG|Z6&JEXwe%KtU) zq;h@#`A>EIZ{DO_+XnvoKVuj21O!$Rjt`hvvF?K)c7SgJc+%RnYXRTz(qjH@c4x8s z>fMSVYr~Cq*-#tV`x)_}D2@oL_iU1{$4y$Om$5v3^LV=kC*y@FmC#*MNQD*CYt@QU z5q|b5pjW3tw<_vg6WN}T&dcnaWU_QJGF0rDR2mgn!Wy;kqG@C|8_hIQte5BwDrJdA z+J->OEZb~xkT!!RZiQB?gpK%TGCIrLYF6TDB85-E;^;%P<{7g&Ug&8m9#QMkn(X6i zKCm!IZc`>t5E_bx;ZR+i*$-b!Nt+D185ZUM%F8!U+hsFFc5zZPYr1Iz0x?SNu2cinX=wmH$5<;y-~WS`cbL07kS9$q|4$ zJbdnaqNXZWf619lJuAKxinm9}VC(ypuUplq(5iW85r!BR&;BnrAx4>YThz}L;y&5U zLuE20-xwPg0Su9D!TCnbW)eLVR!a403Q#WMP&!%M3=^m_W7}A4e3V`Z&Y@@r3gV9O z%qxGI@gt(wOvYFj{r|SIxV*M}9xwp_nAHOSp#01DH_mi2H*hpDR&sWQ{|Likq zizAVE?d$&@=C6t*&?u5}5pjVPPbyhLDN#Z#sp8KTL&D6&oSBhu6)s&dv`lk@zhwgq zt9^#uT#5T@+-p3;$ozT-;T9*o-O*&;9GQW+5AWoK!)^LA`1iX(6YX}Qv}Wa5?*<2d z`>#^+^RcJq^5fqvkH?Su{WiBqSLTYcq~lJyU&mA7^_}-N{NHCiU-M0wfZdgAy&D>~ ztjpWKZ-qVD$yE|w&AoJ1-b`BTRpVg4>r;Qt>#`h~Y|u?QG-&_2+yDNo>Q$4e_>{G4 z+g-x$czOR`au2uG{`AuNE%5t%-@VPm@i#BW@mu?5H`}bYCPkUN529z``@IGFEz6Z2 zKbtas8S!d}>RC^$>s48NJ-#$n)Uv04-4$87^w6l8^km#E{+-Ese(A*ZJvV9U?H@}u zY2h5YD;pknZ5pYrYNg7u;k9EwJ}#`S4gKr&aWFrBe-~$_;-j#v^i^GcVW^oh>=8n0 zgXZoTrINj*LLDT*cYQ|Uxrg6DPqwSWled)AA>HxqA5a&$ew`w^hP zrf4y=`z)!lb0k(SwKGx9YRbK-1OyHJIHlW2cSfq4{^EpRMiPPG!bP>)B+HxPGqC{60gg=ybs3KiNo~1kOP* zd1=m;&D3D5Al&dK5B-LtU(WH5pC*H*K@Psbf@atxCDj{Ie1KRekkXmHf1=HMIeWpc z!^`WT(B=6)KV5CaRDX2hY=3i(jOp0Wr`CjV2bD-|SrZ7iU3u)j6wwrJ&s1; zo%-fQD@3-IpSMVCrA#~K&K8coI0i}7G%UAZb^N((GOJ@eu82YE)CZPP90tGP;m&sV zvQl8BzA9YnK*M$&OoFx1YG*h6TM#4Dr?Pmds0S*m4i%sKY>y?$Psf zN3qe{rez&aEzKT&C(xCUitsd@YF6tW@@!Q}eL)39z{co@C%Vjj?A?`Zy&@wz3s~yZ z8vI>Q7_^{O!=z=kalSvVHpn|dX)#$yKhQj`J}%@|Rmr&p$xVnp#-p9nGL2L?~V#iQk@X&F2-jdY1` zsSt8vxwAK56PvThm8sBa{|B$ia3f_*W3eXqypN5>p2Kd1gGnkk#)h{;U7l&b2{o>* zCHonzOUOk7udiOnrXQR_){=7^TzPrIhBPW0*ml21|8U2!(ck`23;^*ZEJMY`&wG%L7gRf26r zUv-&?lqZ|_lh0QAFIVK!O_2ok$EXaPXIW=yfdNPnnzJfhzF$_Or~u$Sje8;0T0r-8 z@AqypfS9v;wx~oh8zhLx9uwXl79OqQy2Hh{^!-#n#21`Y!NH0-Zvk|Hn?QQSUuKAF zwEO(Of!Yh4+0{|iW{$0b*0f$!o3UY0hyxwD74*~ke~P220aCv4V(CzqV2hFe?8YV4 zB_;(B*t1p9O%9gTF+(G3plPMsEm%@T2TOZC1-Apc1#vvK*&4&3?AR{HDmuwTWnFh` zvn#0-?*}t@b2>P?-ytWsjWF<_{_PDFbBan@)Y&a|QL~-jDj2-9zFTAHzC@(WYme8~ zDC?lZTi^F%5RpPtMuWmo8K{m(M$Ft|Obg1iR?zB>O35q$P)KtJkiz<=^>f%B&)| zL1ptn=5CNvp&JE{wHMklU3Y`k&HE6L1U>Ws%|omuI$;gT;LfOJ@aF0oA}YOb;kDe; zMpTdAkNd3M9qPUO3(Z7id%t@pr^)C~5T1zW8eX@dmx_IxyK4=IHr8k9zNgMP27n94 z;k^u+D?nhWCh{O76k#YspyJIIGBHA6X)wDTKJ#isp<~?)x60d)Q;yEaCMnv#7trB? z58O|bH@h^^hUqgo%@521fIKG%2VOu{Ak8PH3~w#GGH~9ux>M?9ELEflAd&N@Hh*Op zM^^$e*qkE@?cxj!4~7SmCxn4=nKCZC5F8zfR$mIR;c8>l4%rhT6^P45NC!58p_}kJy#GLz7p>k8$q>x_u z`iymVSCYe*18ZJU$ZVDzopd1h<3-7z;dtq#tzjg85)+Q{d}5;PeB2N&XBPm?5X}-nWlMi8(-qT!%s9bTe zT~k;kd^%kyfY5ySFX4%t9~ZxOQ=lnYPGZC1?(q+w~OE-Fr({?pKpmuwcDl4MphuP<2CtW>ph!H-e;IiN<+(tn{1xCv zPuRjdMO>qh^fe9=xEwTrN-K7* z4S4=W#hgYAg@*7DR@r(KZ*%6ioy*rDWs&`nM~%4t5P&x$IeW+Q#3khR5wZ(nK_;#G zhL{ize9`Va@_h+XW)e8SgRW5Yr-PwRfCj7AWdNwLy%;YnC#cM_RNcO67#e*&RFWJ+ zL92lV-SfnhUO<~&ae{rC34g_Pji8kf0@R_D(XcMq1~J-B>FCJ2izw)Pq<5r%>TW;{ zWX={oTDAR+sF30t(7p=-Lj0~R8DyC}f!Ybm@qNDqbrM(?S^QpW&hgOlZYuFBm|vt$ zZ~_?#6yD*br*E@2<|i<)r{oqfhL~aqn84qA`71(b8(Ck zIN{V6Z^yY~UqVh6yvuqr3zxG=P_78CQ~LbDIC~5^%+mQTzV;b<$1YnfC68zj~vtQ+S zRnRhkxld)<*ycQ-&a97_r4dd^oV&4g^!!fuAu6-MzEu=y6$M(~i^a@Dbk$@#th?pCa0w{hBTgL&(iPB25IHjcLKFVwf?|K@%Z|d4?-~z+`2&nIi z*hf^f(x}+DS7Y6;Evjh+!2~@=ulr^DQJ8^x?~DY ztdSk6A5It2fg9`})HgMrElFI2W>bt7!i$Fqe*0DiVj{0O-i+;wxw)J~%u8;Gzz)U} z#hY6LnMkZR=jM~2uj|I}(LV~oa&im+u%3#01t+sy?g}ikY9#r60E{OV24fkT|44FCm%dqh;}{1*mdsdqiv-C;y6Aev{&cyYBB+T4lL+i-K>Z)Qw`X>&U%T=md@c^&s(%$z}|m?~ShnZLb|Ast-Bjfq0hInP)GDIEBwg4V>dC0g+ov(cg$C_EJ0XL5@;>=gpF_s3l$w|bpG zfsX@Gk~ji@k0@m5yc%}y2o?|K*W;HzSkqiMXBv89k)7#(jqlZae4QesW=4t}QPxdi zah#0q$qcObe8y5;Z(1iGo{^QoGtuYpr?NKX@~PwZkCY7LGq8ntDn-5C13Vz5xq|+= za-JoS@ynVa5kZ!S>T6Vvzj121vSgwMdY*@kKes{kW%->l+>`gzl`8zLV-<0q6I(kbTB&x_;v z!Gj8YaQ!%281FNUOFBU>dh7~5>8_{2^GqHJ(vW%FZtQ)&g)c#|tOG`YT-J~jy3yOj zO8)#?-2ej0+z*Quup-zBBAmxqxFL6CbPsYf7D03)Z-IiQ{Ju?=`cnXsX(@L~9vV8? zL}?t1NaJ+I@%nl777hnvIHO1nL!)*Gye44u5d>AAp4U4QhS_NNM-LKQaeb2P9JeB= zqy6ol;P7tpp+}*2{DIC3%xW(A9#+cIWL<*}{R3qeFy`W9Tfs2O#L`Va{YK?YIu>$b z(Q$@A(5I%nj=_w>OB}yv&Wt+}ABDv6)M!w4R1)4ai{YhRTf$U=VBA1=GR#6%*HtE# zd=te;5^Cp=TgpGP$71221|5d8v+Lt1Ip8<)_7~jx+KbT#ZP35y>JiI}pJ~G+wcazS%}SIOOK^OQun*fvi0EsUVngclxH`M-7Hd z@?Sm@5&l^fPyxD|4BW>#FaV+Gq~&<>s&}YCJZ0;|5<8#(Ma50HSx|AP%+2UzUoHdT z5FUu?d1N~k=qw=fsBWrcvX$mNXj6EH*9r;~V=k6$neI^A(QbIl| z+K2j>v*=(LXnk)OAnNtf=%`S6;zBG^k>8#`l^hS7Xbx9$Ref6r3`v}qwesa{uCn7h z)`WOUZ*xH0DSiZG4x*aPZl31m!dr&uqNCxcBvO6gsR5)U%eV_yjjlSh0D=CXV9gCn@tlN^}{Lzfh@ms2rrW)l#pjNPc>b7k$}(t<5kU=*rFRp$Q-*NlnK&X9C&H1s`+mkfIw>26+Zp5rIh2E` z-{{_wAc9ADpUOfiXsh&^7i=LNQ$URF4&$My>P!}}5K8)b?3*%%)4V#*A)^58uRyKK z1ZnabSGyv^S>Uv5gy0mgrN}qnbYiVT2@WC4?6vQ*47m`3O0&pDL4 zAWCk*fnWICf>%82Ormu(luJ`x?4 z?jOW0Px7HSu!FT`=zwKK5DhVOp;%cEYLE8xhz}~nC&@QIAqR`>Ng+bJXL76{2@*}u z>q4Vjlbs;j!G(>AZN8wXz<>ivAjrGEs%+D(A4xg}3AGY&%$P|YJZE{-C+bL<42Xe8 z(m%ZAQRZp0G*18)hCx3qBk)!y#gq=S=fEX0g&3$n<)yel3YH{QQwtSwj|g<#r^7JR z=DK1f*3Yk{GWJ(Q=x5$t%MfiJBm-rET9TboTFJr`5QZ_%qQSbM1iu)3oW3THCrh2& zay-@V1&2((Ev`~lsphM`KEEtM7<#hDv*wF%Lysp04k0-dA)$d)BIYn$5d(s4C4;K3MBgkhfStBq47;$YrIN?od zdFeZAk7ARanwcRA2TW(qKbjvjhnMRQKA4UT2rkA=dM`vh&DRf+{+UI|DhB%#5u!Sd z!U;keU!bh9l)u6&8szT$aN%%&FikC!M3H-!KE;)o1DmDlYhRfa5KP-!7`2qlR~!d3 z(Y|>g9@#mAfEd7A^HR(Ub5}xuiL!FLIJY4&h1XLYlae!g;x)c~@eB#Ele9&Bda@}Z zWNghpH#(9O-3Ltd2SH&kx{7s!Vr)!hvTE#4uJgs=^dAgNp4yVsI?PVPWq>uPB0tavS?>z zMct6zK!3(cuwLlWo9~Bg*ZaEQ=J3hUDohJ+X~B)CaImT*D;F^+Mhg2n@5Jm@UlrLh!5rRnKA7ZQCeslkOYin!O>v&;oh-(UTDw2`e9-bKGlwvrHBE^vIxUGJWHnO zklY|yF#-a&wrT-S4Emq<2L%@U*ZVcBGQd=LMLV&1pdaAKb!bDF$K5G>Rz#|B+JfJ} zCIcZr+$intiP`4Lb>xA`CA=nrQ5=({8x@zeke$Qz&w0yOrI%r3!zeY@X$gZP?AWDP>+g77{3jm9= zptO9h_N~YeqS;??TpWT4%9r6+NQaVy0K+QsUN|3evYRk}bR=-w>LaX+ld|HUTmuJ@ zjmzv?pO5PRvlFPOgO3{n!ap1x*mm;y1{&RX6|wFFipgV|xv<35&t#7?X*(SL@P)_Q z1|>UnXQUo>Z?Lg5v&1nj(7&Op7IdK7TtrZ#1LiGp04ruEIO0Aw=8AAQTaN!|Xpa`~ z_TjZ((c(~J%nsJ zluDq?#_%&i(I8^1ey|(&kS)l8%Z9w^2@ziXrI`{XKC<3~wzukUQEp9;$gZ?@O0fuIQI=R~&s{gB zo8yZVhTap5vg8D&hdSkw{#8(}Mw8ub7k2dAYV7+}cVYEo<)q8aTuLdKE5J!;Rt{le z{;8PnVemsGJVb)4No1XE=IcZ*5CLUM;L&)Wp>2Vqgfl8Zry%I2haw1N@u1=WAxO<(43o`zc^^l0{BV0onMFdCWilR*yQ1yWiMZ!*F zJ0oU`(VYGWkuK9QNv{~HYTKS!S3ZknYcpE@SnHPy9Miwr(M(190qY<~J*!**L1F}k zg!=BKn&LkqWk~7dEd$XE0bo>BluGEsrjgV6qK94rFqp52I5$bXacl}~s(M*!2#@MI zrJubmvC+uR!<198!tJkRFa0bg+D@H@ze`f~^}qfr9(>apT_6eH1Y@iqoJB~x_P&$v zs0^(*jBzxs>9xdmt3TOSs3Pf{esNfihR-%^HU1Q7EB);29d;nIYVAl55y?BX0nggV zk&l0@g*mBdhGQj7xv!?gO^F?-Ns)4({3x|}#Ce9WQLDzx6caJO-m!3k#Q7KbLjYrM zOIt+k%S}`FkTPVhc8PbhiRtgG2iTA=K*70aZl)71?5lhk$*rA|lxRUhk-&iIrlM~(o#OV9g@EYJk^ z0SSR?UmJmt-KqVvJ3)dnI-w=&DF%qdxMupFY2yZsT11qW#-;U^Sqh|R))MirL4&KB z@ofSx8uhnxM=jfxOIS_WpPws`6kV7AU7nu`=81)rb%KR^lz?cG(y92G+s$MI^WmMR z$A|CgR=;Pw8mU~lJ1rU?&v`=;vNPY3{1z_(8=c#hUGgyiXHI6hY0J7WiEB~@gakfS z)s7vlNR^H@Y%AHh9)Y^QhSc4p=X3II9dwxRu}3ZU5$W;CWDzEMT9+5H+T>)r0hMsz ztD1k*u`FCe>NiFaUvu_S93u;58qaNsaSC<7~C&ugqP%@y3Zt72YGVG+@!BmsDwJuqw>I(G53v9Sl6crjI zJ<*#&EbrcP=x0tzTFef{E?C!S6Rp#etig~W1^Afd$G0qWWWrg+C1t8^?HZ%9^GCF) zRp!gv%V+cRj>6IPSt}A8oJugGT5D25r5eF*1mgn)Hgo}eJWzjQbXlTbx7|s4joPCr zEPAyOOjvrge4RvR3IGvs6X#0=OB zs;KgVoWY}s0NK8cIbExcZNXyq1^bY|gQbaY+0PV{vK>#DksMb3S%uQzaL03fHmF^= zPp=kmtGrMa^i~f=C1v9MUu^9oI%sRx$1#SUG5M*ASW7@tDI(@qo@CRc|Hnxx2N>_P5 zn`Q%=<=hgG#^!wDJ>nZ9JMLC>A2Hw95aoZ@a_ocbH1-a;xj(IJ>y)+D2pF?ZtmosD zO`Js{RRL6gHh&^G?&Imsn3sHl^*I)(p_VV~3jA(BPz6K7zd^-RSYLOW={!ye1e|5(`Od zgf8yD*cVw)^QzY{$d`Jq52!{iDfERQMS$1>5 zG)Tc=dQLi9yXQ3IL#ic$M@7FQ!Q&0jAz}1PT{rILl!9!>)!WY6CV&$Md=%~ompo1< zMFt&VBC%}Om=epM8=?(70EhcjQr>vf!b60BunT5(wrkNO+7A!}BP0K@X=fnofl2;6 zp-#-{av?7B^o-SjaAx0r2B?C zpj*c#4&u@zZ)Cb1)qZ``8qCM0D6Jr*zFKj5oFem(@C*}T8B`xecR#x?JG?MV$jb>Z zR$wm79G1B!N-KhEAAy=bo+!f;gF&g9kb83UuB$3|Pdrd3QDe>l`EHOvkdCaY*$80+ zU2v$l%ZKtzwTkxPTdAg^eS8aM zb(genGD#(`rDKSJ?=?l1{HW1VBUtLK8;Dq}cpb+S&QqZ`S+sk85p+E4Ev9f<|4=4+Qi9a6L39qLq6Jz31;HoDV zUcHw4DwBldbX+l2ne>u_38ANi1XxsND!UM9!7}@$9F99tEzrJ9SqI~kGzkvBnrbxc#T2lLPGpy^{Jii8L8ad;9sHv-wF2ntpn{? zHV-m+sI5Yg*G$ATSJ?(v^#MNyP}>}X5^Uw%lCJnzKiS&e#;nKeg}{V01DLv(DyhK*{kh z=qt{FrLvD#--l?<=^OX_d2gcA0!Q5?tmviam*Cx--k~*zo7y#kO8`P{i~A-eo0^x5 zb15aa@A5Cr2=QAf`P#}{obi=~zZIc7dqm@(fd-~^hbHJJ)Q2)wNA2vg*Gx*LFl-d5QF-G#bGiITpGUQ45@IuN8;l;^{`Q2+f`-v&cx{KH!TUUu4{Co&a)qSS4eO|;-{K(PZjd%7p8AsyG zF5{%{Tka7mWQfOIgy#tfn06_nQzzs_KiPQoEIf6Q8<-X`x~lC0rQG&W!hb3~snAD5 zcS*fkhUo@c&!8&>;zQ20+J_aFi}o)HobU9)dX=0Sw}D@A4(L&B=0?vwpyReJi3V@) z=z539a}lMa*uUS1uQohCFr4)!yK`gbE?2vqizn$bT zZbdc)RUcDm=nEM)(3oqNd%Lt!hICz>Iu0S)m#ErtZe~HlB#NS|k!$F^ayH0$UY@L( zlSx$j)(ICnpv^=`B9GWC4~_UWmj*Mc$UCk5s4olUEAKG%gg0_!PFg2jpAvD6Sc;yT z@pQu4zjH_fhqL&t~v>pkWyLv-xK_q=|ESL`rn-tBK0) zmlBc(gtL9fgc6{bVy3Uy@^!Uaocx2r$p~Np3RAR6Nsu1tbPA(|(u3r>Nmoy;h2cd) z(h%X0lg}y@+tdq5OXjFBN^~N;1sAPCYk3Q+8j*u*(Xo>ukA{|3 zsvX#Rq00AUPZD~P-yFTP0XL#4!6@NTy$BtilPD5V8SG+&QeSgzrofBd=Nwg)zL*T0 zt;NV^krKld zdT$qhN`!z5${_#V&9eRuW-G0PU7AEPTaB^d`$RB3U@V0M(KD-Jkm!&tjla#`FHQty zUe>owmIQ6$$YO8tv}rz$WNXP1RhoqFBYDdeLso*kYANIu*B4d;@7?iuk*#uDEOnk= zoYEkr)=9m|w!y~F+k25;a-0Nyc{B@g2jLhh=*^CHBL1{PwO7G!ozX67fedT$`RDDj z%w3YFvB~`KpQ+^IWS|t)D_&pL%W&yB2=-A{^S9UL+xSWbmN;O~xm`E?b%?)vQ+3Ja z-UsE=#ipr=?=HN2q+-1Gv_{s`Esv0sI+JAhLXF_gMe!5GWe~mt`9U!Cy7laQL4s{{ z8Sw{WQt)$xg590u8{iv#v|u>_mHmo@!5eJ`6vB%zI$JdM{u z^(_X}O-DvnTu6_z^tHbs9DF)MRgGHvYJGDX-UY{jkQl&+;dl@yM&Bm+qb$4)z1iqX zKudrE^4{p{jBB_0$axjJu*K?J*N-Nae0pCjtYUO-t%g#a3t9xn>jpP*mv_pkStw2G zF+8z{S{}g!${_3crw})#PDHgxgr>qo>)NKv9V3oP~HSt(E)C;6Vvy-`sx5eykD_;;Q?LaQ?DHhiILMfeHMXm%*YITF7V;d%*(lh*Di%M9UAXr{8vuU$T;M zQWVLyToATI+>fa&qp3A~M#EP0E-r`}Wui8K!n?q(2O^gD2Wptlo99T-3GFIjY|l?W z*$gq!bQq$DzZW>>!MQ9>-34!v^>`qjWJPC@uFqM2LyPsMowwaGpHa;g9zC2#u^o0U z6(yz`?orjE;VzBZrkxM$`(AL;Jbs9{@-|M9d^9k2DS+Q0qv?(9x{X@;GD*4(2o9S4 zkzeDWXm*n76OQ9GVotjLOyO-)41(zyg5(^!fY4fjOrm=8lQ)7`nN;#g?cPM-*L7vf zBqQGb@L>^c>b|$-bVV)0?#t0|K1Y25D*Q=SyW#Jmqz&W6bMch+twG4%En6?Moimel zy-abp1i$rKzTs^|f-<`FeyID%{>r_E%M?QzJ_XNM(4x{~v3uah==EW`bLfBzNw@p3 z-=4)QRZ?U2{`z9_>VUkcW?ZLaSmEVf_Jr!(&>K3KjIyU2NP29oy*luGd-D! z9!t{#e&$Z|o2}PAqqvbKHE=e`Uy#P<6c#2W-yp3pXb)S3I3z`+M?1l#Fcc0hGej06 ztds~P1sYw3-|ceWDZ4^93eUZBcyUd@Y5ZZi)P!w?jI9(W2&MWQvCIN0=$-xt%S_xR z@k)6u9md`bACz9fs+y-PR_T8xbhOA_z%=N!XJ(Vn&!$?Ylt1BMrxqU98F_m}XPhs$ ziCD3hnsrnbIwIM0SJ-^L=M2(>0L4$5X5#4@ZIm*8yj0PcgMuaUz6&j6oO!3bP{2DW z#DA4k(MNIP9DmL6YTko_$(x41Py;0zL+5n(YLNCcz1z)^rkb7g^$WD-iXUkc@U3#aqp3fZQ(k-Xnw_km!1dW!1R|6tU@DW7b2_p*f z+NXVunB>1eFYBhELMV$ga(az^*au!(mxL_uy9(JvFt@(KHpS4qGdE2jec~iNK^3`I zTVpx|D=DE9cUUBYWh%s^#4Y84-!d5948NTdh-P)Fg(9u(O*@f%q|yH`Uto19d4PP|5_A@+W@ZpnrV zwMD^;zO+@Vt#`I{>-5y-1xC_dE29;9S;nA_BT8+IvkYP}Iq)7{c(bG%swA0czyD(; zVYz-+1)>ivT+<|eHXa1|Pc60!y_T9U`Q*oxf4Y~nq+%*3QTa2sT^lf*5{ZSDPbs+( zF$a=1*>*MfjS-TH3qx?W_Q|wJV6f8iNCVD`v3E$5(F=R4d5q=8`ejTTKKz&YMpfi5 z3=C#WlQ-rFD~-clk+_l>C4M+_$mt)^P^?cyvafj<-g+D=GG46b>nZdT9O<+%8Fr=6 zKar#MPdTd2f=+!brzLq0Mi))-meJ@g&$g5@-N9biPJTwI_R+M)it51NO$}8oGHE8s}&sN=W&O`m7`j=XaZPAVJ{L; zX%|KZD;b-qOwVM(SGOy{JRF@z5+$VPg`jz5kM^QQ2BmmIycn%1yss*6*!IuC^ItzT zA~}g2S!5fqN19~LbK9Q3^UPKoOQXpA!c71l7l~AJLHewk&2xK^Ku_h9V=n(5->O462u)?pECALORX2bfE_iu=gtwze&N@1cjTf>LPRoN_$ zgs#x&+MhV>I$p34R+SE(@2s;i+9tLh{J`l@KwsVtxIaDMn(KD-6mrF(o)0-(TUu+D zs2yaE?4;$Jr-k#X8fv`7xqU)kwP^-PZQeglnfK0)SNv(~@f6~seHVlwk9lk}?ht49 z@>(d3-Q>D^tgTN3(|pn#A|4FaA>t`{2dpR))a#2+Y(=1y6DPqqxqFT$iF4cXXGqPQ zw-@IBbx(|S(W?mm$8d04OaJR`JD$JxqJEG5&J7gT!U#giy*7|wRDBL9a6= ztrm6M%Gt=nzj}fY-(D&aY>*ZEqXoT_fMJRg3O-luO(P((-$$5~j1w)W`VeqaC%R6K z(Ygt#wR9&PNn5W5{zqZk$Nk(;8U7_bHo0R+n1RN8ez5*PFBadE-bKEKYZ+cVdBMnU z%8a)K@3ivd&gx6z){Mjavh!0gJnAocFBoOgTy9xGsW5UoWonvqQ~qbrju#lcpW{v- z_bks-crX-Zi4WtW7noT;{51GQmD)-m(9$)xQavk0EPP9FHj3yxg}oF+dUiMQwK~yY zNr2rlcW7&am_n0~w^Eo%Ovy4mJYy*WWDT{3QBcwcMEZ8{Z5>d+FmVdPP zZA<<#;hSCgKnTu>>I}^M$*c!Th5Rijtm3eIQI|Dm6=m%p=J-Wcj|Ki`(!7NmTQzgZ zeYOP7#yS4ydM4A0h(6rgn9F+axX~XiE7m%>(h1N!dv)d&*N|h4G2&{Ckta(D5%eFM zASiD)XdWSPJ`fE`45*rT-%Pz=qJ7qLoHgP;2;tkzA_ zlzE^yRN9wA#cj}ZFIrPh{@3Qu-yW1=x);A91PTO8J?o59Qo1uZ5zwfsU&wzt(|I>1 z>Lj?n|MQN=R6ZRqX+ZOim+-lk(o-@9Fm}-Gh;x1+A+A@?hW%cd%P9KUd$j92yOs&E)A7c%N`xX<8!w~JaBK2|@!4nALKqrbc9 z#Wuvs{^8D`FTYE;(5cn0fok-kdO&ikphO@2rBNq2@Oqs~nSd!$^uk1Ot zI#ia{%bbFb-yg0kB&#KPKT1S6!;WJVT)-xpu7q9g8S6@v9Mvv82_*N%7MB%1gL6*D zKw1uPeL~sg-h)a)soryIM* zw+xc3#=|bRWte>}ca$U;qXsoE9fJtpNt>9Dk8(7BoDPFr(&p(S`*rCs^zSJcSXic{ zam47&6go{B9P@a?CPlcG89aHpxfuE5(zUPNv5`clhyn;mMu9ISJ*rdgUZ_TejoatG zZj%DD>-wSaVQrw7)w5QRlS=@@U^iqPn4hdR3ES#i;jW|oCcuTV&?B}bF#w{iv+_Xi zn=42V*{pBFq(!UK3@-?Y!zF?3d$+_yt`iPsoIif79=4LKFax}5KsBr~Xs|LooHJIQ zJ%T}}$z2iQL$ij(Hwha985t7!{5To>PxC^+m8M19PT4%Azd7!uMbmYm1idcg)FG`` zCz~D{1DLW34`UOwHIM|j!u$@!eEFLzr3bDscOl$P6;5JhZbDDvDVsGr&Dz3dqSSmS zh*Ed8Q~CII2gWy9Xwiy7S0AVDBBcg4z%10`O?+1Cq8kpk2lU6_KXZWFK9YQncv!Wsb8*NhrSknr#}Gn~WSBdPRNUw|x|$+{8wSs&Fx1ztd;_B8 zGfBD;RowPxa~`vo?u2Odhfa^W}fkT+iRX@(?=yGjr? zKt^V@p3)e3P_8WZZ)$M7;q`HHo??0cP5f18#0@{@7+z)fXK%edl*g!+hGIM!6qKdP2!tWcnDk#sDAfMx666 z+Dg%`NY8K=1Lln*fYFv3Sk4CPJ92V=czGGE@xA~!fIR455FlgGNDa)C3}!KD;aBbBMniV&0m`S>&kSQz^QWkMY{4gEzI-{RBQ}e1uJNH z_Mpjkg} zWX)hQ0$_$PtMXkx=UKL8nZo&GHzs9N@1^H3-Vv{)?At3p8Z-uUv^`c{1`u@-!$)$7 zP?b&itdS9Z*1V1}Ivybg@+petn=E5`2)GV+)Rfh&5G%<*f3yOpJAKl(Jl5`|*bD|6 zX3~~}{T#x~01P*xT`s+SE2 zp@mOzfO})O!AI$dbQTGLvwB4QO~AY0;S5rW13YlX8aQL0H2GqP=v$_3xeno*=d3RN zQ`>Grot>o>)n<$k9M7WJDKNgnh)tML9{cJ{#B2cglx<1+!#AgGWkzqPI8x|E4j|t7 zAf1$cZ?b3Ry0X}Hx-BQ+D)_SuqCwKv*UvR@-DlY>YaBXK6+Jmgr|>`1bV&HLlpfFm#05t1qC`TWl zbKZUR85qm8tr=r?z^H3#Ozh5Oe=#i_u@U~&hxnjLyQY{OX(Z6K@RA_jXAEKD9K}U2 zzLEj2t?BXTouM@+2_Vib`bXc@j@RNY%ieP|AEY9o#&R=jvmH^s=#K_=F}Ec$JtNBF z4&RHjZlxNya>7mFBLRYnS&hS4LOj3Vjb7JzwTh4+I7ZOh;l*!6InOn*Jz9PhD=zNi<2aV@)npgqU*;%0k>RdFc~Ls)NtOArS`O`{XIc;wNy0- zzAASFCN(2}5u@eKsI7(K=;=oju@a1=Mi@p@S|1~iyX@DIDl{n@00Rp~UV5b>R0mU? zr+-PDmAN%q9%}lju7VhHbM{~tRE3o729ELrIjS z_z`>(6d~~=!Ry(HRYshpBM?f)a1d)7US}OFa{CDi>PB@(GjkF+FQ{Dzbi7r}Ln*rCfHZnJhj!!< z%nl-Xo@sAr*C-Sb*t`-t?RP;g^29yO&0y8sFiD3pPKX5uMRJ-wo7I*#De`8wkuClZvFZ~#6KR|bRa4fgETxrDQTN0lL%zDmLyi;W4#PG~1q|>apYMCa#hJ&JeLCs$=NO#r>-l1*H#ws{JVAv(azd-|;5w zCMQRJi6;1UQkGibUwmA% zr`0^4X1wJ(_R5lV*%iFCr9+t}J*9LPMInos(QTC~jp3Gni6`PF3| zLQ~Se-`W7Jj*m6K?K6~x@89dq7)XVbtJU1Ij;?tcU%^*sy(8D$ko0keZMF}l{p2TFmvbpIEl|l1q37_JVZ;Av*?HT9mTIHpkQ#! zT2IfM{GvXRO@rRVfZ#!ARMjJ=zD9KYzywgbh|*AumzF?)Ea07PVo_Jo@w>U&j1CuH zCO>Pr^InDtUJJfb-=oS@d!u70-M{YBQ?phcvp~3>BkUk?`pT=eTV6Z#Ejh~}M;>A5 z#o<@Pd1xx3|C~u)-;!G#sx1ce@sG;6u;ZZpDJOwBb{_GAVdd*K^xJo7Bd{hp{RWEg z>%=i2B8boip>Oy5BB?^cyx;8FzV?Vv4;~**5%MhmFo{1)*&*Q-TXfIO35gmm#A)hG zKT9M?f&ZgeWl<`U!$S?FSDbSZ-{@O;P4@x5EQ^!``|_6~6h zmNSvT0oeiZwp5Vhs{?Xhd2DGzv_Rtbwmb_WcbXpF>6#7!LOlXA5%RqRBZ-DOb~_YP zGIgKmHipt;mP|VlVaikX4`mz(URDqiNTl6>Tj83H0VxpWOrl2h$DN4cfI#mC1ny!; z#Rp|w9$9%U6Gqy;z3?Rn<7!%~PO&)@P1wv(Ojf=|7vJNt;4kw18>(_qAh_xYO@`Kl z-z7EuSo#JYcLE1eminw!xTmuRjOeQ>m+-~(KrV}HHuX};EyRSEw}>1d4GLR^o1a~Y z#+{s7XRH9ZCJk1m)RS-7PIpjPkLE5lzm%BEtwsE@uCODwDj3VyKW(k{ZAB=F8XR3= zLN>ohME=Eh!Zsn~O2y#9cak+I+*&GKqg(Ajy0ON#+{6yP7yZy^BqsXqXqb)dnTz1i zNH=rcizdgn_F!6`_r1RcVYCRgB}F%4E|#Qp`2H`l&tFEJ;yXaFCxl8?C%Ci1%#_HX z@4{8N%?PF+)#!RSRL+4r-gzsC9n1`Na9wGWDHQT)v>OT=u5bHv`%-~y>|6EJghW~9 z5pT&mNMvik$u=&rU)~aY7{0En*5*TM+j68E|0?x>L<-~=pZz%vYpyk_M!mf$a`rrR5{gl!#f<+*SA=!c7cWMn3_crrw`+@#LybWyx4cP?9jP+(hV7MM*)@Ly>bz4Qu^aEOS-sY`&FUe@Qt&-ydz%TYO++K zgpPi82SVW&P+3~a#9kVZ6 z)pNKHWuX4<#zanm3<)s)#z>go^Gtp}Ha9W$C@~j7F`~;_lI2TnR?U5rG$=C+cto}8 z1{Vx8hKobcq3Q*-!NDzJB8Yp4E>T&{C zgnGklGGc}c)eCygI1%_(z@dA5~AcZ>2w0~(UkfC2gipz_RP~TJFEW+Fm!Q0Q@R^kz(aOhtE6Tf^jw^5 zA8a;fLN=PZ#b}s~eI+7-!dNX~U$2ahw*s4a2t$nRSzoTw@;rIw-XyGvTDk~g(q1N# zE^kq;z7=gbrVF6kd5HE)35DEQHasZ+I}~HZvS!Pkt4%HF(_KFvQ_-2zk#m)r@0l8uVP{gxoOyG`Is(%+g8|Q?4mfDm z7h}hx6@|2N}*>9y_m^2qPRWHWs2(mJjTJ%PP zdowW*(qTb7nehtK8BE+#b;gsOKaTCd`&yz%`s)GnvN%A7yfN)dAWqZE?{>~`>qD~5 z+Q<_Ez6Lg3*pdzlsD>ca<)}({oHY*2uu2KcsaQ%Eo<1|pWU`dDuXng2&}kV^82P>K zF(0i9_0MAj);+?CwV|XW?Y*`@pbx|XNh*7&7toTucv0_gM7V^1_V74m^<%@M+os{G zeHfaR{to;r9cAAnvWQt)HaLis?t_@zZzY_)jB?+QmOZPAOe5=bBA}&fpfDxs{rmuI zH$lTf7<;z*oE*?_8=c9cS2Ng63|7|E^=ax*G;=^@#rh9f$?{Hg?6@(CaNc4ugWUwc z!#2^LbH#O{dt#@b-j7TzE%aHgU{}0FR-U(M^+q zRmFilie{EsqA*_^PfEH*RW_0IeWzT~M_|3TG9s7Q+_lt%l=d5B1r_wyi3x17o>)G& zY;vV)U$`1of(BH80;>R^Fdt=1@u$lLG-Wo^`UDnM@k)usTc2w#gvq&}TNsruQDEdt zvxJe~UPyQ=$Iu=y^Jx<*sQZ^aHJK;CQK=7wM8_GeYMAc_-mN3q>-SzXwtyx=-MgGt zK9(CZ1FF!k_EeHC2Bra0vBAdfAAB1apB@g3X%n4K_7bJGS$x?Bq6E^MKOD<7BJV4H z1L86&OPe>Yw3dF>l`>D}+u1^4^H2=){5!2P9pxhx@g#G=-vU{WRATKEj2SNrB;K1p zEFS=UP7^QTH?oYTJlIMTMG4!3;IaVQHpA8#k25yrNVS-qu{ZMz*QspqKm`uHVom*n z8ZHX~ugCV|?66)iRz@b>eJvL}uqUt2@1`J@{SGj#dJv;I!iD${d+w5EO*s&#k`WkzMe)>fnDe-6cD{s}b zB(>3209pKgyMpCB=te913zsk@&m%zeS8|ProP&Zk>IDoPQ`tu<_>D9bwNW>q?^s=+ z0j^n;4mK5=M9m4>BON=?IJPZC3GWXeWthvw+;R(-tEpI9bJESyQTSM12c#aiMcnqRpA=h%py@td1GT9TY)3qRzWG-5|W?rVOX>t z28qFt7!Hg&|77oza>Lr|Hvp8eZ`TnhIlJs=;&MkI`as3_CfXg_%n?{M!CKFXVNG05 zkMm|Vd5TEw)(dPuzh4NsJMK#`pE>Ag54jHc{aWz%;lEdh71aH!Jglek5rz{O6HEv? zQc*tg>>7%l>PeZROLWXxuD!XzCskM&k?#=eU}+Je=dbI*{*Cx&A27ePNO2fYICc){ zch5d}Yga1`4_7x&E-PSJgm2u>b331SqdIWf*v650sA%YkxOxW@VU4#M(o~ z@Wq=AH zNdT-H=QrFHaZ7Ja<6%b1X!Ozxdt~m-_33xPlJ{L_{)cfsnu*+;C<+JHHk2*fMWRdl zu(?oG=Loe6ZtRMxvYo<-g0fyU3TmrRdy}}4@7QM{tDWj?YXjLCr}U#TSAQUl0GDO@y`s7qL!k1xB=C?c=ESYgu9H@jUO?{BRg zsww_>4Em^5yo{(NCBzV|+|SNrG0ZzqNdxi>{6x6Tr?9M45X++!s;)I_8-u*3L-UxW42<7 z6~uHTre@9UKALbB@*+*f+9WE1rNiB^ic@qvSu39>8;+o2iIhpAzYN?QP+j3-^m&4H z!ZmbZG`Mr{UtOPd(27eRaD8{6>@6P9&+Bj3clEIOKgS1j_OG8?FK8B|w`R{O%2YY-LCXDOYZB=*|VJaU@2 zbT|wpeyp!p{aN+yDE)f11{`!%6vy!}jjS64(X>Oql4p69Nq)zV-B6ssE!3)Q(8G(x z`u;A5$qjp}$GHrtZolZ2f##XitJf>s5KH(}4@Xv)H|@>1<7fl3NW~J~U*UziHQvBE zV8y>hz4v`$Z*kW;#`*}#vZvXk25poPuxs;mr+)7DR6v!0FP}5~3-yxf-Nn4_smknr zH2fg`2E6yFi~KWm;_B8&Y=3{GJ%%IctiY$M+lZ1jiv9F7X8uLwYinAYc^I^= zC~BE)G`To;+@Z^66wLM_KPsVdR7ThEQA1ZPmhT`}^fFJxqc>c+VlmKg%iYH9&5(@L zu9LtmhgY$frK{etBjl<#@3*_iF6k;6X4HAHGcy%;Qv*9 z`+wTj{7L#}i;TZXeTn~v@&9O;@h8fktpxr?NhSNQD8CyE{E6~s+3>$n4ypbU%eAh?@VEkKdnM{)zJMsqfzyK&Iyk#Nq!;g#QHi_XOgf02Lnp1o&4v@hADe jNBn=1i+lfr{9o~3Lj?(N)rSs6Sa7OCm~^ zSQ8e20#oJzfd8%k|HuEvCoq|$W7W@q8gc{ifk4($7|n%gq~5hUazsA)vm)f ziu15)Svz+NWLY=M=&3z-0w)28rs>$BvF?&2?_4QIju(HMA19!DTh7lLZv@9Vx{F}I zym2-+^I>0I?vl3(NQjdW4x8ym1lP0p-s}I|YICpCD+-)nYAWY%w=^gP0ec4s8iF83 z)6J`6=3mBm#`VrOrN_7Be?&`%a?0)TzJme)KR+M<`Tqy2D7xJy!2ej?`G+FRKUVb|O{|^h>HahS z|BU``4Ceo^^~wYpDG)})keh%XqRB4qjbFs`*7PE$GR9v(jOkzc?CEhu?O!jV0?zr( z_#Rm`t~u`MPp0*SZiR@RF32e&Pytz{3mvNcQeUmD5J-uRqS2S){r<$(idDBP#a`g6PP8{4oEBsSXAFZqv5lP)~Nm)O?ggC@0fSKEeyx!Iqz58JZS{tth>sj-;wup9eJLLFBuJRPU;8n-5R{=izGn*W!yuhwV$ENuLP*a!rlLh~#4 z^u}sVQBjmEI0Gd6`0bJdtg*95#0kZBGhNi{grSoOp+w!5eyreyvF^9gwAu_i^7MB7 z`@d88pOM*y`l9>~GK(Mp05$*;$jzGmzo~JxbF?zFv$Oh-!Tp~E0sV8ie{28u9-WCZ zmIDm1!#9Clfpgvt3AQFlTwPHDHCitKa)tfbLAI1<3Ol|;p?3Z;x_pd4(ob)`*^;ll zlAA#caLa6!I5H~8#=jMs8M42!8^k^}53*$8C=W2b+tI@)ce zyc~|qVpD3=N9{1CjS)E`&Swd!(=m4532O!p*+a%s_3Lp4jHMVhSPe!`{g${x z(*)ZqEthoz+%?fcLg_+$pkbq*621;Ho^j=%=&y~aMqJlJv$hQHVE$JMddAZmockAW zv;QSX2>+zlCX5Z``tTw@@{6X#WhG|DWo?bbQswbb2;nQ}Lx z?f2YpSx8FhVG38_eJqchY5Bx5!Ux883C&`ao@wXg$Tm{XBtu*%YSMe!SkJ0tm#2!P^*?0e?` zzY#h&n8+0#-HS=a^NL&24`p=&BN;21gA}h=mW1y6Ak_37sR|6ifFXMGCfN#0Ig%?E zEGCU0{o|7bGxGqO-9KOX+80taejzDdn@}X?0g2%1n4_uAe_c~_qN+4w7xhfoMEf)| zUOwDS1slfkKJ=s7?^uc#hu8{2VnUVOLG>h}tdUOSb<)cxeZtwIZsYhJ6#R_lR?MJ$ zgj|lwyeBQ4jgl|zJzHPyJX^;u%EjXfd?S&JzcS<-mRyfW4SQ$dWxl;L46R*fK|Na5 zg4DSa(=DXvvp^w^1WB}`dTTQ(;98t6Gj`eL>zyH8Eq35Gk0Y~BJx_AC)VdQbHpY2) z=FEeY?W)_0#VwwmpG@DphA@kDE>IpT&3D?~6h~Sm{4IIFxyI{|wgX#rMaF^qzS*@) z{ZgJ-8?}recw(BIf4v6CT5p_aby}9uH&V$Y5WbFteS&K2bh*L7m;mOm^Myo1YBf3a zTPWRQ@uz?v0HWv=E59z|ug)RSS@B18lDaY-#{Lq-K!|1^?1&`J44JsJkqz+t7_lZ9 zpVi4vy`GNiV$N6m8LLO%m%HbpRzdooNMy> zPu%}={5&frYc>6+d?lR!ln4K%erIzN8x#8fni>BSJufw;Y;o8TyD?6=5k2K-))EY{ z;z6WR_SqZ^S0y8G%XBPLkzCsdskqzG#_IU}3oPcO{I@+Q*TKd8bmvPPG7Dt_gf;t^~$siI5WRE76qc)qsWTqGNgntJ8-wL|&Y7NqcpXE>~BxiWsd5Cx?V!DqYc~ z`7r(*)eXeZ6n5d#k!|}&bOvCL8Bna6!Zf96*R`HAPvd{NBC?(>*`?@oNA_+7!^FOE z<KwX#1EXQ(mZ65ltKts5Y^S5 z3lY@{+%0f-9;X9!JeX_>W=wuoyD0#{2^Nd7?WY zzKU@w%~;5Dw%(BlBRR$&NbhGH3ln_DBS6}pyT<<;qvL8p*?K4xe66rJyl9oci^t*5 zvePJ}bUQIv!rZ!EH+8MEcsyD1#K!3yABULc9(03poOZ{BPo4EH{_HS54&D>4vX64F zPu$N`O^xQpMIKdXD_rz=)ke#|ldxc?U#h0ta#JsHP8?i7LNJw?_Q2$r8OsGF>r^wz zA~n8>a0n@gTKK!#>sII5G|UH_Z`Zo4<3@46_2W^{K6E%n`~fg$H(XG5TKLgt2bt*7qRa>ubjf_M=LG1JlhQGE^m^VZ%$lRBema{`8* zapf(ibEoQiY?JVX9l(zU%b-A-8gk+ykRdYDjn5` z*;f{;$^zKTq}k=@Dov$IS!(LIT$QyTUGb!pO$p1ZwG^9Xx)MqUGGH65a?=k3Ic|)C?jb*Ze7*yRf#Gd5G5^vH&0eV&37ldkg znF#ZnjjA`M+G@;RTu{Zu#bRhv0h3=r@=YDdAx>D#ym#1;An@Z)X#g)$vOTxKuK*vv z3KkoihjH3zk@;l$TG;7oqZEo($`&q>l631m@>nybGz#h}Bn0P&aoZ&Bo?qlg^y2^W zUP~ zo+(bLfg)CEZ_C_aae0ndWn##+zm@E z2ugo>_N5|95O7zf@68k9K=3+S$M3T2SefI8W{7s~TH2H?-(lS%)nD&_3-iu?e@M%* zQbW{muFkkGu17TG-C2H3irK)Y@{0fXKg34Ftr1W>`mdjS$ZH{eF6(blgDQBBvEhqj zh-=|P%yO)W;7DgA*{DZcKlg7?w#L(OZDHw+&a^OoxDZqsIS)j zX3|Uv%Z9n)u+|!Aw?oy zNVUDqlyRu1)U*n0b*NPG&Z^snKi;89#?)KJ*+o~8Q&`imGn480X+EboA^72!rMu}z zTdnBCov3I>ACvD7`L!76=cvbMrU8kQT=CQIaX;@;>t!e;FA##L0f?Owm4S*^^A7Fz z{MeiS(jEKNvS904V1?`K>SR#0Y!}P4gAUtEmNZAJuv+W!6;O-XPcQ2$MHX6BXE7`l z3X};!nYPc?6Ty8vkkT%UedH%y8t=u4GsMELy{wQFMdt!lcElB=KQdDHB%6a0xZ1kJ z0*5am_rxPlxrf^muAE{0HxQi-J`gQA2SJbsdIXsjr7` zbCZ3H5XWb-qtL_l#B#YjrT0nkngWgq*9h-=;pjfDf>h>9JXMt2Ffr-XABT)DL3hCt zQ#614Br?N>#mGc+@bG-1e3q8=84#;8fG44jR5pmxPn@t4fh{HbSG#17Yu+WY-?8tE zlvvJIEf?x0t!#cBA?UB@D}fVeo?UHM`|EfymEL+Nrk+@{Nnw`tvN-dOao9 zB!W&Qon5D9H$;VMCV4pTJ%G<;k~xg<4TyOh@JEjCO8s`Z+?xhp`S<4}nN&f&Y4YQ- z&a6z#GaRM{pOsv5Hmko|@k}CbZM3Aq3}Uz6w(ap|aCGUgy&9DpiK6bqE5h^J(8Yo8C?q&g zP^OPm(tRQRR{&2$X_XN1$Sm)Xc6wWH#=@9A@z)o=kU}ViL%J?FuMrVDX5q!`s-Ms}ohWRbeeFl}Z?Y+1-wn7j zXA2Bd0aSQV0c$j40SdyYKsv?D?b?HK8pvNmi4If-p&jLMXe$0CEV&eE(!<_9KH?7c zcJHSxjPKNDTdG4;Za4dFY^EFDufX+4h}rT1t^xwE8C_{Gf1!Egi1vCs;7$VoZB(6C zdP}O_d3;)prm~aK?^IHH17rSyN)ZuPNk4}0xj~zY_@e$>6r}WWFnb)r=#@bZ6a&$~ z{rX$_Iwc|9zLnT?INd5d%z|VhAN%2z9|C-DqEy(qN2ehIhpe7tB#@$j$6wR$JwYX1Fmy|#U5z&-*XvzJBDWnnsg?r@nx4q{a!AApGk|PL-s=J+2ER9a#O|=SGttx}> z5jxgH+Ky#uv*B67l{juo!c42MZZWvO`+p@12a0^XR z&=PNCWN&Q@x}uhbl9oteW|c*8DY<&U2d5irr>Q3xCKzT##VM=*X*d1P_C|4w(MA5R z1&sL5+x|c3_^;BdC~+fZo#9`%kNOFZW+xPPEF`R!SbnjqqW!lvju`-kySP~+Z>igJ zWUmpqi(iWh;)G#`?`P8OwN)*l)2~jj1ufbWiEP$!E6hb>?q|Bm~g`#(dRJ2ZIATwi{Bn zznb!WchdfMaI&_+8Mnb3*zttPc$N9DcQdZ(bFX_U=!ktHgkg782oby$0pAR?12_4Z z;j;m1JUASGyyxmLe-V)p2hQ*h7F@Uvpm!pDvz^LtqX)CNUc5YU=`p*iC1$g3SBVhQ z&(7&4-H%?1PclKM4KO#T;cPd5C~=KBu3`I+3Z*BjBv|?kyA`u94fX>)*mPzX6k6Yi z;VK5GO({5#$D>=Dn5NqSWwuZ%^%$k7u}5V3fhJ*c-Ed?d_I<>9Z`Ymd zxIo=_as_M(?;cu&Y;MV8{Vi!X4l*yRY}FG~*+mkBirG6aR@qLLcLKuZr!@T>^fk11 zx#AkblNO#mtoOT3gSLH7Mdif3{7PN756L zI+^NfnFYP_?q3hpU*YY7eqoDhf7D(t(jrbV>dSe3zICuw*k8I4$1+h(bWz@At%-`l zZrl1xVik+W$YTji@K->bnGkJR{fmMPA7dOhf2qq>QtU9b`736_4gcU$ki)njUvRok zS`fYjCw_JEXc18?ClaJ>@?SPym2ud0I~=KX60UZ&I%*CG@%Ia2LKaHbY~m-P7+!>m zI~*;v7qaR?dUmyQ$bmZw`DOKhdtK~e6D}u~T!O+L>VgVAP6-UpwD8VBnP-`8NfI4#KD&xfu#wAjD)9_z?MoQr(olGc3t zLthB!Gsii0S_^iKP8i@!I`8oZHxX50gKU4YDJE zIxKAVY`m%>M}N_oTs@*XYGGohVOkAYiU)%$cHdLf- z{ZI#kMo&Z}m3ck7GL-PZU4jCqLgi-5NFQ zXy45`KWB*(Q^)T+ydTzI&-EIM7Z4K{#Y1+}sTCq!eX$jhGs`O##k^X2Y*VI;KbN}? zGX%cPrDj(YOB+YcTc2l%Vh|s(d}Ym7mp#o>dY6TPp%8k$_a}DC4Sc>0Z%$ph>=%E$ zx$L^%tRGJ7cn?aRGaHUQoH##gt1!ke)TZ8ir>E!n^m=rrs@c=NZq*uwo;o#Hu8NQC zejW^)Hg#)4^|-QT=x_gOY*bd*WiE8=G@FfO<`VFE*7AK05FG#Mu%Rz+Fh%>W<<*&~ z4Wahp{cO*<+huT{toch{Z1)*kYT%E&d5jIR%5qh*bm!tU5&uY0H*A}=*AaPs zctzIju%5M4;q-O4=Gaswn>l5yzIuE_%T`|2?d#;In9Y7MCBke+ z$F?NXz-6`Gb#A(>Z1$%`RmIz*qe-J>$-2v(A!|m#Apl}bEi;|G4iZMw+xO)qF|lN1 zsZuAG?ZPB-$+jGY_TGefqw?bEk5iLH`9@W)*^}*>D&H;-|2kvAwT9=Mp*faMMipC{ zYqW*l=2v$g?|MX4`AJP3kNUaHf=pKIZ_Pd2J-OPfrLCKi*T@p5P9N5ea#^#BbH`;v z!iw_~THbZ*Wwi;H2F>XcnR-fHYOPc8JDwi&62!#eZ$q{xm+1Hwu4_AbGq~^Q z+?ZN&?Rd6I)vn*64EmLr2Hqb2I$5;nKEKBF;qNZ3aOG(Z_MW{KCXaQiIfk- z3stQDl@-z2E2_Ei@$}?uIpVOKzV^|}ZefOW)-nLP@frC^c;m}%N`3Mgpg>@I+j0!v z(w(ZM40mxrkzt$l&7lLdpbK_d)T(R_iD&F%s9gMo$4b@rE*a(Uq zrqg4=<>@w}Xe6~nARyHmy5q^TyX(ZUmT)s=PifjA8^sHPL}nl1XIqbU5+9nbkwvGX zhWT!te1)&E%d;YU_=*>_P{?0$(dR_A*>q)w?%cRy_2~_-!Dx`t)7y(uR8X|YT}iDd z)|p|`+CoG#U1fXVBsB^4B*aZSFSk`HgZlWSEE#Sz$ZpQ7F80d)d^(y~kz>v6c&Ug! zZ1h;R&RmjlYAXP4+tOuek-C0c^zmWzy2)(r^6crWPBWge3ezk>(I=)UVk9T{bbHnB z(b8^Fx6CKWr&oOfV;MQ=N+vS$|PrnkI27IESVEI&$Cw!33c+F6D8 ztfraOGj*o0rF$7^@1?^Qw}=#z@@jdIX&S~{;Ev#4s;tgX?Epo(E9O62rO3P<+*9zl z{3>i0+PKfLDXnuCsA)Hf!RSbY2QsI_U@qhKjTL(b7CSZwqt*D`jN|b#NHUW=rYtn z1Iw+zDK?9&8Q5SN$c=-ZuOpTr$rCziyc--jaen=~n8yc~;I}wwe=at2OzY+>ZS%Ua zw7eDT$&ROv=fZCJ{xld2csqiiH;9Tzc&}ac^>zz~>0hV2Q-K1^qSKZt@-E(G5`%a;JS6Q^t zKgCbl448=)ZC&5Qza9AoAh|XA9oMti)LeULt7keUzOLD;YS?KKTLu;vi9Y|f`I9w< z95bNpqivu){$e}aPCOYwgIx$+vZCbQ6ls+@knkEm84N`-C5k0Rcxb8UcyawXwflWF zOpv+6DUBMlR2ejn?;GDUxzP5i@oY_}?rCc8K!Y(Q)0M$1uXjkhbYqt3@dsLiDZl9= zdbz#2m1JvS+fYi3;sUH0zN+Ew;7P=zlX9_kvsS{2Ii@gmXPd>YChIQ1>?aDSpLL_P zY6K@Als=UsD!65wAcNk5%~8t%KFjGA``LI7Rr*?nA}>}6C^}c-NZXDG!5N>9VHk!P z=2FK~rJ=2CilORc_Tx34?_9|_QqRJOl%Q!#8a25X%m-X@~tAcl5z z1CZteYvp0SWIK4i_UCJcc{l;wT+`ov4FaL7o#jz5%Ip603nWnf4)EY|Uodtg_tvw4 zlKsdk57dtU>6UtRpY)ZF_HoL?7P>`$bx2sv$uu^>TAfXEXD(lZ#{Q9Coo%6s!5eN} z8jG$!rK(eF&uot0aEar&0+PID(D`5 zbL~NLn>j@M@h}!(4&u_t7BJ>qm#i55HE!zJ-!gxiI|HC?+CY?^k5Um59)@A;TmNd0 zG^eDeb-i1d%;+bFOTgqK4XqNgCCP0UQ~KCw5q%Y zbA=C67~w{CytH51cNth2r!FB}!y8~6P3&S~>>$KSjX>4ECw)hU&;v|aHXGfzd>q%HE*jkt*yky*uk+f`)6ab>9E%qw~&#;}ey1 z0MXg5&ys+;DK&36T?FFw{%6%wxsvzGwQ)=Q_k&FwX(r`y-Ejsue@eHZ2iz3ow( zR=l0L3WgU4jtcSe1c6|gD;vtRd zp8Ch^eCCh^oDzDDIEU-BOAwR#?96@7&TfWSn95m*xPboWcfW$N5t#S0>|5FVBjQ!! zT8$suWk|vr!dm*y7rdAm{BJiShxd8tqro?h zMzL!YbPLpw)YYWn`RMFfJkoTl`{;xWV4%K8AewhRg`>9i&!^Zrgxmq{gvViS3AuAg ztbs^mw8++2AwpQU6gWH1;W3oy=fzEX=bqX5eNAd5x@+^Wcf&?4EY^jX50azk17K64REZhk;49(TjHWcp3Z`Mv$$0Byc zWH#~ojh&Mx53jG(!0n#l3aIl=4dX$VXC@i-xfgk^44J{$QdYn2(Z+TV9i0^ z%{TgSIkd0Zwd_p|YTGc+9!})tp$AmxG~Zu$_fGT%D`3JQ9WoMD{J$id6Qn^RdCuey#k4~+p@^_sNrRG(kLI(@3LBmqJF>$o6o=4ma5&5ACiT$Gwb4h02CH>SU7stQ5IWz%@BLhxg5{695 zx*u^8g&?4eCFuy2&;`9*zNG;c4H5Xy7RVDC>gX;3aRPlud&ERS6JgBT{jP@gzdM@E zCQ?BEqLOdV42B=5y|eFoZSBH~+5?OA3h=dWc#hD}>!yf@XK&qF^I_>+*S-+L5P?=s zNsp}MmB}QjaqubM_I__k< z`c=46LeC_gRG=Ljvh5PwA`H?+K(PvHD$p&t*6w9ZcP}Dq5TPA&{#Vi1_@^SOW0nZL z9U{~_)+_|%J+Ix%Z?IwCRrzQ2;UhqR=z~dX(aDtU2jrM`nh0g;YW@4vd_ z@^|M@{mosy6=j1^s!_$RS7&3Sd9-zei7#MJpwnVTz+D^Ay>{Ci&@uISCGE7?_h&@k zi83Ev8EH=qAeE@HZ|fG29H%9EIUyES5H4acMtPYOA3}-HlTsmqKLAQ(D4|Gr_4NInDq&+YO=xo}4CT4V_ z@N?iz#tOA5U1i7EOL;+i48Y_=;q?>QA$(bjHJ8_yUsCr90xQgsoDJjMpEDK zfYpGG>IpHUvaC|wM9fo#;14O&@8`z(@Y&ePQnpCB2G}sG({ZC7`@8oW(j5$Ki;DcII~_#uug{!##nJ`B%REYKDr-CWoe zmBMbu40S;-yc1~N{xrnZ3MSEbH+L;{3w+}*BD5sK$F zm%OFkV1dZb8rcBSg9ry=Xk^@GoTL~yK}!a0`z(14VicHu^a`EPz<0F~x{0mDFoqNm z;O}S}Az937RFQdce9-GB4t|7@VgOb)i_<9qB_R=9ZZi%f3!69SgO9x9AOcfNYfy&& zXs+A1>Kmcmp|{5-&VJxl?Rq&oU7*7iu zWUX)aW7#OK97WX;AP1xpFuT`DT0my@NO%y%BzhT%+K?bC{6!R&6GHmYOjJ*uRMgymE^fZUmZg(Gj^qNa9l=j>y|Yx3{OFN(4=wj?)*|eyE9VH&+x0*6kWx4 zpJxSKFU`;05RbXn>8Co6Fn<)zrEiBp4!kEOpN7z!O!_O?7~cUFV`YkOD2-{t*l~SF zNW|LqPBIM&l4~Peng==bC7+8jpWOIwW&IHjlY%G+G{j%OegX14#LyFBjwWgZ%L>3& z34Gjh9&n;|h-AiTQUlxAh63B@nRUM2nRF>p=7MJfVRdW@Y_RMdU9#(2BI>*w%kd^* zEe@=q4lH%HvEki0o~9cU(Vy~Re@69%#(j`5ZEBy>tpd|zNt@h*C|!fcC@W4_zMwxH zXG;cXHNo@`jQf--iEH3?-eZXuMxOv&(bcXvzGpSkku4#}&`kpY3O*XnQUtMtmIXU% z-SJw9BB4O$j_%?q`>c-~4+6SINMXH-zUL<#54`Km!bk-vd`uR6-&UJJH} zvb4r*3EZk@mYd4It=Rgvcj@JDc0rFeC3^m_UG-}1fO!T7v-6eWI8l8+Fi>4SJ_&qS ze4ehr zWYhLa6jv)M1)d&y9SPX!rN>+?y(?;CsK(0VJ;;ZgKXG%@wbrR3S3b_7`V35}U9^17 z3n>TMhh|ArF`JD3e$SaJ)l6?*Brz*Z>?HTh=|qf~$Z`+n4dNGElqjo0RLUKWg`!z; zY8Nut3Y2=-?R2$qy^=W+;h3#Pkg?E z&7b9@LArOL!T{=uFmfTNJowg8Gba0)8T4K|B<1i&t;CZcjI8LQ@!HGyu57 zm1oo+waN0ABRhq2vQjgQV{j|~ipOIedUGcp{bA!YL0l@O$=8Y<14i@j4-j-R1#JPn zg^ITOQXNp_I&oPSumjcxggZhYcMaca?D1C2y`6~2jEI?^uiT#!K@A8?1%0C3HM$qc z21N{@EKhrI2K{C=A4^BsH{}M}w1hBV*?Vsyu~KA}s+QdYb-R3g`;%3Hqy9oojPa96 z+dS6&8%keXEJ0#=6d_DlKUReYxN^eQH{8i+N3{S@uUQUcgsg*8cW~hYgLDV}w$a8I z4=p|e5%>O zO$ONan819+61w>HA73&|te?Om={f9ToDa*V@QwuN)`=rxgvdz}3Bx@Wp?(qTtLrn( zTH-C=CwZ|=+K?u#%+OHhMrDwz+Gjy?xqy$U_@qMwYU5Hx4kCu1`%yr*a&1Q2)>Rx? zf-P|565X@d+du%bRk; z>~L6vFvhgt*aPv>EzQci+aRz2e2bzhL!c}}gXF0XgqE>SBxh5-dX|5Nj)O4pmsyN& zl16aB(xt!4Rbog%oVYp4+tzb6NYS7^l9L-`%v(Qa69$LwCBM8^aL#*36#OHMP-H%f>8+LOat>ybU|zs0v1Bh za=Rsgl@jb?$3n@e6PIsiO1-$ibdeNQPKpk8`!&kn3Er^F;*GI8hT5vCsS@W_skA%c zVM69o+mg>zIXxBQ%1#EVW)h9^e26S?G!He@l+^53Dk_F={|mh(i9*vEu$QXuEKdwV zjt92dgskw3Ad!RBsN=JE@#CA);rrwem>)v8Ez(T}bj@LClPd-~8+Q^WhfEr;9+a_I zK$My$CU6qNm^X7TbkYp@QwJ-YL>c5ulF~ce!MpJa0{Lp<6Px?!s}4R?bIa4|ovSR;h7$?tRq}L92 zFA;8y{<0ns`!x3*pbh`cReqJ$q1N zuWg)hTl(RM+Gf=rX*A4&tSYS4rUoJRkFFK=T`(aFNNQ|R%)t?uhovJNlNjol0dAMl zu-qTg(l{eaWM_U4_r9=VpBR#ROlx)ghN2GCHTzjIU?4ayGQ{4z!jhJH*O*ZS&>`xF zLn>T=a6<1J#l+z76i|pA5gVsCe5WW&g~n1QtstH0z@?y8F%mic0~FYnf?N29L7QOQ z)>}^b^^!M|H7Gt!gcOIpJX{{kV2`pyUP zxy5Q+`msIWc2T4AgZk^@$p!}_8gpLj%|bYm=G9+|If~cT>BiS&-!0Akng}dVFlC#~46FmMZc0BxgJ0(rr-;H+=Hph{h(Z?%W zVo>l(T?>KzTjJEuba#?_m^^DK8YemtXk)ZB>%A(L)ylE2{kO8hi9kjOV$e?oJI+1H zErauRiUG$Hz9Ay-iq;robTKp3!K~?)zn2s;ZtfWmlc(YW+kr;yd`N_}ps}Gn+Na36 z)P$og2txvW1gD@he9mU{JOSSXQ%Y0Y!kgaOvYJ+?>_lsEz8@Wle+1|W;&@6#P0K5-bl|0`!};{JrnjH+Tv`bmio8>@BL=l&E!>tsND z9yaLmlhS8IEkr=IzqIS5{>nRI4t7an86@6xN|{<~r^YW5`CV8cv6AGlZb&u-D-n8F zEUyurA0LP`Py~#2T<&6gI-BPd1dQF&J0DXn zUat|k6(&5H&e@@Ybeb}BC@s#fVV^_dp)?7#ES}D+#)l3j_%pCE|I^pxG)L%;^9o+H z!E<8oQk&r5$aizn$e;J~P>9&_lUBoCLm-_aUUWhvCuGd3u9@XIxro#jKc(w3%wfL|X5fz0l_P|RvN6$m zV{CX%xf+#CbaW0(Ad=?U1Bmbj0P0>$B{w{0j^R>)xoAkI75lZBjqdWFQxk}yS&u9x zbQywfSK1kleUnrKSm7`uoQt;Fsp1^YLJN#eH0m6k@inqGT3{V$8B@mWG&}HlDyNBL z*dt;_I%^46^WK1#!j?23OAlUNyTvyr7%iZMAgj|Fg4k{`ZOe=TjRz?@chQt9S#G0Q za$*QX1eaQBsGLCTA)O1(;jMyCW@fodKWUp30{=6)CbH9d7}^NZUOp57`yf~1scr*M zeg(N4B+-OXQt}&NFN~96L?$H4FDA10d};!=;W`Qsx_$;Owop6Mq&R%5whRfa`1|@l z-+E0`TfkR!2$VW z$esC|YEebLD!`8*iR&i!iE|!6&@2bW&4p?QgwN=CRo8vXMYLma@#1%0=nn=px8!sR zuG-SW@&s2B9~NgWpXK}seF@Y58oP7P-)bh!m5i-e3o!)|CX_T#{u4QdYM@qEd-lnX zCHA-Pn%06IdJ(_Z7tS1(l}ki-{0Qka%3;9&G&|!krIc-gOC~yIVwflO$E&Ztnz>@e zym{sTK*z;)p?LS2#G9)V7W8$y4UP+8KM0*@+LiI>&BgHinP-WVvRegBTNQ4*@HV>4 znFzCW$$KWf&lbGU`2v{oiQt~dKew9(07TuwHecliBDk%Cc#Xnupa}yA(@XAl%Dq>o z9;0)`c3POt`npE=kV>%vM3L`m3J5%;b(CCCdED>T?P8ExT@D))|_yc;eyvfUTNQ)*FWjA;W$Xi0!+QZ(d>IY6i;mbx`^%3TwD9JHl z)H3OB>lP`kDZ+KKWXP}@mI^WeyP1NLl#a4{Bhi@ZAsiDy>{*9>kJOk~1+%s3NT_s^ z840$N^2kgs+a%Tq%YXyKC|_(}eFUzFG=W(7UdG%ov|dCI1`N@9e5_%C`S_|3AtI)O z1C6Lng>SB-s43+#EXXu+!JY6ZY!7F7us*4wmeOf1#<$i;GJ-FlteaW1Y9SD`FewZU zh$CG7<|#{ewN+F1;L}$+`#hv(C~B))xh7{o{$$%BwOrn-j(*0$W^8uT*9?pdh&X&Xoqz#^ zD>ZloVSd-HzvFP7aZ;Si8a9!w5V%!IBJ>9j@uSqX(Pn>$gGV?uKDlh|pM32Xnnjqb zL}Z?rN60g+)a=+k8v|Q(tKudeD2MUI7apB5%NTnAszgQrLU+j@HQ==tGw)^mj%#d6 zY=bT8eb3)883C~s!>@KOm~){Az%l7Uaew!F^~5h~MW-JNjx?R+H)zfKg#nZYS>WiB zx+(yFqWV+TAU6zR8j;4fi-`x=wpr}bKdS8Gpb@I27{NFYfB2Q_6?b@nI4IHNS#N8T7{H>~ar2dQ2*qtZ&I~6=GPHaIPTA z?3TZNX$3PV#{JWUK3Kn)n$YTC1Q_J*;_r>F*IxV-T3*N|Y67KT{TW)$z@*J0H}>MG z)iF={?9}}nGek47rh^2?*AK{&4aT66zp{8{5S}66vgtU5m!qgH7iTaudBA!d?JPEKR*U~JP3{#D^`&iEA0V4quK+L=?2qm*&i zw_)5|Pnf!#6hb5_Q&t7jE+=$j z4pCs+FQV-W?nv&*F-!!1G9UZ^5%a(?T15cN2i}Q^j)&-8h&1qpTudWIJ0%_nLg&(J zq*l)g09~-vw+tGv-x2>t-kL@2n6NAV2n5__bPt+?k`4q+1dXL^AtgkQ$()B~8gr9QXC|o5POS%@cr6a_cY3 zVSbm!YeikAz8`m+LZQL}kwrpscuLsED5OdwqQ5UB9%K#&dXj2QX+?$(zs=WiQ$r9b<im_m`o9eQn}g_o&y=zJPc2rBQcT@WTU#f}x+f zPF+4_()UYG&4pQAdL4AB%gB8hmMD>&ha~^+?%5~d*KBYVL z{kQNFtvIb|P=L)SKEs?FxmaRs>iew3*eP8;x)|0*6Y0Mv0B@wm7x;f}zIQPuV6+Ef z?|fM`f>b;YMSnt$r=@E@W27Cw?gU!|ud}QmC~KGxk2r^b&`!oRr)roOMI<=Q z`}_|NK4N$`R?>ptk;1}jy{XM;l=K_5TE{)OYEKX$)VQ$8q6}gR@i{1J`aY;Sbk9iz zcK;;ntI_;+Y}dDt=nsr*C-49Du7ps^yG>?{ zI%XIc6ETX2We>wj2vFVQZF#;xDf7%oee55koN5%Dvl+Ah!K+^$oJ7PLsTc65#1HI~ zPPXTFLH68>?xaHr#K9h$ee7ij@HOuyGSa%O{#}D^U?O?+RN-~-=wM$teuNb9+d%OD z053q$zgCd`ihMk9uL+eyFb*J({>5h*48{^z9lK!un$17yMfr*e1|keG#@KsYvSc9_ zUNtBz$v1F#!u(}`uuU(2)s8_L0x*Pw}FGxs)$*3sYznx}+c%?Ro7h{7GBq|BE%A{$1V+>@0@j6801D_?2s_dm)1I0) zdBqZ$jNQv*??kc8BP#%`Z3Bmhx?Yc8o0wddX&A~I-v5>Pr?A>kNJnd;CuRkrJr@q7 z8dkb|2Pw#glhgPkL%JACe#)H(;G?|YS~iTErA}}*Lc{uO%rt8wrP>!L!Y%7$ao2QI zYXvo%Z@9tj&#-$iK8O09h`$XJHtoA3AT<+e@0hO^n*i#5@g?drAHO+TZb2>I`Fzf z4X#jzA)GTP0Et$O>pWG6@be8IAfAehFuHT-IGt43Bv*7Wd5`bt0UnexlDQ@qFZgiR zkBCc`OXh?19MLv54J8qHyx+ypPEE^Je9fqw&uImlNR3I6{Zph_-}A*mjql9KzY(DZ7scAdv5wl0vje{%hN?Io zixGtiS4iY`i}KO-T+KD$46{q;0#GMDHI_(Zo?%OZC6})yV~i%WX)cSIMr>TNr$6KG zm)9FYW-&yT-&iM6O#mKTM-$9IiKS-Q-Af4y^*Qwfm`Dh?`=&OAjAQURMZGI8K}ENL zLC-(pP%Zp}hi3dl^EUV%Ht`~0CW=5G-aon@4OEH2UGDOSnLKORgmz7~A~VP)@0lIY z)W`_+IRCMXmiJ*P5h5py0b0(FEHW>ZvP`+YDfGqD8ZjRz#xTT@?=s~bwXeX3#ewab zILfw7Va_Odav%`2yV9t~a6xpnKpw#$jR*ZaO;CZiCz7pX5|KH$Rv>SH!dZP9fap4P z4O+BV<4r`_X{3shLUNyQNHQJ3m;fCanLl>B0w#lkbR<(*oFhI&=eoP5;ZxRSp{r@f zx05bj09#;4t_3tzi&YDd7lAE=V&mQ2&}^gQaCWRJxALi&VZie1*3EpvBFiMAI%9mY zeUmG7EJ+;59gK=GYJg~J()}Tqn8}0CrZ2xC(7QCRpxG8&4g|5^UV+5*3S9zsxJkWB zjg5tDM0|?7P)e1F)Jpk=TvMKyWyjl7i{;sty;gXreX+b$Uvzgl0KIzEh29FCISE(z zdp^Znw;th?cr~m~&3J)Bt^*HPO(9-Gg}D^LUr%KTQGov`tt^Ri)f`;bN3Gwr(|(*Ja9jro!nO|z^3|3g+eH6dHv&) zll!k2ke`#_v^sdWzpvzYWi}eSlYqv1#VC7 z{{HIO)8p#+%`4x46i2IX`q^pWk(5MbRoc)Q1f>BfXnCugMwSL(77EtH;&;?sXl!yy z;&xjT7j`E0M`O|T542sQdAeS*fm>)Wi+{;8!$)1AfX%*3-9^Q5zG|+6ms(+h{RvJ# zTmWE~tU*yM)gxP$LfvJr#>I4%D?~D)9|u$EwrkL%6mB|8@37=(E#!6@RTMR%lENNA zbi=M2*P#$e9SjNjgM2QS$`X(0t2`^mC;-WkGw}qXBNI+cgbsU2G3EJ5N>94UdbQqf zfSeTAMSbf$StXMPjz8NfE<}(t>5peB%-9gCjbcQh?!ONhM3t;773uZS>&8Rq2P!cb zcTQNLeL?jfUrX(IE8$q<(5s@DA}eb%Qp`LqM+WUJ83OrEPf*9XPER-;19g%l1LNEk z&ggWp^G?~xR|NSurg4ZTz(i)lmC`A>TRD+gkBXfuBq3Kq>_;5vSfb|iLhLY8nZj_!C?Kw$%wKF>F2-$AmT9KL#1y?FZk zxKaonIkby4nLElrBJ5BmVh!IpM?Dp}baB|vaa!0Kpz%AjBU`*1T3bbOYgh9hktdX3 zr5I2)%FE9`dR;V`uCa?_^P&^(IkO^S!x76xgUGdqa4%4#At_}EbY2n?D_^m|J@;nM z)@@kTLOH`Jw2v2+;^+`Kr(j6y99KMNZ*Pq@Q&bYpeVNU`7%;Z2mC@j>x@XIGA-TOp;2%nefI021)V6t#Nvk_2CE5qIT#N9S_ zoCsp}&yE9K;}Vy_zx&F;p3`MSLDsi;?R2#)`yDh?gavdVxr(ys8GjJXn?bpfoeA8M z*m*SO6MKiw_|e^a3Z~uIo?nXc>ll~h)kc;UzWWnGC7|VHH$l;|;v>~)Jb~(hN4Nj@ z;7f;K8Es4-SwF#E5K9sk+OZlh>Wj8993NvdC;(KN16S-gp4XToBXUr<9!RZ>4!h#`^HlWlNthA&o2++K(u*RcM@9LS9| z#|Q~Jl1DF4L{ET-hbc{^`9N$Ub`qaw61K<)a|-L64M|}#8N$fuVMye8W)%vUbI8wT z?39DyhA8sRa^D4=&JE+riQvNYEjp*nn+%>4OIRU@*|u=f0fMiA`I-SNj^RoFXU>&Y z8M_^@>-jb+L~*Hof?s7_3W$sWg1TU>VPUDW$U`i3hLJAlt8oifcE<7ZzkK%^a55K_kspWx5LpiSk5q$&C(1Nib1Kin|VF5 z0@?T+Rv^a?1{x(=OydjSVJtjmq9o{j6nl#Tq4~?Gy`i%-&lN{ygyt9g|FR!sn-))Hx>T9Ym?m z3@xr;s0w3&wm6uy9D2<{leDL(B4h6Xi$wZP3ej*>||6_JeDgQMqZ+D zQ+@{lyohh{qa3*!g?%N#$s+%_Z29KNAD}hRl@=I>I39=qvh8(n!@B~Qhw-82z+Y8Z89=8K!N^IcTYL z0ckHSK*{Gu-Fk8k-XI*^wX>xr@=4Zi`$#p<&ymBBx9tdEBFs690)a;AFum3ovBxuN zZig$OMS#j3Tkm7^2t{FEyuCbAtx5JeVbYKXAp_UyI;b2Q=b4lP4z%wy6cNHd{M@tn z0l^A`+9<6`{&$Ymp=Zu6d^SdRusb~960-t>;NVVq0$KYThe!>hl}uuVD-2SfYAkBK zl5?9aBKO{{)7^HIab4w|9+!VgyIxaQ2aB10NoO*Ldr*zYtfJIVPXfA~LMWD-zg@ew z9xyC<=p9i9oR$=LHc{kQIv*vsaJ(!NW8Af>QtmH7BtM`<8@d@v9&n{2pyIvP7fS#K z0S_Z_rO!4vhgl_^EUA~N{Q;0wo`_tbrr+6}%;31|7XENhoryX|mSruwMDbSPUQKcwlBkK-N?O7Hv;Dy#N;wWe% zp+ac74je@Zw<@j9OOE~k^moi?Xz@o@hzrBywAIz!dv?$m8GDZZ)2X0*a>8L~IdtEY zi$uPL!wGHSRGl^Q+C()H&sS(@=7#eD?aTZyKDK=sPjaCgGBhIdo8?CLNA)GMS7!?n zC>ri<|C(N4_U@ET!3cl63gFJaTmFlifq4s~6mQ8@dI}BnkyM`nf@c+C0GJ8QF+R`# zf2cmWbD08E;r5M%;1&D|S+WAL#84OT;DVh^W}582(7%-k3e|KWYiXhC4pyu_WhD+z zsWmh}P?;Hj2%cDp=BiJ153c|=o2(C6wY+C`;RLl+NX_q^2~Pt<(@v})%3<#6s+5eO zQaEit6HnVQqUdx4ZV@OYPg$m`t!FRzVu%&&2jRAib_m%6HkfFBWn=`GOg{_UMYoww zhNJzH99?rrz1!=M3A)lpa+8>1hMcxq;@$z_h~usLmM*CJReRkx-cHUNTdtj)!HJf< z1aTeH82~$(s3dOK*lPp`OJT}%4G>*Yi1A^8Ib4z1`;jV@?U#LRKwQr@9iXmbg!)Vv z`gL^;ixF3R0;hw9${B20I=k6|>8@7zpOwo}R1}q_i4z;-GTcrd1a9R@XV81F2%vbZ zwLnljvZ;gsMj5o_jAZY?D)N;lo<73C6_wBEm=eaTR_-02e1{&q-o`3-8MHCy;27zc zH9)3^TqAVX10m|n9UJp%<{?XYZJ6u6scae)JS4vpsTMB>lLGmOBBlckoMUo%3XCr4 zc=4YDru34wJxoUlVUdt#y1V-z6BHgw$~lqTh?6Z*!`x3-3B1psWN2wi>$B|iv$Zs!gp~8nxD4!EVxNa_K9b5&tx@AUO3UX4P8xh6yb*dhX`rV+0w>+=eG)Jb*UGRB zuwq&Ww3&v>S#|sOda$biLMp%7 zk=_N`18bZZ`QU96;1mE>KMTLR*1ai85>1_#EGJq56_8$xv#2aK0z3gSmlIc~-v`Z| z5I{#2V~pUU8y$11mK;GWLbh?)|JWkQ%MN~u+#nb`2OJXdbV$1cOyB+upnG1!v<)qA zD*!H1I@s5Pn2U1D(V`Z^^w3G%KG)L!S}>0E4AlQ}M58Jrtt!ORobU>5HBG$$iSFv7_M8H5VU z%r#i#Ao053Ad~UJym@Q;P4}uaS7DP?;JZ+Qa_356{anE`w=|^$rToMl_}nIAr*x11 z6WpE}Uxv(r5kz;j6i6*|0fk*#hT2=RY4s}L8YB7%3!s=#YMS|_eM512K zlxg@^6N&n3Sn5Y*DrLyXK`9MTs`3qYygB7@70fO|KCzw|2;9!8dK_>cTKlNIEY$I` z)kk%?yv)~W88BHV#CIz3XB$2I{FRy4S5I95SkJosXOepdrQ}7f#*?-}<&n zXW7l`>+2|&rzS=tS+uV|D2tXW?zGbKkl5`xTM^rnIaV?mqAW%9di0eRj}qw{%Ry(1 zAPZxkkOIb$B4d^&G5uuo1)=5`#R@K!MIf~HBQ!YFUm51d=TT!i?8DIH?y{^=1{TOm zZ5oCIU%#UsGAGpROC>?Y_znJD0)95lmMne~2lk7UA!o>m;V*nxuka%_p;ftX6ccyu z6gUjD@wUxkk)SdSCz}GN{D$VC$~(g>+i)5&1?W z=dTRzfr=_nmRcighn+y?FwBddfvRTcbQ2)Jpv!VD;0)h?gr*gzbQoQaAO!FVxjA9e zFex}Ps~YD2>|JgzvitD3P-(@_GtFB8n4sW`OTdG75z$Ns5aHI6W_=ZwTBM{qbW_kc z3VmJE2m2unImfPNC{Tjl_^XN`-ZEn&c1Yjt6iJhMa{_@$-EAwQE?P-9SSbqqtkC82DLRvYLcynm}4q z)N^`sx^-|c{F@DziUY=L86X-&pf{`&g~a2>XtCP}5kCIDOu-Ej+#OjjUQ58J-rAC8*^&60p?5MS zn-MS)s%R;jNRuhF2y)br6AeQ)R0b9Z*C0I~A!MhwHxFE=0K?PwIJPo;MGF?vQKySj zKG5!v+h$HKAVZAv@DU6*Aa1}PDvr&2ZGp<+8YHYLY44&uRPl(aB5;fQ0?K8BJMZJV@@kpPII3*%TAWGbtz3zc|S=nN>ZP%;>< zK@y5lL}TT|Twg|U$F+qlnd-)F5luJdI5s>c6&b)EoriwISJxoOYeplZTzl>6iig+N zmw-@0H`MdLvE9{_2G5Y2`DKE-NoNiTp&mlUZ-#OfkU7x$!<~%!)Lj^Ylqo=30&>&^ zV}*Aj?GS>H?pGGaFKl_%@yC{Dire6GQ0B9H=uSJ*0LXR(itRlU?KJgKj@;?hi4ON! z3LL69mlAP8D6)r2M@1AJUo-QIxyvyQQI9w_8cK>i0)`c7YiWhy`yghD+A_H4*MH1) z(i_s+NVS>i5DyXyJP$_~I4qTE-TnRK1a)&eOaw=W1R@?AZI&k4))N*<@I)cd+s0_o6G2V|(~j-vt)%#l|jk(kn~YX}R77I19v=>Nyux9rAsC0qVV4rPEeu3Rp= zx@S~bl3liC!=h}!vy_+=v-rGBrrhSJ2K^ZqeSt;+{RbX-)cTY9l3r^??AO_`PbO_& zpa)g3m}H)P_9J%0iWMu^{5|db#U+w@y3GkGy#;;pWP{9;L=*UZbNvQ^x1_Qv9+Ilh z1-q`~Mi+x45^~!xhe0jj{>4-|I>tJF{{ELYXPY~NKaSU{(+$J~*p zy?s}5Wl*JZUi9{?@&p>b>~-Uj67eNc4hGJL;`!Zus`biIRH!BwBpbrq^fh9Krz^@M zq-@^{c!X!S5IV&gUoQRzwti8o`)moIP2a;y7D+*DIqx}$z0bDAF4elH>XJr0Py;Y` z-niqc1mXiM6~+YKOOT1V2pMGM;bX&Ihz)^CG+Upn$M%v*hJ>2bhiJiUx01>S!%$(* zs5#`OVGsc|E$lYS1LbLCbigS!ClfLu$m8(pRd$5~r9Aq9Arlqq-4Gk(h#`z{hQ?eF z8F0*wns&b_d8{0EGBuPoEs#~8Lr&oXPe)y6FQU!GSR>El!GKpLN<*cR>fQ+76dPSE znMynmx3>#HGg?8&Ln`KgAf3a$M)$AM-yA^oTIhbaF{WyRwQAD->teP)&BSc6Br?Vy zlGyn39z!V>b|#!KRM>W%^l?-ZBuv?nYMH!LiaYQB29!6;p$9UA1KxL~=(XpO4z%Ki zcT250x?cT#btNswR)M`9s~I`(xe80>mxOgdmHIm2*GWU)(id*N@#zy*CmCS3ft38+ zeRQdIH|q0TZ%Ykea6b(p_u3|d`1H->z^pdmcMdSsPeV)7s&!ToY9l=lbvtH4E4X%zld zEs*2_nc{9n9zF41cFE&>QZfl%H@fvf3?mr$c0T58EN6-=lF6Fj)*cB}D~ons5@-;=Qf-y57T^}rFfU$#oP z;dV)u@$S}#2H%7e(Ot;oe(nD1E$bsr&WT&vE(oW|X*vYsCT2>PT8x_{i3Sf=kG z+f~LvgFAqE^7Z>ZRxpb+Ai$8+Ut@4Zgyb-+Nu;xe&940IQoYhCq+t4PKW@eJGfg7}%hVQOG?P~# zyMWf7p0+!2<}m;4Or(YjNx7m{eILTQ8f9mHs#i{W3eJ+nA$>wo7Qr2O0zXbsMrm=5 zV|;>ud#o0H`&KPriQhv}sj|R>86NHW0c@7Pk+D4dHV~kZIBL^SY1AkTPGd1_cvefr z?LbiJi$m{?l|?F8Uz~W3xh&f?^An;JSzrD(5X^Bnjp5l6q6tCf3bjR zR9=Hcjmm!2GuHj}iM{htJgG)q*U-FzPKG57<>E>v!p-w+11k+Aw3y{d?$+61tuD_; z{ww$#MH!hbx!;W%&}I~4O*Tf_1G@5Qq3a%&r>iq;8%RQtBO=(9Sg&ZD$8c{?*6-FQ zTSpxg@vF%;zNPa*AY`S8e2aDkdu{g+KgDDQ_^DoNu(eN?0Q2a=HFwK_ytS$4qn#<2 zOwGR$QnEBdZp6r|8nj>?4o0(_l(6BCZWd)QD=_l=12wW zlWkG=GAeO3W{iHXd7@fy*+#y{?$L7_vCxMN$>%j@^a|aXp-W-DWP!Y3Ugx{Z^?b$oUD8e9x(WCZiaHqO@i^_6WS zCVe@1H3~d1^&v2dNr^<(a54wGjk_KQ6iav#;NAGDpE=lPmv571X>v?B7WZ3wH`U_M z{T8Mo+6#V_IiPt4ipD;#55%UF3WH{ z>l%wgA%mgN1%0HfA16{`!O-pE-Y3+Gt4??^$x*F6K%*dyA3D8vdL@#B8kc7=sj}bMRr?Mmk|BR zcR=vpKt*w>RDzVafT~!|7p0@~gmgNO8slC!R3?{E6Kv|y7LS4=J^8BsFTbHcK1M;k zU?Z3j9~IytNpq_1=z*It#6B=d0rrt7AMmB>?xKu6+1sK|mhX2;C|7P=Km)dNU*~DX z4tG5htfM#NN@xMN-vEo)MAg|w?`9D?RC?#0pF!m!I+W(qZh!*lG1(t(+rm&B zQyWU2ckdyT1o#l!Ij?gfCvUKch<-)aW5HcYU%94VqQ9B1Wlc%I3?{}pjK($4zS!AG zF%EuUmvz2Pf@R?ECv)W$V#djRMr_ruyPo$FMpQd*2^H!I|Y{s>QBYzqvmsJNB*3>4jM= zZDgagTvb1VkQ{ZbqIMam1CO?TX8vM+djT5j(81OlcY78zc|~0?H97v`16=} zJlZ`TuIC)|UB4sWI(JnvW!4|i(uZ+(svI4s8Z^p~q`YI4 z1cc>b16Wa4*CvnWi7@8bD|`lv+|X32^y=uK1odwYZKm0pIgZoTOjVncF#Arrrwr2j zU&WE#ul!$A7~(Z%r>o9Cllm0YOr+h<9zk%5&sc)V8=qJ~PGJ1-qC_2RL5 zF|hTjZ|xjJ@bK#*#1%0M0j`LnI7)S-x$ujZd!Z6-9_@z!Lv$i2;_aK2^FRv2IN%=E-C*19CfRRAcuo9v7VXHZEh%zJUAK}Qg^F) zkrKuJqNYRtJpxbkP2HXGuYde+uP#X~iE5w+w_GkD#OqS;(Hs(-cG%Ns3qTFIJ%Maf`^nkyda@bx>uOs{WfK)nWAZ;DO)$mwfLV4@sk6pdA( zo>0i}91q47LK@gQ0i;n>D|2>Ff?*(($J;W;q7$A@EuY@%jI=NS!=>Rq3q2JLJhU$C zWqL2l`3R9QKMxzM5YbVluS^I4l9l-A!(dns9`J0v+)%0fb5sOZ#!U0)kPw@EVH3N` zzfsiML%};dor(f7Qwa=O#-@olIi)oG?F^UTat`0o>x8~FMr3D=p%4a9EBj87R_`PP z#evT48?Rnxv0gf&P^u4emc+5N3UKehUI8Rm*Ox4xHt!}ID*juoR>kYOT5Dt7_K=hKk3 z#?#W0#T0E8pR;4DXT!ze+p;~zcnv~Ht|!VJ*gWvb{o@MkmbraD@aneT#6B#E5rZe8 zio?$d?PRhHq6q~NJ--h#xmm*{TkovG)7%CL3S{8i%P2Z(ie65$hNtxovD3#vR!|Cu z$roRPg^zktOQqnys@GCtx;f+HN$%XnBiTiQwrP}1-eF>Fuw6Y!Hm^q{M)EkebVyi* z$XZks%6uZCI#MP8>>}uN6P2T`_e0%Ki-8t!SgapI>FREZut5HDnNw`h`>p5y=S}V7 zPTG_09MUiv{2`g3N?#9&vca7h;%Wpuv1g|1a0@aCk;w9coRV4OyH z*Od#jxmH$HJOzBG)HzL%#5#_GgS5Rvw1j>bhy#hPB4nT`p2VD^Tx(&X!Fy8AyvAgQ zwXc|n5L@QY_YAp}^>abg-ixEaGnx~zr^hB3)53Fna7Rdb8DG_bM4D`Kvipc4hgNY)Sj^70Fc+(+{1fu!L+mbqt_GY83WAi7#Kf>I+NQ}h6eM6EDT9Vygu3GNWJCmP$t9j2O>zy=kjt_&-Wo?mKiYw31TAyF}Y*e(Li+& z?;XP0{CR)U+Jlsk>^{h02+dx_D6~XpR-QsmWV0*>wc94cKIK(iuoo)sXHx;8VK?n~ zvRu)zobkl08yz*+sryq!n z8Q7)0oYi+3E8o2K>a!kE$sszYYXSw09JiofiEi1dxa(W=tE~#WG27Ov!dvpWvMr_^ zw*fLr7GK)NRpSR_OL8ec`5EqOSpv}#%Hp|_Wtqv`GO+a*R&1bxpH6%Li@aM6=H0E}u--vg$9z%Sx$PSLW9)jR4RKoS)Z-}1H77w~VzUw7+E z_7jQwO?%iM6n@jCd+1IG%Ym2Yca%-v2gdnJ@3e6klRZ5pza`HAzMHZGBC+$A_+)Ay zjxyB~h{|d{WtmX=cipsB4RM?P8N-yM#sH{CRIDDQKD=RU=S6 zb3KW`dM!X)(ZiV9?g-CKkvzz{Xk=3ec9o_GzJ&~;n+d!;^;?CM^dwN)$-G4dHhYRyqI|mhF)Bv(< zhYI=d(@ZS5?Te#9`QQ@XxtE6Zcy_Vn`By(nLVq=m=o-D$-ye|p>^%mVmNaOhiW3t7 zlPAo;5U|u5kSLFkK4H+pQCf6>)t5s+8nRQsqb$>_MlFnyglGc}TN7w!5j_X}YvkxRSwE78!mJ8c60u=O||yHsj_F2#60A z)#uBcq0cwI`%@{mx(JdP6pKxyoAg@fEF$Sg2>6#!*T@B|7PpM)Kcggl)TrFJU&Z&psqUB*sx+n~bbW0!VsKOQ zX-1CT-<=J%NLJN#xN^kGv(tsv+cWfQm#0Bfc&J82FphW23w4Zgz6ISbes0r@%qf0{iCdyXrC4W-#MA<^$V9U)0xgAPIx0^*@5otX-NxG8 zw5SzefV+AyLKYO;m))5!Q8P~1C3tBHQIv=*^G#L;CmDMPeie5HFZN|vX{tyJx>h; zLSevlcFGG)CS%__IcXEz&HckQOz3k2OJXhRQesX1ldCed(>unWZG_zpc1dF$nuo9X z&@6_@G7cfgmT`r-<$mW-60neTbIi~7Mz?4tXnIX?WAHF;v*GqPZ7t2y?M$xUHH;+S zyQL^bbPlyE;TI%lM(6`CqTH!AAN0`;{31z7rS7amaBu*uD#1?#qYdi-(CD@rW*EvG zVX{CeQjG;&_%4MuGcl3jb{tDi_TQ0{C4-Ght-TdzmaiI@slPN?GI`ma?eu=ArWun* zoPg_G|G2}tgn1>d@<4~BQ@W`uB}|H-QLuTkS|X%8SbVhvyl}JeWfzBifjbN!{k4g{ z`+e^+o~E}shrZbudlqA*@MYcr!>a0fi9ICbZH6Dri3`qA5=5#CZdXf;)}4Ui-$)vW z=OUv?HFt3e-C>uY`3U!tv-Rd`s5w)Cum>begr|IU^r8!5b1Bf|e0ph!^3y6@s4y7n z9PLxmZNuqLO44c6OqhI&IV>e@>_>^ZtI?=)LD`Ny|4AQsH4aGL($~FwkYgfPfFR{< z0bdIW3elv@GX4j|21|S)4U63?)*Vd_vKE=bjP1CdQZ;)WA{5k0H~D@Z^Cx|9S9B)p z$#BR^Y?aCf**#R6TB1x45c+oE zgzTQ^F7sA6hN-}Ypnls5lgU+=fD=)QhTH2Of#&hUydBkt*vfYN$`u>AX)M-VDk(<$ z^7`s@{dNmsXV75elH^&k2=H4(en8}*hDM$Y(|X8<51o)O%g7@ciLs#0L9Kc4@@Zve zo|(~5nlXmL6zIBwcJT#TxYX|exSGU+UDiEFD3(1}U7yC&@JNCheA*uPeg+tOO;(aN zwPxIsMa4cVvGxQ5*tw-X4ceM=2R&pGNgV?!LEw0U=DS$`6?zr#GJOC{iqf2#((UT4 z@RZ%|FO-!rz{TO04c%*XUfCFmVb0>{mJG9&+*d)`@^9!{gD+3;!v+)%-9Wz~zVh>l z9c6`-_|~)?EMj*T7rai}AmBbCKD}WgIN3i{kHfFD%G`i$(#fGZldx1G zqm-Xk?~XqdemLpmSCA*x;b z42+yGQlZZ~6qQjK7YqyZn7Fz-#ceZ8I)b4l_~l@?85@xEn zMWber1V7W>)|b;3PzMz2<9$uL8pE_R{BFTbmGrA6Av2l>#w@%0Z`we+cgTmIiHcZ^ zmLo^Rwz_>MLNyl|Yk~mn@=|(wx&M1E-1CXlejqY}x+BI}-3#M3!zH6lsxlK=!X2TX zrhAxaiOMm_kS5dEUCEN0*BMGfC9@Q-hjG%88`X^2BzETQi2cm|^^gDc4Z_Jo6m%RO zt#AMJkN;Ra`sVoPgS4%(ea(zSygMlvI0UowAA4v|poasl6r-m7JBv0Dae6z|{5ZM{ zSSyW)a|7FzPvxB?4I%g+%l5_*bV!~7HjG2>9NOz^en+)R-yT>s2&o< ztn>L}z4rV)GBU$bhiqTOxRAeB8$pZI!#7WFsq+kn6FZgn+qlf0G2h+&Zxl$dr$^*9 z*N({1Hn{IyIWudHa5sV?#9Kta`kc8eHc1FpY-scT^kH{Jq;u8T)`w{`R4MCWxs^rh^QMFjKnfY&4(tu;n;VYz?ER8Mq+9s z$2(5J!wv;0_=go&$hBn?0l?mHb$qj0nC{C{R0atxX3}_D^{`M zsV9CwR}rzJbRZSxD<3VME57zQdu_4{t(hK^)2j5}>bqi@BC(+n3aVwHrN>z;Xh(%)52P1yR7d+f&gx@F1X+E-*(4@xio2O$b!Oa}2U=J>d~A<= z5wGFdQ14a?!*zK|tjS;~0SPIbm3upJ%3Qbmb2y9y(cqH6A0n8vPM}SS@K;wK4B?+Z z_%IEQ^*=a${Fc-lC$Ze;f=-oJnu$xMZ#*+0lEqh2!gHBgM`2qS;z^R=>rE=7O5NLr z3|wy4phZf0Lxw*Di2Cb|;nMZZjXZ~iN>9@K?i;23xktZfW!in?JF4N}{I(O3!k9nz zky#TQ4hmM)6J1{Q+E0>Kr?XFT6>-g=E0revNXWvLqq|~j?wilZ5-o=v@Cr_vcZ5tA zE0~ietRJWtZE^ElEVr+rB(%q3qq~%%*f7L-X7&Ay*BSFiyL7bCV;T)MXHXX{%VVYW zq(mgO*_Y6K@cr%_C+()w)WopDxi!4%UXg}0HONY`EIeZH`<~(J^yejD75&)AW5a7{ z&><&$N}D%f#6*WJygZ7TNsJy#0pN6c7ZG?995HKUnh~o4BkQli_sS3|YNaxMkZYgT zx3TgHH|!^U+>=1Pv{@Ngm}dh4`&mSmrCRy%o7Dvbvk#!k)R# z<7G}009GJEcoEll*bIaz0?1l2-)izvt(sfo<_+(jfIdUZ{NnmfdEBz$rS$RY3it!+ zFK50k6lTm8fMpXXrbdaJc}&F*oxMLk>471RvJmWBpVkVqk%6&lM-tNEolz?qae{=+ zWr@DCI@|kF3lZn6W{zA3^YDI&{XHHrCXea!AZ-a4Z?zT8ebep zZu^J_rspIH^fdE!{uo$!A6?TANp+j61n5ofCJW z0Rio4Vuhirk8a_{Z+V7FYP!P6OXEgojcg9WO`5UP4^A?Dr4cZ8pDD(=1A%|1b{$3_ z#Oo={fB#S9{OJ`C8j$Mk@X$sSs2bDol{xc_@#rc^+LaAt$@y=&g$*7r;#XUPyvL*m zsTh#ylt%&@GHDDl=>(EaJ$4Iq@iG!JGdtZqLre12QpCmxI`G1DhE1fB?lcUa&Ji}} zSj%~7!$J|uQ;5*m>eH4hh9BlGfPy=4?Gscw;B{bbwbTD408*K`ohjo_1D_xBHbE=W za+n{C9K3*uq)z&b+%HlkMQ)qmG{Q2le%X=a&YFayPSK}3bIH=FS*n%nR2K(uu?K?| zc3Xru3nDjBW7w>T*>`f6y>Yh6Z65HSr2EWFpD9?=JwRIL)av|W$|%MkQ~UTqkh2If z)pQU@SPw}j<-*)KJ~D38iKHuOHfZPc2MoSMKunt!iNk{gC9s}?yTJ2ZnGTW$T4~T2 zqx0^*>Y=f>1qk?e3Wul`cnZNZ442$gB8G?!rFd4r0P8xgbo@V23D z2#-rKX_j6G(XQOCet)%;Fmn&!fF3tqE_;CQC3 zX86bCmYOCt`|KnQ5Q+)lq}G^0)7Qy|B}{ff3RiblYMG>O?7Nd!r7G zY62p!cNXaZyo_{rldUAI%79lP=Ep=2&ue6#G1pEXACK7&74^(FWKs zMB7N;pzVb6Om2iLJQi~|KHncj=X%EH_v6N8p-LcsQ|i1Gk!0M$ zOxEtB9#}KI;2I;tB-?>)B_`_kr4?vL0I4oCEiav4=3c&!aLP{1P-SzUxU9&?!G(vR zh)_pPn-p_IGRfSE4;e6z0}4!X)JPVH6RM@la&_jXUf2Oc`kJSsrCZ#vS;!qobL?L< z8GkAX@(bQPW!lQ@5L#nK3xnnCpHVB)f|-)=h(5P#C6BN-ph}&9wm@O%vkt%?69eJ4R9+5QnD; zUS6KKBEb5rgrElQ_P1w0Z`4tN-6b`F=~}@sDpJRAg@;+*$3dD`bcUPs$V#=23!ZE4 z+b0jsT>2K=Lri0rzMm#i#<$>?LR^5nbTR8a#tb$~XR)53@b1L4lg-Qz-+!2EdK@I1 z7;^WXvIW{Q?cHV)vG~GHfED zD~{5`LB4qZ&&wMMq#2^pq@cU!vT9hmeYU%xq;_@q{pxJ}=3;e-&wv`9D_G$qpkzr7 zZMqFri*0lC9EA3tmOl?U?T?2z?c)HbeV&>iR|st*)~WO0htBPZ`N^%7EJ;u9IQ%bn zLQ5*I!`&0$tjd-vOWw`Uqc6UH@qq^7%KErbyu5%DY&vjh+Qx+j1YNyypQ?Bm@XYwS ztJ20NOpRAj)0AZbQYm<{n)96q2^OfkENCfl!zDYPR$n_s)ZOLnNlu(Y4Dasx9CcyX z`%czS<-tpGeDRBmzpjrKAAkJm2TgmOv9hY1rcZkoBF}IhNp@MhDh-kvJL^0^)5dLP z%|u2@rRVrQax%h&=_7>g27NCs>OAe2{DQlmZ(^lqIJN_UEPfDcn9}t@NTvrd5GhYc zjqWBq0f)_Xaw&jH%&)Y1BUUdG zmg2q2{S>wn)c&EA{>&eS8D{7ko`Zaa1r__Mnctc33Y+?IA(LMZ_|6w;oS@cJbSPdT zI6bvORIYQS@6FD&Co1;#Etz`Z;GZw)r~kVN9e2AhRiE+=HCwu4hgJcVTcafiO1kug z2ll05(rN@X94?>%3Ex>0s@1c?yXk6f^Gk_TDxDN+d~FA6?>vc@Ug zAkDEeIK;dLfw57k(m2l1D)dwhV?kLkTj3;2L8B%*QBW`ogkTL+X?Q{vEA&7TA2Tn& zqG~<+)VtIAL3RTNFA5lxFWe!_*sx0+ty2(VClM{HKt>%VL$de3o~b{MT7ez6O)Hb> zXYgkz%(0$oR+fyG_x}NuDYYhTcUoZ`XepKR$Qm&-cb&%GnV3Yl&mG?yW0913NsKy% zuX3A5p29cRR;nhs{;k9iyMnP!nft57F-!?l3L8j_s>pmV2B5~@7YwkZgd+ZAlJjC- zUHMtdb{LVgbqyKBM`UHD!Lh)SRdwQpjgDFjEns|6%P~$}^_>u*z>SdzGxc2MVrC2n z$Ofz4ImtxqiIEZtwoXhVXjuaYI&|3mR1czvT*8&A@m;@E_q{v+6zh+i))Oj-*Uy66 z@w|zw{9Q5u3XS-O_UaHmX0k#g79)*+d$wdZoStntyxD^eUp%QtSBUmct$7v6$f>n? z?wZ7C7k|2Wu&~zZIGnh_l_t(j4HL$-1yyhNP{xv2HSS^$d89w8x)*{rw?=j<>4johl}cj%^H7VIc-x z#HK<_+O2r<;?YwRl)GHMMc``C3QqDJJQj_JSJnrMJir;yRuAu09IP>soeo?EX&}^n zQlw0B=JAWemxm_!$^@>9JdKHEdQ@k*bReLlzueYza5%L6Q+ZUXec`FECKsH&a`=p= z>dJ)0Z>+u1_27JAio`)o_q0W9-feO&Z>;y|mJ%UAX%uX55i^m(MD4cEToUj@fPB7&?6X3Yaq!3q!K?76s*1#IZ92R0(TrmRHM*pOLQKsd!)(7y+i9Z5P zHAbE`5KwtaQbVfPj^>>8M=O+>t1M{P#kw5kyb+|5rv)1$C&Fja5uW=kyty}L06knl zmh##aTaA!2{#WrIYCEJ1f90OlRaP}_1Q!@{He+9dDv-}0t_8^*Hm;yx9AxOM^9+ZB zuoj5TturzJWrAk6MtyTaYLixZ@J>S$|L34P!6da?A85m*p~D8l>=(5s<7m$)Jt0{H zFm8>wB8#__vMGNd2WtE7azQ-gKQ$g__clkbt;6-icNm?K7^}q@8Px?$&R$v+SUc`| z9C&*^lv>$`0XN{>rVSw1>RdAz^hO>=jyPfOXfA2f65AW(sbJxeqew}J3*dt#ay2?w zWGT@CbAhq@z-(F8vtni_6O&stJPh|!`#^fKG^S}a zEr(8K8@uh@E#_@OAf!2!PJCgd>W0R^dswFLzZ6BoKA<3RL*U*!a!&Qb}&luV7CGN&IQ(ulrC8r}K z6E~l)(n09OF3RMXP|aj^=fLm zyI)ST73A2?f(P^*4H=O>u)6c1!TY3VZKlvX?Yk_v1sO}+j%;wjnsqPArj7ZEZDh=4 zctETXlr$I@1%odZ#K7xpVwmW!nDhNw&b(<~st`R%ubXNFj^#d{!DXRk;E9B7az3}q z;^-#dz;UPcsn$|;_t^hb``ig(hLsB#SH|rP;6S*-u%GU17Ti%|tJG!DG)Sk>V(8mC zPy$0rUjVys&?ubHO`JL62R$7AHx;THxD`5837oiXijlLgdzrJzLRvXm*( zFfX1$FvyZ(FmkWCgSZmRfOJ~6c>JSRFTejF2NDb-3fdLEl46_Ye(VP9n5=K=&sK@7 zf**Ki^3|C-RKNcP5j;j|LG8$ehI816$b|AP_w&7fECu116<{M>KH{5;_$7 zO=IbH&I>qFti8426qOz~sI{-B{4RF&^_`o#dQ3R}CHmeGiUssyN1b)yT7$oE74p;| z3b^%BQeXy9qD;Mxk0~*{KBqd)73WAbiQm!xe}}vLYVnOTs9#c7R*G}Zyi8YMAvihC zdMUm=nX)FlgAI~&E~TbGtYYU2cd_ToYpKN8w5M6FIzcggi!ZJ+1a;8Nx@c^oeNF6N z`fOzw>RCS|vrIhYF4-5J2j4L|X?qCbYxf1{k*SlkHaxkBSTo?5R-NHV!^t-FzQGmI zEJn}L)`guXd~U#bOdrKSV>UKF=uN(VRrb+;bDAUIPfx$Q;)B#)9WsmFFb-A9?|(fN z6p`s6o#AWennswEE!#>da@+$~81SbtOA&t>$Uy5m`x+ZA&{8Q_?5E3&A{{lvL7htg zM7}G9FL*-&opKeY=%>yYTC}g~Q!>80Fz`?uH9e&LI$gDjw-CbQ>BE_&1Kt4V7RQtf z@YF}a$)4#&t?c%{#h`gSvNX5XU=~t0NOdWqd;!7cWu_Yh6(`PWvGWx%&&pqe*6-68E;kJLRz?c>r z(JkJmPMG-Iq>%&hxdLVS7P^2iG-zJ7+n8gQbU_;(KR!lCr80Pkx#{<0xMt6e!@k&^ zq4e{E7hPXM^GJ5DG?->8Rc{*F(e0JV-yz=x-|oZ38R|YS7spFfN?PSR6J6F7a>qS} zR}WQRL8ZC8JPeLU9sYg1_`&+th$`?LatDyZEtUdWoTLq&qCA~R_A^pMd?c& zRW;B<&fVFsK<7kSgrZsnS#4iNu_nc=OTav2(U}DdtHQ(OX;eo#O`bjbEc?C*y6Kfb zy5-nhDL18<)#B!Y5>3xcTZN7wuk^j|+A}w=2(){(g&tr90%-9+Ui{6J$tP zMa>}kJDe`yT?P*DCID6-K~n)9_G1&Xe7k-2|rhx;YEh$1*i=ULi_@ zl4w|Oj}ZjpTW-vmtMjJkaeo;+gHy0sqzRrDhkcGJ1fWF%7L`;W%_!0Sa(R5pp{C*Q zR2$Zd0x{xo%8+%aF~; zcA~U=w|WQSChDJ)&9MWoC}W;UoWa}FxvQ8vrhZtGWB66sAMy;mVb2U7a>$;F%7FCF z1p&e{>u0B$OS_PB(16S5{XgIT=i;;HufDH{iHkp>D+QDuCk@>f|M&ka{tS2wu0H)8 zycg~wIxe4)6p^@KNET)>!~@VZ0E6lwV1(?lx(P18`}LGkM$NCT>hG(iUrl;+f+wZ$ zb_-3b+k4Qiw7Z&HWtZa-5U8jFMa>?nS;RvsWS;iH^3jtXAO7*pEx0~wke0deaMiO( z0e+nG47&#xN&=x6+cp2j&uD0v^$Ss^pr2&YDR{>qy9GOU#$#F2DL`go5wCO_c=zNc zg;uRP>9#Xd2|(-rQA}~h-B@M#WSIBe?z)hYs0Q2(GLx8)bsU*BQm!PC)-`59UMTM}*JCqq9w{JuaWL~B8SIRyads^s+8(wnz zeji3c!DDW5&{I`bW%As-bqW>Ae?yF@TXz1g>H?l=kUSJsxy?r`)Fc;TX`2lHPeUqd*_3jm zcSKW|wf_c;M!F*w?Z7SRu&hL3@Vlyk#y$X*K-{&d!U(sLH{8G!prI3F*Rbsg08=Mm zyjvo{*IF>24oKENF|1V_0s4N^cLci}Q5z#RTh~&MR5N!=yG?95g;wfBKXRsw)TdcC z6^DnwVMCrxRPUxVpRglu0me0}=xl5ci~0d8;FmhK{T>>@BY*qt_Vva3e0#~98wpJA z%_1rSjpbKzfVp&TRiA)qV+|+V81?U*EUG9wK0 zP0DrU6Y)}r&Njxu7k@4Hr^9N5bj3UR}aRb8~4$KBr%?rE{JSDwQzRE8v$u0rOiL9 z*!}4QwL{3L7}9vSE1+-#H9)k;AOnlthu{CorWy3W)YHmVltpFqePD2ylG&?F=DQVc zArNNRiY+rvT2lIOX@-g4sAO;_+(gE-jRkM&8fhIrUeVUT92@w*y;>&KhgC{rV46~B zG!(AnZ4|YvgaZkeat0}*QLcBHbqzEC^7zX`B%5D5hZzz5@2pJzTwLi8RU?yvqZ`w==iTL1S&G+$UyqFJ(6c|i3LWZ;Q)zkw4irUizt)D~(YtSVcFWH%aOm2tvgQp(i-$({_Jd+h%iFSGs9b{umkkeTuxqxt%`M5u zUu^CUJypBOOhaWijU8Ac0f|W-KWS7I`KQ^c$m&tnod`Bp{R^%#alMotavLHhO5>md z;GLT2F&{raI&>hx0LLc?>9(qbxtHZ{uRMddN?v?|ol#93RAl{OgWxjbwn^#j&EnA! zOTU3&ZEx7r2Lrm>qR;D(PU$6chF45#VWZJaGI)q- zu^TJ;kr#T|Wj>MEuV!KRgHR`Ef<)ZObW;gg-}#e*&fUXj8hjAJrf;k)Se>& zXFl74kZ=LpxkV<_`R}A_da(HRl<&+wwX7;74NEI$#3pFT&f2Jcd7nSPqUCfuobdH~Y?a@k;q^=*7s3u&; z8X9UE5X`K(mbqT`ge=lrkng+r=G&Ja0!+)O1`X3U+q=y*Py{;FbRaP!Lg)<4+aoKg z7w1B+f<`+4wJh*bNd?Ci zWLfhgcW%y5>oau$o#xomQqa9?HXxyPQf?aETfMx?_c?=$OM?C6aAAz)^#(o}R_xXi z#ElGijOJlK233^;(ZX++%Y`cz);+y6{*e#h1I$l=-8HQzK_7Nrvp2#bpH2$L&R{#3 zEHFT1;ag?8=*{XLjW2o4#tj{+Sh#jO;ANf>tWa$L|2XX`R%M9EymPaR`y$1iB`hWf z3c$Hc#+v;wffJ9}gXOMSOr^c6V8fNR8VG(; znA1>PQtp>(a5&!l%#bhR63_}Kaw{;n$`90~FHZ|pCMLwZ`j9GY%rn0}0sfB55`Tqm zwiJVk<5o>XcZ^<}R)ZPo-lC#-4~IMbj) zieY+J-(04VThW1Knh zv{NME6LQlpfjc-Bwa}~dH$$#8<8~bvT)yc0#q*v5IbgB?{Ar$Zzs6u(L7CX$>x6ZT zEc8kXC-nWNy0s7BRdT>md99m}J&{JCDw>pTKS~)WEi6w{*kq?Mg?ni!=xLo3i_{m0 z+w>H3bd!TG(gfK@idA3&y>%0&y{G0=#`UIOT@m4%`a$Zvz(cXP;wJtI@_Xs%!4OB^E(>j93D7`LrgY}j zJ6FChZe&K6Z-b7;6l<5#mYgJ{wSg}AGx&Z&S<|lz?ga{+av7gPB+V(OFRxGU0N0xb zRYoQoe%GU4eChgmwDtVMo0u?0Z7v5?w3ucl!~{m_$RD(YzdE z`w}UPatn(`tlg${MUa?I`$r$Oq#J#UZ5CENQqP>L|G~^U_LNPP2iYHHT$MOAR`N?Q z9I$Yf&tq*hZUfw1_lrkgei7)`<<{O-;dBkw6rK;mi% zO5Z7C(MDQ(d-YNiua=?&PVx=gQiS2^ME&h52Ehwt$8`m<+BmmZOWl%M<%z+h#zJ?R zj!^LO>($*E6}k_SZ|+d*56GF^uePb(tj8n6Md(ErC>_@-?-G|+x;iJzao1epF1CAZ z{M~WaxJuQR0uxUGds@V&a!sK84FloFEd%0oBiKR~^&;4Q{?%snRt{90?$#uRihnuj z4`~8u!a;!$NaQBJrbNb#LOp)TP!TYf5ZhnNIzL6|@>Y?Nf#S;(Y#Lm)P%DI2!`eP? zlQe!-s2C^^^PCM(X!qb}Qo*mVzN?dhdv>mWf#xZc62uaDF)E9r4ZW`|&v?ZBCByxt zGy}3axJBxfZ7I5Xfb)G4eKjEjGY{-cIUk55mD6qWMQ_xD)NC-t9v-JCN~ zZdlm>_@Od2F@Wf`3F4!8^x}}&O(eriSg2L|%lHW0seJhfA#ad{RL3e$ZZADOyBK=b zU(Mrc3`bObql~*TV@R?U^_gC19yS8jQ}l8}dm03KW7@e5CWLODg1P?M@Q)F!^pI2+ zmZ=ZxUV~z%x^)H!F3|!~?lq3-C_3$~Xy(mP^$ybN)jjMuoz>e|#TqXgGgA0LU(50e z-GZy{){u~nA!V8==!F^qFx+R&J?bW)5?v!i*>mJ}iv}601^}35JmpKv{YLVv<iTKtf`G_I-p(5R%F_`vg zLb(%|P{K98ICyx|Xn&i>9rUN;-JHMFAJnK(aKaqD-mj=ulMx7NTb^t3tQUqJE4WIQ zW`9md#f_a&Sk!>}jx-4{%0Qt2s}8sHs@ilV>~qg#&I_$1yd-iR@n2l{zXDL&;#N33 z0?+OQ3f*rAE&U7y(p0oM^1@;n1H4-xV~~hndps`bM?U)N(X+4pA2s%nErTefD3`F; zQ7t-A0hZ*6)+rO!VADHM-9RJ(krsUigwY&Nag3R?0t!c+Fl9nZk$8n{Hf);3cc%Tt zU#Dv<`n!4XrE^0v^^KDQN*ov>{{yRp7-|Bpr7JFZ>}ua>1cunPnb`|Zws;}3G%6Pz zArn&=gO&hT?SW8(KI#32m!`6rEBpO`&pvta=*bsfe<0lhD7mgdTf>5ASZtBQi;1U| z9MOx_JCL{VX}VQTP*IcHu$fJxavbh_B{t}{WWboZd4wh=KJk97%Bu@tl z5ZM(k*^K6u(Ic$tOFaahqV{{lCesXTs!pbn-JcX-&Nwa;0e}MtKe3v)E|p`U!#;uy zHmBWgRf?p!J~QZko$y_s@`p@pCfG`_!_xuKOKFMo&RSjd2wzVG* zkQ&1>y7h?8l=)%X)%3|?wF>xiW50ozh=uM#9Iz4%P`SXBFPY8EQUaC2Qm=D~T?5eg zU4{)5xj&+jKEk2Z84`VmHQax&)$zK^2HDt=!j8(XX>{5da2sDC-^}BE0Tz!8pfTMo z6=JVMIa*0_?)0`WfX;d}4+onKc)O#VO-EmNJ13w~tl#-Ck{ZhkinT3{yfLI)1H{V~ zpfmd>);sc9d5FqPQq}{{e5J|!GtO=@1RA5ecKB#232xUdhN)KD6>nbZm) z103XXOK`iI&Wz*R_oH50LbsSq{&1H`dEDGLMz{ z@a*oF%Nsas7YpzV;iD3%LH=z@p=9rm*DFgCpzT@-wwWEaCs+nA3CSdMJ*CeN)15#A zIh`nMArN}S=HKUpcKE{hgysz*;zrG*MpakB_Pyy0wD;C;RxV)u|G2xB<+zR``zyVq zBM6QRN`7cD5ugOouq22PsXOU5#%p|RtRHpLA0PfZ8yl{srNgcesIj(ys`{n}2&fIzrFTfcU_Wbh?8L+R z$&vUpOiyuzL4k`a2dWJm3S4$*-XjMm`2(_s+Db29pHut0O?~Hz!YL;TR?!np(vO;6 zm>8g)ip&Tm=LcL1M=!9sY^G?znqP{zs`ZFK&J=bFuOMwt?M->N<45B@l5{*#Ky%N; z#y)7CN8g|${1cN19PE(f%wM)aSH%8ZDmkSu_Dlx2M{|^tV*DoAIuzZ(-FgA7ZmGvW zdH~z`Cln=6#b)17Yy3_fc06Dj75f=IHyc<^Jz40k5Fn5Sqb(z*JOy1rYG{na5>A5| z0#tL0eqVMuleVQjMgjwCM(L|gypzu^-AOv7zgb_tVY6I7?&~c&fg(NT6^Y!blMd(j zSa!(#@V|Dr?Cp4%r&3ItCjn*p@YCxHDc4873qXlL5p*cF6KIr9>(HVN z$@4wci4$=91ol#s7I7~$C{lswO609%Ynvu#D5YYf8OaKSTA8|3#*x#QE7G4Gxi7yj z?Zq=Dc)K38Ht7Hs5u`Lxh+VQAlgz0c21>?lqgQH@E<5Go!=IyUSQAY42u|P^Qg@b) zFaC9TwsR8Q%sLK<%{@hlFO}IX=_eX}+zaaXX=wT%I2P2+#6WPTpX0{5Vt}l<*P=KK zD9odeInZLv>5rtLK;>{#J*K#IDAz@5wVcR{&GH8AMk%l+Rc3xo7aux?lfdHsqMkcj zhb-?wO6Hc8S*Q`yK{BpZH9<9<`;=Q?2AjQN;_Zgw+U)Tqs9Ukk@GcQc>Dq)Jru2sr zEnxwi-$1LR>yX1!aT=UuDM}Nu2dXSxxk2WHx(riR93na_GdpWY`s%4p#P9W+&FZ{x zW3c%mZY2fT`O;b>fTN#^^t2BHeMn_c{yjeSJt{S&hX^yG^WJl>*|oF<&*Y0!>|0d7 zXc|EMJG_aAnAEMCvJ%(gIn6rzWARFg6UZ6TkdS^ePN@?W43A0SERK9#uq4jSj7?OytzMv~pYP%*+ps{H~2Wb1RQ z0NI)&GlD{LIq~aFo&{ zvET+)AP^o%JviT9gTYfSJVJ;pHxOL77(5nQe_Z@9b}SD|$ta0o7@?h}f0&A#@=e^U z9u25B@SI2L{LAF{YWoORYRqW~lG&cy)Ok@N5AQfD*o8s9a`t%224?WAKL1*+DSgML)R0Wqoryhn>-&LDeHLnQYO4>?TC*I8& zFE55@GbV7z_xbsV@H3HYn_~8`ok`Bc!a?s3_g>sijB(ssC>;!h;L$o`CVhcqslS)x z;vXE5z0bAV=?nvoDw{FNt~D!?zna_l9n}pJzzAf>D%%;Ju{}UFRO!r+S5p8oT(0cR zh~SJZ7Mm4+u-cqoJ_5A_XxM9sJicD?O`*H{di67eQGyfuy-ZxpQkHfLT)C_rX>z%< z-25D3`K`yJpX*@-ud#f~8qc!AiD}-*ub&rLBRrMpZzN=qxTd3^T#g3_bAgqwXdPLY&Qc0n;1Uq&od7hRy^`aeG zOG$!1RY-|XDT=M^@MTn#3Qfdq!V9&_G&PjABO|`eceHJ@f63y19Ij3^F(tp)Z!?#& zxG=_%kX#ztFGXLt_oD$^6;BT&pTq#Zh zJ!sVUy;(=b*+Om^=^A*9I;7h`@Em7_4?7);QpDVO55P+ZOfKPj!y>h$MxHLY5UVsM z-V4HSv~z8@`CXLR~OcIi)=(@%H)x$cjC0`bs?D=b>*43;6E0#J>?}5h5zXfBjEWsIab0FsSkC*7p=E_rx2;TZQ^#Ws4Qp@e z!B1d@Og%-M{30t4XF(FT|*L7*J!nR7=ZuIS~|1j!6U-XNxVcpzY0u^IkvKZa9{)&=f%WO9>mW*VRV>Ot2;E zd)8nS8dY=AGKSJzH1&7?|6DBzEbDYDA-)&3?*&3@lPZk%E=`Z|JYd0~Qzr&zc&1vR z0d=LKM8NRQ8cS4mG%9P-ny?g{tvK(Y<%El8DJmWrzb_)3`n<>j>)e#MH^BG0-Uuz6 z-yj+z2gQ#|ji-GHYKNT$B~fPAd`9?hQZXqvwUteps-dKeZG46Z$YrM`vG~bey;69^ zb+~eh7#nqS>V4h#2v%241+T*acRS6J5~2r{Q1YEr!O-1yFE{`%)!4V>UPRKFdJXau z<m|W~ z_%Lb_;XYEzjNc`%o}hbJH5ls4ab+Q1zH2bsuQHpE^i22(V4u=K^YXn|r<)MY^g6l9C~%K{fHv-l?qLR~X)u*oc;qU@p1yI35X+-(Dkq z!LwF4mG>0D!W1{t?-H2l@=Q9bHJ3Xr#u5{0rOL4+A`rmXtHuT9hVKQMrby->Lp_Z7 zG2&LVH)+?}m^me;&z!JESprY=SPrmQ3CZSWVJzO9_r6fe&42LXH9EoEkD-hAYYdrK z@$OgK`-)SKXC1t}XX+GB>j>*siUyrL5P@5qclIHrx|pVb_!EV-d4kyAgN3hq^gG~< z{J3QepNJEy%yhqOfGH zA_7b1M&DecG=xM8Ne9Xy)#hGkT#J)Jjl%begM)!2c_gn9=Ie3hNafr>G#Mg+gclec z6{v^wPO@o-(2rfS)?}wcsx~8+Bt{`WXlzDoPHP!IwkR`HG#Ub* z0{SXD8>o#Bg}*_CTZ?WW2nw30B2?@RCn>eJN}57Vqw^`lu5`d+ z&ZN0!X!_GX>`{!0Q4=anhdXA-FFWk0ius9^uhfXG7lv1zLrqCCN36y}japV(^c#zC z6E#)lx)QZ#$sC6Z7lJ}Kpby@pS&6T+T%o(&;M)Ot zJzoidC9`>u(L_#3#v{aGhQ=b)hmRK0>^3;T9+=U9*qs#cL`fy>0)rb%*{1T@rp{!V zcZRp=7nWBZ*Ow;;?sT~mtN|(GiyG+<>>ZRsBzoqYE3&!k4<$%~V{S#N!uf|1ILljHH7IHXe? zPRX$t4L$kEFIKN1iw60Zr~pECaGf(;Jm6>&Ii;-a?m-^7B@pvwmT{Wnf!0vKK?=A) zJg};82gR~GarpGIWM^t=4_g*fAc4~#HY*F)cb!k{}^EHVD8Z-8XVi}Qdc2}By13~TlVw(~0wttGT< zoH&=V@tpbfrt23sQEYB+uuXC}bKf!QL-%pF4_$)lwL-D?n8kyqM>G;R31G6TG7p@) zi`7E<`Skd@My5i89J}@S*DTA)95pcD`o6A=v)cfH{dT^6@xltKa=SjCCBDMx>JDMb zL$K-OAIES*3H!V2{sL9N`d=DT`@)PAy(fk^sG*P%a-T@6Alw{D{@yBraet+fX>0I< zomG_u?V+V)(jtOEpz~i4PNKg2H5(tB84Qg9@5S4em1vQbqJIOP?9(5ckzsb>S!laC zP60mVCU0*gC3$=UEPzEg+IE;mMOqV?GQPR_6iD=?!IY)=d5b$ull3s8PAD?EuBrhR z-aIw5O|5GN#Yv;n_2u==jY#Th!agQ8U;%S0$4D~7l?ZfC3CclwGET0@^OS|?iBDnu ze-XdM?rQre#mLK!+3Tlv%=H0G_@4ntk%$i=SW4ULuYoAX$BQp8-~UKP(1ZYDy~N`^ z7VLesmX7jOG3qu$quC=tKSbxcbjKAi?%aOZ?~0{$ZjcVxsVo_BS;ZxHlxveJw8Tp* zbreRjTNQ74!W1=rBmC*qbi-dHw58ZzYO3fyq$$>3CyxEZrt}7CT&2&K-8vAtYpu`B zzFADgK_Rf38Y5M@E!0BR&In#1)#@a-RJt#4dqLcjmxx{)WroI-9*TV(xrhl^dwSHr z_K}Df{-Sjs*}PLKXX#}@@8qgac zqRegEjO_Z|HO@m}G7_dcAizY|B_DQ7)Kq6SqC0;8`+XK;lX13qcWgOJpsFa&Mhv?J z{|Fi;vbxE88jf_<1ox#xI>*(s1S6BwXHMWHJH!dOpe;=nx>E;_W!grJTs?}rh`zCP z9VmKVhi@13DxL^wcJ7uq-eFv@;2SE8Y_DcDX+$@j zuYz{)AAUsM8pUB*MvuF+k+n;Op(Vo_K7LVtWxm9*l`$G35u5W$+Hq(-95dTs%UEZy? z7b2<#0vZX+77*0mgb4~eIyI+Gg?)N?noJriiznWu4X1DuseEV(TuZH?{Aglo2&MC# z-5deV7`X5ixhxMrEB0WwY}|k1E}w@jVK8SJj!G9d#4^ zq@KOr$DEw<4}S&~>YR*iG=+R;+~6c`L0f12Ipq@Gt7Vh>HXQ;9+irQ@rN2!$dWZeIvWx=TdvzYOpczC@xSRK*eS6b;+C9wypdcG^oe7e5mf^ z8(NoD3xr19M#?VJ(&*3?>W4WSz4V%r4JHSVqWo7nTiDt zPj(4uWua&`o~~5pMvU8XbBVU~Q1eg`)^YIBC(q#BI^3DT6I@L(Y8lw$eFroqk5)Mt zw%Y6uw?l_G!v?gUfB5tBFOE+arzfBN<|SX6UVMgnnphqlyT4A=*}l?!WTJZ6v$mul@lxFS0%e-NK|mP66&U52YxEBze)(Rge)8A zE=`|Y`PQ9n=gex;GT~Xk^4xERJHja?Se0IhxBu_36Vchj{5nJ5YfTlg(?h&oWAw@e z?BF$`m|a4sAd(o)O-(5a;~Zx`hR@6>{Wc0(8MycPVbY z5<$}_NNpvtFB)&2y5RFTUdU#jVTSpsMs)Nc)gDW|uHk{~h@MF|9?LVz>oNYx7%v@; z%hew?mrBx_vQhgcR}1AZ;Q;156Eovn%k!>lG6E{2w(R?Yv_(dhvc zp6wsVTJA6t4g@bAJqK#bnZ=$9%ob)&^{*4HhvdOzGV!&AtBvv^JVx~w zSOOvWXBhoQi?@$LGpu|;ka}rUN&c|=XdJ~02p(u2Z|>yvNQ4reKF{xBhFRqwwKjn# zg`>rwEsy*V@tW*XY6(1C%n@)y1d#+Kg_lOcs0xe=#K?>Z<00dMig`cU!Vyw6w&Bt1 zHQ5vBM*?O=-SOYwUNML1g^H*?kps1?39L zK&kf@$q4dcToJKDibX)#29OIDfRBISDd6=N+{( zBGVMqWVB+$Z(sIqOaw${xfXpI+)XwDi2U4R2yIG`HX(_;r71X#yF`1=LQLryG5si2 zIAE!LI$YZJq_LH_#D3i9Nd083-yS500R|Lo{FvrMrN?*$Ue5~RHn)t{zRzg_!t@-B ze!%qe##>KR3l!qzEEktPai-ovop^#B z+))ZEV8$3FCB9CRD75(20_C#os)&^(5?vxp5dJfr>d7Q)uK}m*_|UVd+M~4e-;VO{BqW7c3zw`qXO5lDVN`ARAx}*9nsResCZ&E+YQQs-JnnV|EhdOg4BEez6QS5m ze=_omOZ4pOQ&BpN$5YC7H^6H!lk-pr_K`N3jAs{ZI17{65rbXP9 zVN@nT!8Y{H4{29D7U*(^Kp3OHb@4p^qJiEajaH`{r{rgvO|c+crL!!^RZ1h+t`aww z_$kf~yngn&G2sI5igI#%e7yM8M^M@NPyHU;vD$Es4sV2LVh6Ius~%H(JA!QV?gVx; zg`Ybz?M1-|7Ya^NDz?R%@ivHut4KV-cBdqz;>4J2&NVj6-u0t8;f=q7W4cE6F`JyO zs4U9=Z?18aF;%V({r=qwZm;U`0-T9`%JPZT#BpI!+~%_+GvxeJc4@Tzy=qYFRB#9d z6h`eA*}l6#o!;(}vL4#g@qc9Nz83Q3Zwh!966_AbTW^a@# zuBV`zfY8!-D`7_mo~;HV<3reyZR3Srm%{ttN=F=FSR$j>e-Ufp_tWcXJL%4{I|gm* zcyK#}&67Yp6>v)ON2xhOGKseKUiIIwsJTK`fr#50c~NO~^nP`T8zrL9_(J_*WFd&t zn11tgdne7IT85o-WD^FUIHEWl_?c46m4-21-5!(Edp39JTnucTtdWJ*${djhaqzBs z!xVr?`Z5EZk)8Xek=W1z?}UW9Bv)Blvjh!JRfCBcM~(UBg-bCRtU+p+wPBk~%A*np zLQAjJ5JPFZ9HxWa;R;1oM7~lNCzwFAN`nXI6>+*jq`O^gH`MkXd;Sc4$HL!>sVn-? z1=-tjK1}eagbcBg=HdlP;GIDE11&Hfn+^e~ZXjb@KgV8ja4_kP?^dE1B+iDfgkrs9O7k;9+nW~x;&h4!WgiS ztEcb*$A|Re7U5wLl|TeMTB%=HLO7HRo*>fuw>=bwN!UvF(Z$o9 z)svIFXL~|%`f8$r>4aHc;vZ{P7|whv<2JeGb>rn|1G$E|*D_xMyiInNRf0TxLSLAC zG(zn*jcXnFnpq>*EN2@3G7EWp+~QS*qsbW*Xrs283sqmyBb+&N5O_x5DFSHZ&Xu}c z!T_*LpZ6+Gy@HKjpYU|b!kO}e{UtDQVvq{8-j?A;YTl75ON z*@#bC%MFJPUQFGwr}gQL($?9qR{X=HBFuvs2$eX?OomLxX-P#@e!W+Q)8?IDX^`k> z^4WF?lEyWw3(NhgXF!Qp!=p9ieD(TkA`OpyqTiSUK1GevFe=hyIB>_CZ(gsc?J+k|riVl~o3+0OY6nk0K*+6i(Pa5_ah<1{d(ffDo^hB|8Jk2j7}njv>SYC4*JN#Hz&54Y!F ziFTY)S3(^>Y_1EySlq8K) zo&a_!-H1p4yn^Ej%!`amz%=Wnk6n9ENnTBr2``Enw_ zjA;+e*Y^RO?P3^8p4=kS34^c)=-pv=VTz+$8i7UW2+oJ|EL~w2o@sj?JSZnSte!E> z5<5+WY0{cZ#PZPF&+=^wyUF#ujU+W!n?!5u)kd=>Q}syLb?vq2yv@7as`ROs~b>s1OutHhz%>_i{*Pia{%bT zS0{lHuF%w&h^v|ZQYX)ITe!>p`@g6qp34~ivLk8E${sNvgIS2FwUT6y0bb2*iP(kUR#&=UU_8+7 z4gMnuNkB|4hV)2>!Sm$}+~{nJ+clRm68`s#WEj8=`GmdRr!5qI8r+9^01a{tLnHLu zg6E)$eYlQ`(W@2Kf}oR^W)`-KZ}_h`0)&0mlUGlNQ0Sv)v3WUFwnI8T1PO@hLQwVG z64Y|}S?R2N5jHPV=H$A&+5LI%j5|o#*WR*~46l zzykWQ23m_ls>l(3CW*KY!_;W2y8+$TauMfbJ#l=Ko)))l_HhT}EIj3-zbI^s)W1fK zBx>Jfn*TQ47B80~3|@<*hOI;76Q~<6xR(d}ciF9o<)CqdmLnE}QsA_!syAy>Qp4_q z*%4UIxJolQqfufNpcCXz5nDMz=se4s1WF~HTgl~B(&{c*Q%SV8#^iR=(%qiVeIEZAtzd|kr4$Ui~tybJ&pN}4wq+pI`I#^&?7#qd1 z{Xr~Qr@j%kLD$>I%>y;oU2@Kfv!CB^F*Q>-Av@Zyf9~ z!6ln${rIcIi#&r$I8B2OM(u1cG$fnonhZ!nW0 zW@qtM>PY9&$KCtu(tum}_UwT&l3n#jQ8FdL&$E!Dw4onMk?;cEb#QW51rV8er z1jy{D#96tFEAlU1i~{lfq(5X6_@jFB#cb0irSYn#e0MPS3h(|7lA7nJLBs7A>lAPQKD(CI<@jE)5rK%t3fk7`-zf3 zX^vT_j%z}~;(W|p*#9b-RVsgoy_pIXTiilF*N{DOn0^C!hrDzj0dZW2+6RhvLr6+$ z`wlra`>D!BE|*AGjarNsUH`3#Ed$*bOz|)g>eBIU_?lK$q$&i#BM(u68v6x-WHn0t zGo>gz!dFMB)6>Lu^$lF)9A2%*5MdiEtX$0SzdjNhv;|UOP9h!pI+6%>HNKJIMb2-@ z4x9!jI%12tDqHq<7aWvfZy-^!TaesU7nL0*&>t9WWQNF6T)R$U`z?KLxU4a@Wb_R% zbwLEey_WEO|K{aReb88DblN~_EJhkOlsQAVgC4uu#5XY}6p`0P$Cdxu^ZC#2VU24{ z503~j%DbBHUnK67^m=~2i`&Z)@?Tl5U4B>d`!1zVzMz*_LrhsFcPyF4cysYvEhRhO zyS?4J@^WZ&eQtOVX^_rPmXnf(bo|V4y!)S=yiMae_YPjK>vL^8hM{h}9p`FoNp$OM z(@-t#!6vNbJDm9S*j<+}l_GyS#_j5fq>s)Xk@^@jeqjh-^bNR?r#^#;2V`n4@<34i zjztd(@RByzeLFG>2tYu|veLKPziaiIazOo4%x&Lgv`=@^&^w{gmVE=F<8 z_ix5i>z(>b!Ogm8XNcX(do8#D=8m|7!ZQ%;?-b|ey_>KwCeuBLD$TI3vgHd^VOOVN zQ>`t8tEb)gOrtN`c0W?VEfE+_r!lFz?&LO5%dV5eF5Qfwc3Zm{?vKAw%%g0Xp-Gps zc!YEK!}ErqOsyayrcnCAytWVZ(5*%nyypOt<7Ci!*oSzR_|{C(`W^~RdvOI3!=HQ=aUIr zu+_wnMaqW`eePO^$BP*fJoMj3^+qLbQ3>Xm3`aO>d<=D z$jdR@P;>sqVeo|vdstQK9k&N0-~?Qz0}W7hi5`vHVhsH=w>@n5)w)lWSVgnQne`KX z?+$pzyxDYU&IM&PmsI7W=XOkUy!t|QA&yy&BSFl`uCCoupGh?0YB*86=24*=Ez&uH zKWcA=v+EZ}E8#~evpKlO%0HvGKQ-*w$QAxvrgH{_9Jt`fgajcf;jYu|_GHj7^Q-yK z3?!fhS$bMc6RoHflF+m#F(5eFXL%Euy|K3R*1l$2z8Xk!y^|i6!8kEQj`eL0E&lT5 zb%%is1{*~|6SJKWr&Bv4W0}O`7D@Pw^WjPU=WYt#q% zRvo!LmV9yTfEz*VJNq9I3bDYOTfVFaKR})XR5FA-XvO<5@e*o0i(L*ybM2gYMz~p3 zZ!k>1G|5DLRV>;@Jl3Nx_!=jKSmn#)`ozhFf?mMo;71z1_32#7x{(2c;LiiJhOHSh9to zNq7j8rmT>6y=LMdpd~uND!@Z_Sg%6qquhS))BBC$Zay)Eayc=^@rr|V$bT7|*Bwd!9IYZ4yy6Q>U4?W}OccT}DRCb=ycSfX$lHuLZ7 zSWfzxq_+k6S0L(m5itp7_-qQsMD9=T=TQ4HGNf7-XMQ%9mwz77%kM#dEuq^BGoQcc z97u*{v?KT@>et@kVaD60!;9wT(M+uCpm4PM6`~6Z4Qy3EOpd;$zfaTIOa=xHsB?aS zJg{zO@KwLFgP6SNZILy+28PBB43{iYi z|FBZ!Mwq>*=XY=A22=Cs?dEVhv9Sd|?tk~3hN36D{q5~r`}LRXN9t9Jdsmy_+zR); zmwOFN(HTAOjJw+LVWIT$Gvc#tGxX`^86F1a8Mr9P!Xx0pAi=zbfq{7k2g?Pk2$HUHx@8A;kLV3{6Bqb!Ha)tgwi zKyW#Db7dhBanVlS%7Kn|i5AnzBJ}kRh83tV>_0L%WZK&IVBn-m{gnY z_1LJptApB(rl3>H6~kH7YO@~_xAYE8Rb8d~M|el*fB^*o-c4#(`RBtbF6Pj6u4br@ zAdW=bN#~~^w&7rHzM-lBH?{lD#Q1~gq*bFWx86FE3PF~P)6d%D!j8{h#%Wft*1`@~ z4chb)aRisu#hKI)pE9=(snf>jby)&~eP#IC!uSvHTG`F!Y}<_rh~8n~g)5K*=ks?n z(y5QDhvxkytKk!;fMUPh)4Uh3xGe{foUG537}Q;I>l3syg4DdLAAKANMh7f~6ebUB zFEaRjVOuNTx2;<#$?1R7Tt|>0y7)55^2!Jg>HAlU1+cgpg)pL5`}YjhI@rCrI(TKu z>oF3a(L!21?^?GWLfcb8A1P}J1TO*#3$LMK$HdPGe1}#fuhTBE8s1Y&=Wh$YBVsWP zYzixw+CZ#zsCfpw;rYKyV%A~IQO(x^gU{=)w3@5bxzC99A?h7r8{9QrX0Nt-j!u?X zRVDfQ!wn0Po{44j89+3j3hIRa9=v@%JoS67-ZOYUtoHjm<@fjW`GWQN&fYKe?-}d! zZEV-y2jNA7=eFk!gTJQ@f3NJH?}eY&E>53sm)4%2y8a$x8a$i)?aO|?Y^J*>`y5Mr zd@sB>^ZfT>F8lB88bI;wGbH(T0tYwwHYz!__PeSqlh$S-NQ3FmEY8v?j-So9XNX_t z$zR3g@aMmrg3~&;K7tUZ!se9$VMF>y|D9V{m#)8)I=4^oCztS^OD2!-v%N4DpZ(mp z|I{1A8c6>7jjX=E+R-iL+tG7tNkG1)ar>vT;`z_g+2AL9ViTYd6gr2^V9%ERcCGi= zX}_`V@8D_QTTFEe)6VYOH|brzLPVpnUHAjXwtRNFsBcr;*8?ZMEPHMI1@8R25_VHv z%`s)@7w|RoibR0(=2W@GFLvX}n)wl8xhswLWtUdYAgQ$r|JtpF8{e7gmEYyrT{NkP z#m;NE!)-mfVNJ%&7Pe^cKI15<1g;i;Ot%%7PHOySnlW;udsM(1#iuZh@)%KmEL-V; z8{aVOgdR`q$m=(^H2AjAkt6P22K5ycSE~b;aoAW$B$`4g2G8LcJ@EVFk#mGxt#J?b zN8_zZ*nRZseP(2B|irg;>7zTlm~C)hh(DQ+>wRg68h4Yj4=2Vs*B=O z;KYyTA`iFb)hN$H$1C#Vf@K)PsCD?MYd`IYiW}{z8D+TciyBz�Ar6Vo1Mmr998C zKK~zA+D5se?kp|UReErIM47Rs@s2~+F>jQ0u8|R zGRf|75>_y5g0?^=P>31qL6ueKW{) zN~8>6G3r4Ex294;|%sI>0S8 zv`Sp|93&XSI3fFbC3HvW3^w%`*`fvqV;gAltNfWS#{Epz7BiQ7e7?6K1V~l6Tj<8@ z(=gJdlm08&r|?yn>E*MR_j^7-w@puTKLof?XtzAtF+yZ8k%v2n!-BVyT=#X9=Cd{2 z8)n|vdY@4H2}_pW1$Jt@$mQl#5wCRc&S-}BF0Q5*L%5HOM`JcpPGaMGSgo82=nf~= z_D8cjmmn*HOe^rE=88UK3`XVcjuQDXly~)ijLXA6<6ZyC)0Wg%0-a@f34MFkW2^*!AFKFs7^5V1WpK!$WWgC7zQRTt-jnIjP{}eL>r;I&5#*q~WN0t>hj~3lhrbLi;yUWmwp<3UD=_?e zKN-d1-*EkR+H}wdR^)vRY~UMfQopoBY9~kFWXuSZeoqQTbx`C8SDsm&A7fR%x9 z(5KzWCIu?_J>mmEK@{ti_~+x6V(UR5)D%j-4-2u{BurVXP8UM6@DW#35p4k(S`bVT z`+4{i{-c1>R*bS(@rl(TTOAH>6elMI&!w8q0#BhRtv1lOFa#fOG&Aa=h-Ia|#QWFs z;2P)B&KSSKgGc-VqJ=oZjT%CRD<56X;bk}V}4IO@w z;gRZ=>B5V=yqspWkH8LssJ4laP1rPC%5DF9(nDEWe089F2-5m?u{~1EIRy;A=v-bw zneV_sH&8BB(eOu?A?=Pi=|u!-C)#94E&Bdzq&Hvsd`KEmPpJ z(@i)8rH3{x`t>RUB~eJiM|Ogb6%F;TkUENUYRk5Ebh z`bVL>b$$jpw<9mG+yn)#e#$oe8%!}Y*inZAFmOy-jZlkYzR^BDa>okDx-u5|dQ}zM zW_BaTUnVpB0U(cz4@bW1xP?S)&ywwsBo2$v4<`bE%J{H7NhGO&tURt)Ci7A z%C*Yri)ayqCfMI)GUF~NIio0C50J#g5l%~A^Bg)@d;*OPdl+S8q5~GoBE-jTj}@;0 zpO9nIt_ls?h@I(U|D#&_+8Crzuf9v)B%;^=Ht z;OoCa1JAGvEPhD+k5|}b1_o)vN5&QB@@HRtaRJ>OA2E&^WYQqnjv3&Xlzg?b&=foS z8fgfG25|fuWYWJ(WHN+;+kmg|sjHpQ9h%wXt zMdEggx%G~M+9^$O)7VMvcA_65F6U_$G)8uD;1Uu;MVh?GX$6B&p7AO-;bdHgZ_3rp zB#l{}3{GB&V|En*7-F>9BtPdf2>y{t4CC}s7rUX$x-;H~pOD^*LSkLyc2_BCv4lin#3Htn9!!bu=61^*ns|8wxh)X3IHxF2O`q!thj6by*<41)zfqJh(n zE7x0*^AVK3cTfaYN*_R%)rnKX#}gmnCWnUwY~ylP9`pOv`Ys-EKPYm>zCxCwowC;- zjJ+L6&qSRv!_nHjC(&If%kpo{A1_PT`eZeA!bn#v>NLcXN_sT=pt4YtMchJb*N%Y` zr!cU=Wj=1_G*V35w3qGRl@1s{ggC^@`7!(##l~_fkCceOaWwNEuOiZQ+}&JOC0ha* z3?4yLxUjaX&cp&v+B-R<9o#uVZX6tpr6is(uWmD0QxvnYnKyrFWiVd}#krZi+a&Gq zMp90Zg@60Gm|{;ag=GB*?X|CjK<*-wVdj>kOPBhpSFNtFl+0urt}pOY_7R6G6xgB| zOX32xfT1lX((`?3`tBnRJ6P*1Ku{)~mr3Ujvm%a&+f#TVi*p|EX!2aj`G`q`36=DX z4oHPJIk6o@$4HKS&GWw_q&v|mrG|BiG-~Gv%pbMOo*6eoz9g-Ss4BcdxtJ$ZS_MNg za~8C31*R)+3LBO(O#*59kRuOQgg~ieO|nNO&8sQ#4two6!!SXco~NjOl*Z8SA0UT5 z^vG@)80l#IbX7N-YNVmWuajhd~teBPXpmvy3LI?gfuI%E3So~lYGa?`S zu-|6rU9+Gq@?pBtkEL*BH(z)awxA!>=puQ{>n2^5i*>Bk}EAUsuEplsv1ttl*|3i}w?7 zsiEddw#jHk5l56+^OZ~047I^DrVm53A!g*5T1pB5e*liw-Ai;2Wu*C>OU9>1Of(Jq z86%XGtG%S-ZrnVZ6tBPcm^TdbWz+LUjjJ~DC~q!>NJ16a z7_Ts_9BUnqIg{^7$n&lvy3ys4V)+4+N7<-hFG3mVGZ!q3<-~WoI_q`OW=MGAd7e|| zgsHoPW5-)c;ued!?vPk0KzwsoE`L}gded_+k`!wIg06R~NDk=D(Ya>AbO^ZFP5in9 zDA`dTre>2SuU!;)0R=EQQMA>I)#%yvcu36%-8T#BX{MGJ4{@SpXd&7jb<^a7Ia- za0P!n`-;JKA^)a~IXy-kg6y@)%&*DtOvRNY1@f3cVwmhb(D+p{CrogYN2Zn6>oa<_ z=$}Ai_?9{7)4;u1N)Nk9%B6sV6r$$jGeJ7qd-|%IX7$VTBjT2n%Qgh1bf-X-)In#g z{l;D6kM&XH+7f6qyo<7)(IV97diA2AR#D`75)kxdSx>Ue{9c%!!n7nfQwVH@;<&9t zEZK=z1KWwYa3=R@3ajxWAN}QY_>>RdT(ub<;50gnVvXb--f)L8$cL8U%{{D92FOB? z^^Rs&=YSsyqLP+)K-Q1Hp(tr`NT0Q)gwnAZrDSs8Gyx~^rfR=Fjo0VJTM3`HT|3=fLQBUD%JO@^2>OAmr9kK zqSw#`?L{4vwoF&L7S@S=3$O+aryG$&Cr>S^4chagN2?6}o6DPvzD;KK>lK0&RyWCv z5%NG$c51mq^@o$x9P?{y8GRbnwX_Cf_w^>aJI>Kt zdmd$~x@S4MEF?`#H1Dm-x4p@PH@8r-vFE=1NFqCKMVJ(jG5^7)|IVaQT|~!b?&Tqm zDu)K&JeOsNeiT`yOLG!-t&LlNE}YRQ|7*sPzISi{r;EL2ny^O7&32+_-=}vp+XhVJ z_O8vyp>UCm+Pd>c45UoIfjCpq>joeE?2{heY}CpZx>oHnwXMz49I|MhvP90~-ovV7 z1C9sQ>2gzBqxy1@h7#QeHJL~+(K>1eSf@srSq*rNUX$7YT@^ilZS>G^WxbLnnb}!6 zh=+QS-RLtOPt|97C+A^qw95R1U%~Wf%uP|-IBh@gRVJ4+bGb=EHS|tb7pd)0kL$gw z#k{BxVsV>yb9C{|rd__0Mn{`8S2sBU|E_e4O(yhdkO*S!Q(6(fN7{oAu@w6QZ$O;FNd6sZS)?!i5GC4zA2u7#lC!M&8C zrPEx*_8`+6r%kLWcab3s-nhOz6Juy)aZg2ueh;C#HEqxY&Bd#bzxh2OLWtCnYV&N$ zkJ;-?-1c6fYeW}amGc^HLign*^X_%`D9izm3-McN~-iT@SpVVeky zj5XW(sLq?RN~g1pKU5!jS!mzpy+>XJ5*UQ)1+4Z>Pd@`!N>QkSSc^n+PyzKae~-1@ z?jQeG8_BqM`TD1f+2kSD+pUSgg6;;xKi06?%}Sbn@JE`a1mR7b_|Rjw?`E#!?`}8; zSTSZd-U9X>Tk>*lw)>LwTHjgW>?NJTvg41#&H(c}R^J7ddmqYLc4XnUn|(TqJOm33 z)qb%_nJ>1hWCd-EA?ru;+I~ZQ&8xb;Nc0Ivsa&mJQYwWrD>0#XIm$&pIq&V(Br`qI@u~%lNdtixYTAmnBz*)DtqJ@!>};I?g=8-cdV2d&~Gg z$^0iLQ{ocFLG~+3wn-P{=5^L*`nV@JJ=Va=M&ycR6eCW*sd%7H_xfHea~jK_z`6fv zTVvVj8kqR85xZPTV)B3EmxyJR-XFG60nq|ZM_=+QMmq{u%l1rv)(ApCN$=u07w+(+ z8y=(^;b0!V!ESS(^?Rp>S}~gAHtoUnj?sG`x2_X9KIqBxW?l4|^P0_LYyk$C#;GFWA_h z+rhVu7&uPE5PCs2As7yFOh-g z&hl;Q=q~Ca$h}neP*&Q*8E4)`%Fyu%x1A)re!=@APzt>mo1T@T>oR(uIz;+Rv@!Yu zC4;r2&TiR`#AGh9Sqvuw_U=W6TcK7Yv;;f`_myYS^>^v4sUv3DvPR|Y@?u+444a<3 z;cW#`2IesJPx&J)_HQ$*4mrIs;4{$Cn5u5N)UVry0V(O(nfUY&HP7v*k&t-ckF2*w zdU+)7&3F~|tW6NwT<<_V3k)sshgAUqqc9hXG#-``g2flynmM|AGRR0gdu%mqm`NCA zwwc<1!vha_0l}Fx>BJuvFp7jkFbCC2v+T94$^oyou=aE>(lgGznpaFDxBCcJX>Fpn ze6hcCW4AH;`C)@pt=D6ee~fWt>m6L)kF=2E&OESKN}FqfS6ow-B#T3;}I$3O_W{ytDi#)E^ceQ1KW5G$hJ)hnXU@O;Rvzk~Y;9^1G6g=ji=uM*(t^9yEg zGGgDA-DwCb*=52C-(Hn8& z?4$GEXaEF2Dc{My`|dmJOJ@k>Q84k6=vYltbl55&9;!IRRUW%aN1tN^EGNF2HZfLe zVA~yZ4ivyL2T1;N6z-!=gn$+9uF?UcqW%C@V0KeHOToZV(olG^3PL!xYb8;t?4{^Y zYz*#8M_*v9atkt@+W!QVSmWMd&h0QWwTaMq(?F=P#MOwJzCtuKi}c97gKnd-(YlSQ z-*;`5mVBni<=#_O3Ld(ygYQJRv6A#ItR6)=37O%MKMpkGl|Sya>tMy#8S>tQQoF-; zH9DTma{hLOo!YV6KzqAiei%f(=R6wv3)ueGD0_hPRR0LTLnbAhG4`z_%cBi4auRE?L0?F-$9yRb-l=O%{DV|{2w6&O~En; zq4nIw*{5WaPdoTm_YW*Tq5yl#M9n6A2UT;4Oad-ihK{4v0P*J{rUo5|?IyMNkxb8` z%``#9-Y#+rqCl^Bn-a-fdmAnX0q{rfpmt70eY)mUehtQ1-2g zR;L48Tf+(7jI!hPEW%0oF1tVYs!__1<2Cys7+x=_%$?X01{_)E$oH#Qi<3;=E7J!_H6sDr zz3}7{YgXTL4&3PIFewAul=hM>$wyy3LC&#Ni{`Y=W75gq=2JQ{;pAVHA9N0U(ITv% zwNDDCt1Ad?wfGZy3giS)W_qXJILuiZ-v&VvlI9iOGr!+)=^=`a&UP}e-TPk1gPjA; z-;154ApQq1{>59K3 zq!j7GQLy^`SH2C_`vD!YdcEU}u+@tT^#?xO-Ha7YvSv6-;@360ZU(a5<)BykAs$36 zO13E@)Haa4KG50=1!^za2^ktO3LWHQKiG>^5X;1C`ci#`3LUgshAOvw?Kle?^K-<- zl?*q*zGjX_cn=xGM+BWel$-n8`4NF)CW1jp<0s%!n~A2rh>I37`w4)*muIMnU9Dev zNjpRcif2Ah>FSrIX@ncqmp`$N?*4CJoqjp{=}(->+H4S;!)5x+W@6 zPpy~LEV4*(H34b9wmC~rc3WrOu%-IMyt~z_emu%WAQuW4<(IX!3frk9ImXwT`QYhp~?Urr0WDfW*7)7z0#sW|N-N#9Sk#IWu!;BiKrudlzS#Ghv|(WK=D6gD_JDU+P#c!NbT z(Qo6=cPa||Ym$MZe%<5kUO&X+pup}J4ZLVHsx2F3#N2@Cpm=5T&N}>ZmMvY($GgDx@VNYLa zw8pJi8bm-Ewj1)UoSwzW$Q7Q zkjHDQAdA=S5Xn0Pa#^3rNA>2+pVMkB@+{ze{;GLom#aC`rW_7+&LRAVL40N;%@<@v zl(%z5t3futk6Uj7m!i|4PZp3B`@EFpnVq?v>s{~sNZX5AE>`+XM2|1sSKAa)f}Uk{#8M&<9rpN zqd}w|Aep;Tog>?j4=N@L@wg>`ov}+_7lTCmjI1~QDx_W>BHKjU>tBxnJRsIG6nBC9 zx*FLn#BCbE*c(e<@A+}wl>)2dX?BM%S0pi9TvmYz<-#FOq%ni^A$)X|XzX&=ZiNDw zc>GG5TathoNgMFgkCb~K>c9j5dU^%W@1_Bg8ZqLRq{hzaY)cff&{hPLD21n)v{O>6 z;r`MtTVKleL?O)xbnH>dnc8?S_0s1VE?SFg8d_nM=96rtWSshax-7bCBLbtwj9q@% zgnb%GULZh+CV za4?aVU{-@VGEAXnbg*Zaj-F9u{T)c|OxzvG>t~AsRM2N#hP&|j$v0ZNAu&~4@_^bM zz5aFi3fCNRsyOectEgJM4@&@iTPN6CG{UqSUTwc|GRpg3PGg8!Dv~KhMP^d7JL5ucab0wvG7sSD zm$?M<;_wC|FN)yHDvM^vG8^D+WJj{r2l@h|8C0d(nZ0>D+u5%`#|vBJk*) zb{EMuwg%KuK*NiL;^>Q;)h|RGuVd#@idf&|1WRh;S8{nI^#wo|$dBzL-+4T^3KgLy z%%wY9iV9i31hVB)F((S~upO{_ie^T3ixJX6JEyC1yHTHN9AfG9LHB4tkS{sYbK2k; z$_L;AB-Uc*#=S{iuY`*l09F&U5S?2)0Y0yb;jV@2{6UlC%)-s%M*u3r^1RUCFk2LX zA>3Eq6GX8BU^ZZ-YZ9TNWF1v1 zhtA&GMrhq=^yh-1ZFl}lF?yaHCyiPMd^*2=H^ho}lz<9~bPD9*>8TwOVQy!SSQ>W3`Ge9mZ#Z24XuEz2}OEQ!vLub+ceo2CKYvM1~8{ z96Uzwf$BwSrN6bJQUh7rvaETNH%e>3|?B6jOzH1Jv z0X}(mtDl2<7$0?dX~+ue!-O;xDj+E~taY+Ygs#?u)}M#lkWA^FKQm=&9kUGU+Z5X- z@cx79wB|@N03jcj4>!S1K#?q14E%eTVXh6hlu1i7NIvrL>4sk>Tl}I!_Nuo>KaZx8 zpPPQ9ZwY1Q1oycbkH^bgXC|Y~wYgDDUdP!AK-8-)hn3x=FMG{S#LJFtEjX<-8WkVs0+B6zZWe(dyQ8bE`S3hiXI z)3UFSv;OVze0B+Q1v&I0UT)6vRF|I(j!;R|QhOzSjL^sJVAFNo0bGkBk zb@D#cx%-<9@7wZO7-D=0FP0Ws^$0ht7zN)~!(gZOc^3Os5%76{E)MWjw9f(72tb%4 znl;7)*m(SUa*phO^c!wGy;Bg_ZLV36ji-S$475LKl_Lwl@W+`j*Fbm5n)PGKENL6w z?uJi@m7Db0i@57RBXF@TJLd00=+SG_3L; zU<^Rf{o)WDd$vlX1>ig@7JcrX_=d75?#TKsV>ag<*kI$E9L-mHLxvT^5ZBA|uc0h= zsB8D|VJ_ezm~UJ}lx7jAGbi!O0QWr565Rx^E+mXn2a`d`VbV%(yUY_Z7?*?9&-N41 z%n>x>2}r!N;WTPcS;(vmB)UWPxxXF>vy@HBFhf1)R|$tpyytHqg7vt688 zj{KT+qJqAeLQ%p^}g_IZdv~K>l`_H9UM&F_x%Au-{zg9-*s%>;=IX*z7%91Lv`GDO-N0rlIhG zGyhkWbKt~3aZ;k-@k$ATYyAfpDHbInu(B1J`Pd>obo>_GiQ!Y1>=)bZH zO_Ael`uUp#+PJ1JJ5s`JE&=R%^l*UDEJH_E?z;{CtoV=dgR<$B}-ZK##oFs|+}3+vhZOBt0xt0-fN>#pRs;wR~qLK_;O zyD46YV7KYU*cS!30DlA4F(!XQTwCK!V}m}(E}_L(4Y%z5_IPj7(fNJMOFt+NdA_*E zf;SI&hTO?wLk8mEH3)=l;fxhVlny!*LzUm^PjWbF6KH$;OIvUlGrWej1z#qe=T%k15ZQZ+A>VZ^;6azY`Dr#K{x{sI<(Zxw9EX~h#kV&L-0tk?FAaeeQqD%6i`!QJ z6O<^X->$exHACYkZl8nJ)l$O;o;jg#uYUJLSlCkjCj1fG@8ibkn5TijGyF=vFQV59 zbCfH{?5&dxC6HN5hu~gyz@19JdW`rQ&umbPg|S55LAgpKPM~K4%gn^l zBzvX;K=_jwoaf(MzNFbhm5y^utxQu=%w7QC`(IfDQN(}i(HsiMdnt8??Sh&M+WBd% zxHC%t%ob;qhYH9vT&@2BHwx2Me9AAt+T`fa3y$mYqUTWi!oeT}f`)W^q@3cgQC`%6 z$t$;8(#rVgd7<|s+Cqv`;BjEC~S0H%mD2^w1 z#v4S#bSNn*0fUoKDiI24XpYdkLsn)K_pYCiEp3HW4x> z4Z~CMX#s=Q5iM{#81-9%=}T!QzOH2m&abd9+xD=*#c!mg-;Iu|V@ zpyneZZRNv;s!9fW7$YRnCHqk7D-POGZR ztK)C35#tTJ!9{GbVA%f8Kju&~d>qczop&am+cjYR?dUiWioOXpa3YOiBHc9$z@hy7r#e+L8L^_-QVzg|i<23hsG zsQrJ=#bOUnkFHJ#Ba6v@?g)Y+uT~;x3CKK1vybF|44fg4PY2K|{gc_{`G4c)onJl^ zmcOUwjXHkp9C>-iiE#y8M1})9#N$y<#0|s`h$_VA{<1CaJp7)uP{@aUI|to2m6=O8 z4n?d%BtAGN=v5XVq2B6e(8NVc!CT*9z<1CU*9{rJ^hq3Re`C(=$i3^*QQ(inCi13( zH_3Fp5Vd zm*q=8%e>k@iT*RU4g=Q}r7-0b_-ytyx(@LuV+GFx#L>}NJy!9iE{~A_91A*>N6h2| z=}jeXrS}TCgqArHOhzqzR+!B|(K2VS?9s)r0oqh=w7h+#({Y*^J!I6n1ytiFNEaI3 zm;!!AOZv`I8Wwv}cD$$(!B#+qHlZVc$C29z7)*oNH1`!~QYtjcq877_f7<(?0LEH?qrK4<@Nl>n>= z>h-YN2Qqtp83sTE2QubYd`{4E1(@+b*P^9RpT=B)k5vlGn;xO?@(arRXh6L0;BenPt+Oc+HGys%qUUOE`*FKRr~8$YVUq zXmVKXG{=kz;AYd}L-#~VM_~##J%#0hFF}aZ!T$*wKw8*$grG3Igs+Y}JvV?T)>rHA zT2!#%pG?eW@uuxqm@G;-iV5oVYO)&Npp5OP(6?Bn5Ks^!Ltry;Z;BdUxMB!x5UQ20ut2RUaj%xV zQwz_wiqA1|uV#Ep6Hdx+x-2FzdP-!uG(ig9I96u^1}2T##_+b+L1pb9wmvJTZ(9=G zi~|lGrT$TAC~3dV1t(NF-eT8A;&yyfuEmUGnL>49YsS$7=%C@jr)*lq|9lZO!fL1U zJJRjJy%elmBEy_?c05s$Rs2|^BW#2bgJB1~kLCwhH32oYi73^kMWtN06ZN*>)J3Q7 zYN=sHQZvCR{l^@wr=y5Rqs+*T7-@^Z8(8QlwFR!?{U78I)A|uBctIef%xS}Q5)eRk z9w3XpCHpMiki@61?Aa2EfH89kny$#tu;V$5Z?=eGvbEYPD632x{Der@;3R6I7Mx3I zEQ5HYL|$tJX(CJmCQoIc} z;fMzkrLG?~CIHDCG4dAC!WpXi>L=KWUM3`W+e@is?a@)V$#2hCrOq*@l&jr}Gcy0I zYB;E@kr?K>^a@+5a%`A1O2^n0KxoGhyi{Q`?6fzPZTVvvM*8S+%H^FrsTu``|3s^G zd#U1VWlA-^p#*pe5LE@-kc}`F#ob=U7|o`%M~c&HM9X%QiadiiXBL+>sPQWjVmoi4 z{BD8{$UavpEB%&ea8ClU&4m?ZYjTliPsKJ=7U)mq_F`2+oJ(PXm`nY;T0!h%!)h7t zRQp}eLd`07(eVwNK=@~?iQoCmRbL!EQACCo$&%Z?#6OfB@85W_s%@wO{@lg_+qw!$ zoK7=aC;_l)A-h8nQbPQK#efxVU&CVk$J*U5HM{6|fR$i0bun51WUj!dF`|A-fBNJ* zy^%e`dIx<)g2XR`f3qmiSxH6V&uo zG*rD0P!j;($P`NxhPS3`-0YOWWdfTtup4b}D-W~vSS8Q|IKnQR55S#_Y51#;zLE3a zg!$m1@f+<&4o!d&6qq)G1$Jr)=k*yge@(}ZY#naoFQ`KjOQ7u;4N-jnqqjdm@(`b) zk%#-VoAmeR8fbThfUoq>9-;Em!2l&!4fpMbJE69_<>1nvaG#Jd@}^y9;Qmfi1dh(> zRPeB~95pJ#e*1szz4cpE-TDWNln9I>!T>`Ek|GU5iy(p`E!_>mj0~Mh2vS2ycS=b& z2uKd0bPOp{f~0_eps4Q}pXZ$KdCq(OgZJgS+&}ES?|a>Sf7V*tS+R@S9eW-ZwO%i& zR&)|St!HU+nEUkNIaxm$(bYz<58a_g-8#^iY-A<>;jT5dhf}-3F6hRfz2)w#@x1Bf zLv4$t^mCgvy-S+@@>`=WfLob6&YdMn_A`60l2IOUDT6S1~FC|pYaQ9qmjeZ~3d;i6OQBly84!$=fqQ#@BAWj`o!VKEmBG(mdg zCEyDcQOLbtTo^xb8m^fme-A3i7a|wh0;<^CceZAHw7%<->2vE;#(S`9Mow`^M7ylw z*BHn$8lfHQCq#z z=3LQYhpNf+N=A4+9S8VIC>v6=gbVm#{OLOJ04*ZaKKd5FJ2^E%{`FMPO|Kz(>H%F)poBJK(D~->n~}w>ch_-^WW^S z7-URWvgfY`QlyHlqS~~dY(+PmCtmI*65rh&0%CK&U%6dm1>hIb$>4m62)|y+S=ab0 z@$V9#>#WHlNdVOJ_nda(kFT+_4Iy*JZ`pr(GZ;t||QluKh8uNO6 z_v?gEy|=7hiwfQ>e}!L#@!}7-O8}!S z`%U%?>X8#pBD5HzN13SWJ40WgoO2yihEOP46OL(L+oLU2^bKxHB-GluCy6NoMQFEE8DDbqu z%C!)G;QOpPX;MFvP?@c52`FckXvPk59r07m>5C7eo97_wpi#uIy!3OvFmOK~AD{^l z=|1CKVpr;EUpqENRno8!vo7P^KZR!a}p@8q+YT?ahn4y+3h+ws-I1=D?eD+@ZMWn-PFuzAtYrCW@ zdbO{{c8z647|3QUbjSA@;_Ah|o(=@ykHjg`Q2%h|vUk(&kkAUW{<*_Rq$~pRTzF&P zcK(fX!^XJFev`+6asLv)iY>SVkF%()gvb}A{BOD1gvphCl`f3!E2os+KGg(3>i5ih zR7H99a`F8KQ-j_vLv)i)YHA2|Vx0BIow^Ldg>ALyONTxPCT)DX!p97YCMpvyxV;Mm zqko`l9BR>PmQoP#H0=%Hz#M_P4y~SEKs5HiZvyU&^PE~|Z(6gdcoJ_vr8WABfb6NAiQ*TPN_ef zzYD89LGJ(Tlu3WMcO`WO)^gc=dzxg61&`#E@0 zDckTiW_$oWKCl$`G9;|rKnv3pFo;jM=~62jK32aGSs`#G8={*I*NG&3{CWniIL)+Q zy3NXK=LYsAP#S}99rF21xXunNA93Y$>bN!NS{M6aD9K-Zl&Q&Db(YuH%^D%ri2EVf zvJy*U*{+n&rXEYlJq!j0*`hHoI!642nnWTs|HUa%vH`#sX*;*wkTH;1dk=q}gXDwnhDL11RD}7ME!A*s#4@^! z_nD~TVD(&Hs;#lC-G!%Ur^N(XGvDD;(ytls^E*0p5`zxC)o zjo20#xAx5>-M_Od0wQ^kpxxaB<c|IGy2+T&s(f3YAlT<3iPZbAnlwLI+TwI7t*@&$CAn+D^{)vDaMUkERzZ}^F^XNw(Ud_s#cPbna#RY_M&+iE+ksd2`dpX)N)VV=`8rj#7`k4n**%;NT}718nR)ws zhCqFtWah=Dek@&a`Q_A&O;1W;eXSfa1Jsh|f%=m8KVcyl^2`q@7vmMIylR1#3;uMl z&6RTrg=Eg}V7P(YWbTr=ylr{qGh5hZt(@R=q!?S+ZIM+7WM|PnuYLU+9k~TkE?{Q0 z^EZZypm8YcbHy1;14krph(J2Qk612QBtn!1BfTovsc;=C7@8Qw@IwiXbiKF(Hp!UqOZb(b|Jbn}}{4tMuOj~Ec zG10O|A=TCUD#Fva0p+9aBwu6aAY;N0batH6gSHYM5@m$&>l&3+5v7_4DZ+GVseKTNb@8n*xer*1`VLtB#FX8Tr8$_Ng-}1^3bGOfRbpK757s?P} z^~%q_Ps}9(!<2Tnm$*h$k>HD}vYL8EipNvqbBD`x<6TUmp=B?~j2w)CK}ac}zK<`{ z(f60pLUx8!W2es!@X<@ZJZFUHeBnd?ySSD38(IGfTZto|91qA<MI%HudI+f55Q5o@e&`e}?m56@s=9^UR$vNSW;pEKZ7vJ{U&UT9B(ohBCbS+RjL zzAlk(KYL6`3p-7pkJDOlRMHdtqatB1F)Xy|?eSvW+9X~(bj|xV;VC;Y$K`40{&v;L z*M8~STin`U@7dV0!}$U6-g*V&(zKmn%*uZ8r^@6jY7^frgOt;tJ)P}F0V8;Fsd884zIqY9)semkYR_Qx1K$KLFs_ZvpXgTOT8>6-yjDrdwuOMTH{sy zz^LH%)z$(=f1V=kotyUhmN^#W&v)83`!@{<+7FLTX9H;e;_}Nvf*n|UV`w+ctI8pa zvAwy#QeCN=l3>yL2En!}*=ap&Nsp=B>x^nCnKp$mvYzPt;r23Zct_>Nbz(opq4Q_l z>KD%qjXEm3-*{n(PZcm(aU|@-l%d|K$(!AGgf%kg>jKPfxing9gimw}^jNA71m*c; z$6Zt)UiS|{ke#~g>#5tePALOAVnFvo3!plpbIGz>c9B%9``b4=_+Nhm7ojTk!h#<7 zJ_6oRDecGT#10sqL$gn3yi0?kS<_zDVptrQ%S$%i#E(d=5LjKJv$OXHr8rgOvTK-kHYLttbCmq&C9=e@cQ&%Qu&% z=kWa)u?i&gOElEJ55LFLJ|JPeI_QxwyggS>?DuKYg2bwtlk@&Ft+tWS;C-rn#2;C= z252GojixT&^>sF%a8j%4qBT{`HuZt@8wAtaz>|NZTwaO*E)i8YmSKPL$IOt*zs-yg zy9Qz*EJXc6I~JD=dzZ-yu0Mz7LzNhgs_}g(BE*okrz?%cgG ztu>nPI-wWM{H9?Tgf>0glMTW6DZQuO!cC5)l)iY6EcG3O{>TqMg zo05ROmzTZbrAeur$0z5{+<84n=7-XuJBHVi;CH|wQ6>hn;*pvWM6>S37===zSq0)f zl-*y989zQ2#Ba=sE5{k!2u*v{U2Z#WNGKE>Q}cv@ei)R06QMmxgNf`!&>S5;(1 z%}y&WVdLYQ-qSDWsbmSH?ly**-3n}E za~#BqLw!jPKoQ!jsT93`Zg{N#-rgnt(zK>amU%kfb>MBZE#INn0DHIUb8Cwsv^Q`e zq~=zPd|$FV9M&qLhrB#n&p}qY4Ec3O?@a_4#j#BUj3N?Q^ozC?_dr$Ytp8oeHQs+e zsJ4*mX-L8bVqtsHEH2xa0rRl~3*R5deM19AgXQ(Mj-NJ{hcK4>7LJ;2;Nsl9x6U!> z@V0bvuzX6O@$i&A(k$cQ$q;eZ!VLncmBth!#L&XKiB&rShx2i5;j(Y;@d8;^j^&qX z9i-C_^PvW_GxS_1kehvPIrrW_w z>(^E8TlBsJ7}K;TArC5&ZPRlDW73DO=VIdr*j>rk9NNUQcW#lH_5~`-&<*p(c}z7m z*Td-7u@Mi-lQ|-*149lnU_h!{xs_gy7AZ#BI|X!B`d^fVd)I-eU1jSCECfZpypOSl^0kLY0+*|2l;hw2)$FxaUuh0`p2O1WVUKm0Lb(!@;B+J+Xosr& zhvUVt#elMh+yQ~M_-^ z2SC~=z<;85Ms_j<*05MN*<|Zj9@3oHSLvMZZH3Iq$5SIH6Du!pA6md=sfs)=bX^zP z`ldA8%5|_DZm$=mnFDq0UXX;H(K`aiga=0ByIL+0y084@uziuaK#~ z`CMrsh5Fhb($YOXoMCW9sM2De(y~e_zj+tF7S}4nb27do2w+8F$P+z#-tvDZx2DK5 z5ZR%B2jc;9tH51bbkDx24r)E^Or0!v8fWV9b}vodqkLc-xR}3OJumr0gvyn}=h<~V z=VQelhL>g@lnXcf%1IW-n*=SRF{XFV^L)(G{1qYdP4?m5s^^A~gIh6XtBTh~XJqdO zN(ibaV9yOj%R;5zldSm&j&CDu2)@2ZgBut|MaSgz(-U!yDND)ll}TWDBxUHrVEKW& zr@SlEhSxyPcGBpw8J~%Va>6~8)PbgdxHfiTfg%sqDSt*xtVYK;@brMj zTkk+S!drd~1HaRAqe;0<&><4U$a6(v@DDOyG5%;3M%w^0*Jor)7D#^ zokW%A*Ep+p7t|N#un6qb+tZG;)vHZTpD%Rbb?Xv_v=P#B5OYK}LIrlJPFj+^ecW72 zW|Up}djh&s$Qhh$w(+_Fn17dE4b!SlUW=^`T#J1f_^mLvH`{1*KyhMJ+Am5=jq(R& zP`fiJ>SM#b0M))_3zH8E2M9avlQ=d3!6k7v0)JO2#44oOOnPNw)48v&zM3r%)CMJd zR)BXnFCnD@En6{(0Q+n7db&{y2^bk0-ROXs5P2jVuSb76dc0OcNn=h+#}h}WNc?Nv zW6iBJ(8AkiK}VLHMhQRPC;1Lfk@ZsBCXZudJV~Jm(WK)tPvvKBYjbF$kx(nlq`-K= z)@C)G3?5p(pKpm~3k(ko78KoSvoCRmFwB!X@x+)B zTD$~WQ^0#+tzwy&UFcFJ`B(bACqLDhLf?Nv!NUX7sXf6F@J9Mq>`Y0BjMmFvsb!{^MaG!F%LhMJeRQ_wAiq8q($y zi$aA7cp4s%(oD7Vdjj+;IT81$2c;w?Rc$IH*kOr&dg8=NFt7v=r;4%?Vr$yA*v$J} zl1T|4;EXsm&GrW9F(^_=^&#ICFwlXIlmv8mg~et@D|PD^1Jb@HCPrBi+vturMwd24 zQr!J{gJ6D0lK-h#kEi`$WMfLn%#B$iOXhfcEP8l^HG)Bk`r4Ri>f)X%0H-{~0kNcz z>B-6=jrK$F1+OtDA=+Sp$)yZ?AS~|XP<3K7uX-Blsa6|0;0F${jP8%@_V_4~uwoG} zrE7RdMtaLhDZ}8`yWouo;e`t6%QUQ|_(HMLLa#duh>*Na(-tQERTn%ps}&CW0kC2t z^z=p4u;l6YFeOYN32sVJg{CZ?@=SNU+(%ei?pXS)Ib~+ za%<0kVylYP#w9Z&L%qe6A$#C;Cc3E>l6R5xpnLSRhWI}r{*~Cr;&^XxKo-bJe9NEr zbUK8JpU!gi$Z0MVxR(_qmyY5EhZz~%8o(MTJ7@=<29kF`SvsOW!t0pSc8hjje!n`M z)oXA2(K08$Lwf~_wG0I&;4%kg*$VwCSF`QF#`mf4K{sUHZo)8;l~4uz+Q~#DW~KX^ zSM>qXNr>70vGvmZK&)|&ZRnE_MljL5tvWv11L|~hvn-mifrU^dJ1UjTy!y1MMVj8Y zNf`zc+wn0BWjtxlbP`Avy)k#|tw(h75Aee`n@u#1K#e4<0xdl-1^PcOlm0IxtKESMtjT5gs$PGZxtV#`FNDhK1cEXAUmh-~*jS+cJo2_WnYjvqUSFq1$(F8aHLeV0q;O6m z{L=BSn#07vN|yf90o~RMf-y1gBg9C?@QzdKl0cz3*$YIVofhqUb$F z3KjU~9b62unBHB7qOVL>iy@gUr0?_18?M!KzoE5+G)G2Y`c``A0s9qJ>$GR0<^I;0 zkA-I8a#i|I&7&@|3pts6Trm7x-TmfGv#m|Eb@gds%7U@>YG|+^*1VA{eiMF&vvSPJ zD1*uKDV33GPq)wNynb0PFa~d~83d(4We^4N*?GM7g*8guYM@rG87snMnKc{z(J*!T zbM;V8-{Gl_fCzOA#9B=zlxbe_bM;6aQ(=xB?{s>lMI^B(O(o{?yn_c=k@0-0Z8d}e z{H0{a4>l&nOH87o%{Fpy^B)Z)obJl3#eoImfvuzc2g|?n!Q_Reotfp*$$-&LRk>~G zUl9ACfR;&TMs~$1nz5mN#v;@`*DQol5wkMSy#lF-f(JbT_t_H=Z&#;xs>+b(NWeP? zvK^%!?9}(~u)Iy5-}~TK#Ffx~ppc&u?MQWZ!)2)*;qp*cnY^}@cv@*^E8JX4qI}s5 zXBp}QEmb)ndC=u?o&A_uN0-={a>c$%*8#{mLcT%oX`wKT3V?Qbh}ft5LNztZ6zIUA&j(j{ZWZUL>r?0w( z!KWcF8#N4m*saAS#YXEYXRtauY;1nNhxS_?PF`^uidfhbeU%<;0@rfv_^LQJ%6vpu zoAId0l1ioNGsqqg)8n`e5}l+OCl&RL5EqyV%@mtHLkvNTP?A5^r11OeilR2~wRxC} z50Oqa9XB2CEP$oUuUMZeDszt?X7^RbTNidc3-A2sjQ1<5o)e8U9K5pqdNoFCw0Oqn zOz3mx@OLP|qaRJpS~nm2-oU^XmptIA&ueR(`$8=*WF=JGC8pX~9-5RnTfC6{tnj$0 zG=TQv`#LH^NPMar3We3tV_B^;Jh*EBPp;l>U#*J^oZ+uAn33rSc z^|G49FLq)_-3;TZvjMp%{&~n-o|x{bhqSc-m;TW(>MAS8cbiiiDJYp~v>UZH7~@AS zYympGh@ZlU)#(#M8?9v#^?D^ntw|e%&~(Ehv*O=`*e(Xg8dytIR(s2$s`Z_eaJ5@_ zl(#kY+SlMTc$R9Ls3=JtQ?(@ zNLANXm;*{oNL_d6%g(A;S!zwUSV*mIz}|c{|E!pS51fv<%C}Fnb0@9 z-}hSwv3ttZn=y8hNK~m+t_-Dfbgmb$l{)ONTcwBhS{~eSY;G>@&A0~@^Hht9zk(%M zHH-qYs=oVh+x59`(FrxDG{XE>*9B~S4?(;qRA$!JREu#nWb8v1V*>{V#yW;Ajlkf} zwsRA>gvb2$C@9K>xyBhB)k(k|HAg*qQcJ{a?V~U&*UMKRuLb`Yz+oXTXP1z5l?AIY zTC9KWp3v6mvuYL(x--yIUhap=_Ojn~%i$IEm(q>q1dVlS0W+W!($;=39|Wba)oy*R zk@f*CFig84ZEag`%3p?Ax$ZlzqY))BuoH@dfue5^k+V!ieT!gepvy>_UMMzdPa<+Q zE4cdXc0s%rhb!4y0;aw9)oQ+>Sxvu_<^XzT5B zimcK<|0&P4aywg0W zy|O@4z>uMaG0<}EAPQzx-Cv$u@!Vn1-gHc7UG&YheK5hsGSqx<>IX}GrH`RB^pF2c zy!WT}3r!8_FV99(RX;dSvJ0{t&Z+Sdb*2Bn3+~AZ?%LyU8k-1OjBA~on+&zy(~4o4 zzsgm(m{I_TqN&Uei0dS49K6rKbe*N4e$2$R|3v&YlstCjK^irxU$!R$=CSA|Zk_$( z5-eUq!m{f|OhTx>s1x8HJ7XHugWIpNtnMFNOMg!+#F(?RtVktiG=33Gt-( zBRUMd5CuF7JOBh1CaoKAW5_KPdV#YOt;r%wuVMo%TV`ExV6M^g@!CI0z<}2 zE`Px0YU$X-RwI^}t%3Cc59L}9eX-c1sh)HR!7l;exAO=?!p$=>1Pv_AtNXRD0gTEj zrh-dqXehE$!rI$MnlymwK5-JLd6J}{2;Arb{m?WOXDf!9ejiHQelbxL-ecWgFiWOG zJE1pMMWEjIZul2tlNp4KE$U<~eIb8 zEZshyLoD(H-vl??h$yAXN-HcUX$8#>{LBDKsa}t@fGnnC6~8Hw#w)>H-mWAzyHO|1 zE633SPIFBhf#9Hyq(1&zKfMNc#FEKHE^lJ$w@=HX9NGK^)|Log46NayF-Cd-xoF3C zR1tsFfw{n(zqg!DRXlg;H!ua;T;JXJ3`{3=4ADkx9-BjOv=I-q^4HpWp0NXz25XLT z3?)3NW<5}Dm5{R-*QwHP<*`D|$gWXATE)r}cH*fxOo$}R4!(!qrv}UCQATW4nE}Q; zvLS>3<2^$!7#lADHljPYK8B#2aeQD7rX4TRFc{*RCIzsvvfUVl6m+USmQh4?f9>i%v)FjaqHzbijd4M5n#1N zbnVFXj;5L9>l_A`G%!mi^k1lJcyTy~NB}!sYKUt69fyY_3eA%uJY}697m_ltT$LYk zS`SZ;u?{dOeLu%Fm_Evot1>gpQ2I4(0+^6RiTR1@qmU1CJFiUPMA-~K%)4;r@4@Dd zF{O&(MlP+@fgcfBP}fcFVTo(7ysp4^@%Rw`YnNOFW@YYDIQz&P4}Y~jQop}ev2#+I zyR7r4=Gzx5b1zHSzsd%!iZMJ@xdIVB;+MW`^}KFEQ+e zMv!}9K><7rA;t{m`om#KHGz+B!u0J7Z)tT|C=I4Wnesr%q&97f>&Ukv9ErjD0#*hU zwLAw20Sk!Pk+$Yw>K-c>#FbDTrR^$W5yM-$VuT=Z&n5Z0-e`SiWHW=!@srI z^qsxDV=Q31y%uY@&(#54EEv9?k%x`LxMzs*E!$SHSvpS%q6#*NjJ%R1`Tg^CDQtB! zS6iJgQJd6MH*KZxzgE@=^(?7=@GH`z?~*}ZIATUwG089`p-f<>%*}u3y*_QFd$ajq zy9iWck)0pCz33x>aJAgG72sX>6 z942Cu2NdchtS6ec-kPx2-x*FX3U=W$Ff?`#3zI3J!^A{L#{EW^$`l-IrIRko4=Q8an=S24A4&hgEtf^5=WqAMYxh$)Lsw3Fk)o5@^14D(Z$Hm?G&j8iF+ zKB5D^6vLEP!p~_P~2%nD0|0Xr7d`HiB z;AYAz(pv5O<&hm)Y7TRUT$zWKl$N^n{>6m-kk{RJyXon_@f}aLa|B`%rH(_NJ9oks zk-5uJQNGDOTQS;|a((o_Hzc06aeFqsiuY~MIPU9hQ@(v%`O?z)liJT*^Cl5mri!iW z(4gfD>lYUbvc6wiRJO8jow))=XQYv)W$L#SkRB}YNAp7UbZtEtH-?y_=lGgUw2yzr zuz5PK{A;#bW6T3-zCf z&oi1I#9MQhe#X3t{AoIHXFH?{r^`>1y^=c@Iz*ru-{m`-%ps_MYsg8O@@8%FI%$Y< z(0=b(AVvR*#BljfBa)h8>iE}F>_xvc1dL(9Vz1lH`$G-y9-zWIweM#fRl zOSgYw_1udhoYZpa7XMMc z;iC{l(RbXOpP``B_TgKatB1CoqwrR3?66CR7-W{#+vNGT_$Wjz8koKt%M# zU%Y+q$G3-kF@fz*&*Y&x;z!!8g?S3Kj@Ot-L)0bJL5v;d3X8m&g7-OF3kB1d81Le2ObC7c4H59$5C4eEXI3FXY%)$y{Jsi04K@*=f10IH z7uXsw*!Nc2RP&YAg=3!9nt3wDJp-PnFU<<&4=yQA^f*jwwPCw%$$ohv zz1%BEJ^%S~e26%x1F#iW!usMCF-S3;!+rNv3J_Kp$q73$$bm#OPAQnItZ?ckeZm|{ z%3tA^=!2f1*IydtZY(mW^3FM^5ZvhLekvVAXlZEtGDO_yl;TT?`1lYp%idxEr~_+q zVL`(mgVE4$R*x`7)^)`vQ4#c_FlzE_VwTJAf6g-}M#H{!>#AcAvWCWQj0WX9_w6ZG za=tdsGxu=nv??f}5q`BSC~}SXyYd;ZZ!*UXYmg{jCW?rrrJ2dDx9-Zib0TsaThH=WhzAsjRz*uAS`EJ)kPmfT9N5E zJ1qQ|)H;CuhRR4#hk{6nzKYD{R*Uk@#u>g17@l`M*Zfq3meq-g`8q)qy=ZgFmw+|P zk+pl6&3lXwP|ib=ns#JTn(8V>@}{v{qD@19ySecpbB`v*EQli87~L4_;++1m3(=#^+tigxZetZ%&Y-7?kT`1}$oVk9 z_fW21+PomI$g&rFow>Z)A>*qvmJ}=T+*z%Sy~xt_@jpHQX8kuomKGbO+f&IwvM`OT z>y8@co%>36jd|{2nt_uMg4a_iKMk^t&}UZw_ZtjaO05{_OjNYtp@`t1XW8v3(wpwS*!@ffDWnzH#*m%)NNq_fDavO&)vcc z3n13(*{>ViUbPOCb{^7LId86f;LS|d$bKCq=G(2?#-2TuN^w7N`lxC3A)f(#8dE4# z1}-dW?kltGllE1m1~i9=*1|qUJ(pvU(XQw-ebtkvuW7y-WFB0qStA(4P?WAd{Pmp* z$)pw|kKU4~A78z@VIm$7c5yj)VzuToyZLi2^Iz%L0w>-K*_)P}UdoMESQ#5W=6DTq z>D#GY@q(?xLbT-VhbCr76z-{1__z zXKLav_GON>&ml#7>*DU-D=_jjCeFWeBaw+l!kVM!sxS@RWy%%gvV3bjH0D*k*s?ix zMSq{E(zR|o;6a~bl}BbX<8i;%Hdvh0UU<14?ZMZbRM;1eVeZ-ZwGB;m&*be9xo)e= zbZlIidRLr7nIs)8k)souMba*ZQQ*j;ch?ApxA3A(t@LZ>NAoC_t(%4_F|1gDj`H<$Ak z_DFr-=Pe~Da^d1jJvit@S1m~mmZ6rEV}8UyZPB1{wGjCJ_EolM8 zectrOt0wU}uDjB7$gliXHCvR5Nng0Y;oM$ETaw8|=)^bW z6WGeN8_o68?u%u?>Us0#lXBso*6P1BS=Wr(3+ZcLox8Ry*58;e|MpWjqHlCZw0d-i z&tV}%KIRO1)>bdsbLJezI<{Le`$YfvC%EFmvS`P7 zUzT4}M~U_@p7D-tDCO|)zT->95@VsKPbF)MP}H0_D|%#-WY{@)Za>J8~3;&JnP8EQ1OybU>+ z(-;xQ7PTwCJbVfK-+x_Ay_EN1Z$WUJbJAN4rJU^~w)kVx2;Cmoj`_`$q2BbNZ8RrA z<|PpXe{*6j#Oq&V>k`W%ONUQpu3eJTK?NNVI4s;LS~QeCMXZ{r;?;imlJSxTG>W}S z_yH;=N%EEV@h}h)a+d*acx^BGRx@(yU9x3&$pGYl>74hM%waDlu7@!NIUa)Mt5WRz z(cOpp7x6C-*ZoFm=S)woQ8gYn+q<}yfx8X$Pjv>hvx3gofT|UnI>2_miw$aLT(^;K zW^~W##Z-L$n0`J|^@6*7bL&OF>xsni66!!KTQY0q+>1-GZr()rq-ty5P>(-;ztQN* zucYBquT@sCD>z%n-Oh1)q1 zS19)=u6XL@d~h!Jx2oO;?cAThAMI}>k?kaS=RuSF>AXpxhrt=B3_nb*U=-+M=DJiT z+0>2TH{=&Y%GAB*Jc5@HfrKH9g3B@S7b;Yl}t-sn7NLjrez-RKeZzX5Aj4m+JeN&7yg= zgR7mJhkhUX|Na3EklWZc`+YX;|NGAW9Z6Sn^MQ)`u`18Qk-=NK{Yt90s&#}$g~fCp zalKO+32=RQNQO)#Po#=FRDO8q+Bq0G*^@ANBi12jrSANklJ@?`Va0aocCHq2R(O5S z!rR89gsR_2S!$Ul;S+dgFL*>4pibWRR1)y^|g1dvnRh+p>z?>ZZN?rhnzQ-h*6v z8h(B~hG*ZL#L++aP0}+4m+0-31HMo^h}2ONJEUqJ(?BciVAugtQw<~mHa~r%M!`& zOOi9cUlQCoUM~{ReI(_c`}Ml#hRg~dO?%IX(uWs{$xGXkmDp{DPq9cZBEha({lYRq z#j;^#503k%t{x^VzP-4;BKJby&ObBPptmN?T7y}MWk@`Pazmo* zWuCh!8LxQiTI5X5D(Nd1(Vi@0`0^vm>2cZLT`H9Yt>+;0|KDeV8l1qz^*~TNW#c+!9ksE%{ z`s}W17nMbQh@Hu;(FVd*i8ztq5~|&D9YU+_6XxPe8S;|OMhLlbsVzp`glD6SOXB35 z`T+$Qh7t5Rl|DBlStYh#ZfWW91_+Z=lf+_|xWe{hrk_LCN65;BoFc}v61Lr)SckGc~kyYYSXO)4uLe$WQ zibnSRA6gB=dS|coy^b=2ux|XtgsAG9l;`u?r%y8Xt}bPfJ$NHY^U3{aU!O-48hVg< zJ^JTk-C!-DthmSDvGUSas0-9s17$rgFBhm0BFYUUreL;t^`aWz@wq!dJ> zH8{VP;y?JDvNnSIR4*4%-Sj^N0E{44H?QuRKf-_~S?jyNW<<$F0+Kteo>De;W zGaPSnrNxh1`$l_HT@-%@ek(ez+!WmFD(CR}YLk^PZ^)W}{4~(0b$79r{quJYvHBBV zu8$(Wq2GTTiO9g*{hGOwh|FS@)YiX@$o~XT;;(Xh0iPG|{|;eZy4h&r3PPNb7zZ`} z`_D)o<>+SP=w_zv?PTL>f{S?#<$p4`X8P6!A29d`DmK|a=*vLXn7P;>UHSQN*Z(G5 zy!4X`M>q*ygZ+c>Baj6g2K^T;?nr1$6bgYG`+xE|VKnO*1A}J*sw@BC!*c20hf4p8 z!+#60S;*dG3kbD9{{K_`>*Rlk-5%RKvEl!775rc72ZmtZCjkx8N%8O?{}{c2@(%-7 zH*chk>;EDh8fJI<3#>#je`)>CouXyxg^s4PcHvc zje0fKt)N;wyx}Z-5FG#ccfk0U8jmepY^=51TR0zHwypB;BPqb-{k+S`2R`%;K6^8|6Ttzl!<`v SaE^!Ise&N5sSM&7@Baavqb4H& literal 0 HcmV?d00001 diff --git a/tools/bsi/bs-it-gs-2023-isms-sicherheitsmanagement.xlsx b/tools/bsi/bs-it-gs-2023-isms-sicherheitsmanagement.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..1146d7fa877b6794e9b2a7b64f631b47ebdbc01e GIT binary patch literal 18710 zcmeHv1zTl1vNrDS?(Xi^xVyW%ySqc<+PFgljk~)$jk`nR?tJt)bH6ilX6`Szvz~{w z+1W{@DtRlZRjFF?QotZ60AK(R0001l09%wzI!=H90JvZP0LTCkKw3g}w$3KD&U(ro z_9jj`bnZ6R1oR^qIipv@!8^v-@ zv||iV)FG~Dl8s=-yEFR(_O18+m?~N{8ps7*yEx@w(cQfs)htSF`oe{a47<9@PK>~O zM|ZaF`_>@XH%pe)GnastHPeh<+B1i+5&&Om+BRvdJ0!{47r!ILi$Bed;?q4X2F?C#_%6_DX;2Cb z`V1gw2#oNRZdM&5?=;3M)=x8<2lkCQsQx20ICc-?6*=Y?|4z8`dqBzIu~vdHoHf8; z0~pT(qjY{)CN`o#=b(UugRB3=$_vL4o=o74cm&ecBi$)cLFFVbVkzdHJVSTX-e^oj%-DPTr~(2Kwi!toC7RVt!cYkH9*8RIuV#`HIR_Vl>I z*0%@IFV1<5c%GS6ZrL8`cc!%k?ga>5u1F~&kb#+|b8V`({7}Qm^!Xlcrs4oF>YD#RUA`zRoYk+QbilL8oTt0}W`v1#?BcNiJIW)|#Ps^p->{f6COOc)f{j2n zD0cG0s;$*l%G+VzEH{b|1d~)hP5T1Bla0sjlLL*Z0R9499?{*O} zhY-qRvXn0QgtW`=E5qa!%LT|Gke(6I__U5$% z?~o8jR(Dmy(os@nO4HtxI8AErbgruXT2l}i69l>Id=xa0(TauszeINA+A4luwo|Vom^;FsrkqL_O^BFqU4g1huLdMs z8z;sRrPY(=dok8Z{`Tx6ewKgZDb-6S{=P_ zlAQ>%0ox*86DWpQB@BcQxSmv5p-S~N8D)+}08=*L^lUpW6y%O|MBhoWeQb+SNs&HS z8pnLLf7zgVrt~|aBN4ZBuF$w9;AO<4LJp5SprJaI`wSG-0dj@4u1*j309kR$Dec*> zbh(yko0 z3~8L2(G8lc@ePLYZQy2d{y2+qD*ZN>>ukL#5l(!7*O%VQI1(=SjEj%BGjont6rvH$93O{}<`H~>e2{j< zg-4zFEPn4WIttbmp|XQ~txwd;^n)7Jor^5Gz*e~M_N;|gU^8LPPQO%5x9Or*;)Ez9 zpBR54BkhLCF(Z}>Qr4+zoJDGM34RYk5T$_khxetvHpnce2 zjQ9<}jNM><>5A-|jKzJc;W&lzuG@gSCznmn%$`(47BZ{GdZ8WJ(M~Z)(CT^GOVVXFncE;*H3UrH zG~$U@xOy0;E{@i1M@Ofl7%}_FVpduJnVB@Y?w_TpR4PkN9DG-0%}-Z6EM-%|^lmQ2 zqM59K)PV@x0IgW_N7NaEtAjKpnRRV)x|yf_b{EnrPR2nL5?j9!#rGYHT*k-*OB4_P znDYV!Ke?Heb-8KF6^%T3`DaRXhUbM%I}5Juq3*1Q7ZI+8s;q2EUV-X#Mb!c@%1%2f zj6p?6l?9w`YU@=WO=w%5JS6sg30WQFVhel5dv!&xOi05^V6QChaES7%IvE?wcsUV> zx@o9A@rNbuxTgZtlDHo*<-!6X#ycBjcgzo~5qoh#6<1e_fi(pT0R_n?bwr0aVKMXW zK|}nY7njmNKEz~uZUd@7U;lCz8=IR^+DVbwWcq5D$sa~3G z^qIeTz%O-o*e{?DBL`gsVb5I?oKk&-tkOP~IfLTz9I?to5X(We#`za0hCg>sYe_V| z3=1nuXs2t{fbYdscm4=~^=SmB2#{z0Sx5m4=En5Cc1RQiR%7e`8FTdn;DOyK;sm7&c?k){0;odm%oY{+3PqDmFdg z-tq%b`>H3&z>ma#uW6E1i~Zx%1pD`GiQF!xGWpZA&wv5|fctHgWpBA=Rs{ z+OBdS_~_|>1WdQ(OOY%xk)S$Q1A?|jfhK@HOG+ilB%uf7E4D$hdIe7KaYnB3Uz>0!mrW8NGk@(d<<@Z5r za~B`q226+*06k+m`Q?}CzK4wm0Zx-zEg_JqWf{i;gNj#`4N8xSRW!$q;HI8Cj?y*^ zo@%>y1ai#J!ygV(BiI$kF-+fM7gB@VTb`@Y6}NGLOMMWwk?wi~LrT@=$W)*E_%c%@ z8*3NTwiXjzWTdW%*ZQS+w6l2w4x2on45#4n2R6#tJtKKU@JjQhM&>l3*7Frz1D8`W(cr5oVUQl`U!4kT!uIrPesR{$QhBK2P#z%4;qA=GfE$1!ADY@Zx zrXgrn3-C(fyohgMVgM(s@ykCx&gz)W@dj>dAw;Y17lF)2mncK>M$jOxQ7mPUNuknm z9lZUl3DkgA48xaCbf!0`yJx0YV2{}X_z;70711@AO zVT-<%pbmIZGBA7O&>W;pcTSh37r;+jAkQ?C`Z|75WXUgl&;|6+g zr7%+D7L!D;r|a|mjJ=*;6nAdldKOCNwD(Ux$p{q~<-l=dk|t1_!UWa-sEB6|V*vPO zpdsL?7YllKCnCSioC|Pj{MCN0y5QKc?-zsC>Nl<_JB)Q`S+HcDkVd@XBLdVnsNw@2 z3WKa}2guaG;-Ywf#76y>XIcwv#1-cKI|+Ubc*G70Af@RK(5*$=h)#;NwZsi3{go>- zNM@I3=d8D=*~KvHa+DLt1;*ItedYe)%((QMl9v4CiX>NDlW&nq8hkeXxl~~%%qFF( zxFPp11=Sy?1SA_ZcRKd#L`ZZ!JYWb>Am&Z8P3L zaG6x&vD~CLbI_O%dESGR>vu;ae$hV@G`Pfb9$tw#MS?-sfiv9IgcQKPmnxxj+bv!s zOf*8Q7j@~j&ag(Tljz!ML+E!bqeS38H*K2IN9ehWErr3~Dj`&Af>pt?f^mnsyQP>+ zS~GPwJpnH{ok}!c+U<0^MOpFN7l7)vjt#h+qB$VgqRn_>qhG;zy$(KvUV!#oIx=qU zCKqQiP?7y03q4RIfGp;R?9E8KoU9ss<^GRmCI3B6{^O@+JAIm#7=P;T?}sZVa}yJ1 zC;C4=n18EsX5wm02E(UYgZd7aX447g3nY{V?TF}l+xOMJ21cQ3LnBM>5>=lE++hQ? zQIUdV0PH^R5B}_{)9qZ6<$xN&CeE*~aY*JZKZM&Rk7F;W?F1uSDk{_FY4>g+QuxOC z{l1+wEH8m|Ba+m!m3(#5K?6x)&rQ2?0jKpXYfu>9F4q8WWbXb>C_X{}*T*6+U4JV) zJkATFvl!T?cvBg;kVODS;&imhmS2bdZRcSNg*n6K(4mq`I7tx74JS8=BAd5L%SN4& z@j@txK^6|I3gco%#8kaYK`{{9#^ubL1e|=T=~ynvqWdw~IpaeojRF$pR9LT@UHO$! zYUXh?a#OzmzIT?oVv{b>MkINzt6W8!XTV^a7wtGPwQ!_2L)793^_WSLtiV`9y1>tw zuN*|Rc`6d4)ae<+Bq|u}W_g;QAN2IBjnkpR8xV30&{8<*bw;zpej$|(&xp>aEk)Dr zx!dfOR2Y;S^9e{#7Cr$-HsO`~shp?-N921fB$!myA9(rWmK3i8*Gqs9 zTqVfip9HFhB}sHo1R~-6y*N(O?&2AFiS64`lS!9^X(;P4j?uZ#{X%pqHa0gMr<58$ zNv7t&GED>g+405@%1#{j#;Ly+a`r5+r9Ee$j<;*Z$ih@bTv( zQ!S;qwA`HxjpWogwd$~h40VkP(=@Z1BE_imlz)xXHFS4=u_Tnl6DjFa3xlqxrJhe+QA-V~=Sz&R?(r+)+zwdT>1pZoBpPu1unEzE<{&*5AOk9rn z^hx|fTf!=)Nr<8`L`$92Tsqh$A#194=h=YkPuduR1($)*j z+oz>46>ANH+hkdxIJjJ>5L(67zq?FKFhCMXlxLioA`y=~YbW3opx9w|oz{_+6}DQhXZ@I0~lQV^KFm;EwQasy3~r?WbNn#PCN+A-kCG2M~+ zB=UWd%pto_1BE8i7!gGw1zaR$D#(OUE^^2uX`Da$V|uwBZOI@9m2q0x880=;UAk}C znPJ)uko(0_&ex){)BeCK*%+h!;ZX9|*N;m~7h++}xb6-mh`xPLGy)S5eCYbesV^W+ z6bQN~x))QHV?8rDFdB@%btHVHfrE>KlaG0T zVdoDWp;qXf!qbd73v+Q3L@VHt$!C!r^o4*IvQ4V!ZY{dBmwa5{s+=UuEEU6B(BFE} z%yhT7l|nSUTLDS6#Chyf-<4|E?84DMFVzrJzBiy(A9 zqY=5<*6U@Nk*FWmrdjAHYKril(ZkL5+q?3eN_taMPAM%)Y3a-NAGmyHN~mvwsy|<* zx|HUAPBhRfUl*&SF9vraYf)4Zd2ep7dX;@Syy_U=_0)$O*C!n-{1qRe;F2^b*fZNN zd8{nXoQP$#l`5>)lh7|YA}!9e>rGqnI=c*HVOUh(Av_li%zQ3l_c}|h_8eUqFcGCY zhiTE1Vg@~)8!u7SxG)=kV=|b0Vrz|)9@bdB}0;k-LS4^%4arW_}+xWS;TRjOs&GgG`jab(L?4Bax za5|D{_6kAzBP+Vv-d&%X8&V@viXx>y5Io=gg!OBo@U?F`GX>c=5Bg&Ej4B9>P*=Mi z`2SiOc%r{R^$Ng9lc{IK6+`iMC>gB1J@B=w8s%Hn_s_u) z!{XU@aT8*cXg5W@pCWFPonL=XqU0N9<060|(#<q!YfrJmz&Z;lWE0Ltgbr)$&6 z+`!SqSjpMZ!q)5$BRW%CCU$igu>*YAkKmvldOZ5D?|vopOrH#oJV=K-bZ7(AQA55U zr5{y-l7w~lC*=p>B7oPG-Q@`TTjFa%yV|-8+p>)0^#rk`v75`!acqNERd?jer zsklBF=;@mq0-vFhdv8$m`h)Gn>dSEV~>QZ~wjS9J0ebh3W~{;I5pS#HAm z%QtN({b4{*##d(WeQIo#NJDkW>p?MrRw=oxJ<{WD(V|A3cI-UW7RkCLt*nr$jw80@ zI_Nz0huy{+PL3=8`m0-EBu};p6;?UXa|YFJMK5Q+hf5d5cNM;`WEoW=&RJI6hKME_ z{B&4Vk*gXkvdXu}*)euuIiB9zypKv3>~A8Sy>C@FwY|vZAxuA~A~(F-TjIkm+D=JQ z*SQ{|+4L+RK!x^(){AuRtL`eiAgyTcdi!l1zI{JZRH2ecv?zL9Q%UaikEc4Ini6wB zOs2ZZDT{>;<>rIuG3>^158Z_yGpq@n6P3tTmdJ-n#wUuIhw=(3h%I;`s)`i(HcD!@ zJ3)kZ-Vlyw*P?||h6M_<#&bC1n-OC4>ZGEYG4;feKDmvy^cL48tE^FE$<-V@lt)_e zt7Hq(E`f?p^tzt$W9{|f;NZk2i4--4eQ1P86+wo_^z~_%NUIm{n)O{Kv1`bK27&#N zSvOg!g5n32ipT>LKbB)K{(UWM0Si_2BFn1x#%sKEL(~|Q-Q}=~g&_gPQbd27yGRn! zV<_5ve^hKcPMKqTAA}@$P(>&QVx&<-2gRy)dgSN1kVHBGN53XN(FW?J`Z#(O*<2u7 zW~s(^cdy08I`^9}0S!2}!yjO&ADV4Ih(DZiT=Eg>y~h>wAJ!f5Mn!tE~%j=mDeI=>tmf_cc6OydR!gO&UX8}gX5gb52phw1KFzIw+vuPBA=+$d@ku)&$KuZ0reUI1vKVbgPH z44W}TNnVog1b`d7u>|dk*I~(y`SpnE=9+`z#DLEM)GnlA6*V~HeFGZyYxU#10Gf$F-;AJfy=^m9cad=S@!8Hpa#aVQ zz;$5+QIO`(D&$8H@Hrnw7OiTxW2_QlPwLRa2PlPaSm;0?6>ANRg?J!+#oq&>D~f+I z{NjG-d)9PPy*{<^RShyV%aXN*T&PgvZGk`Pn**t2;~?vrC$Qh%Ngm7n;?9<%=HFbY zeDI1*U|8aV?91yp_y~sn5oZ(5mj#KpEF03G9(;*juk!<+Aj@32H)6976ymR)%Oc;kq zcu^l{eh{v5Z6lKHPJ%;wgE;&Y#Wg$LdWrYBxVk)*WP|L=j4#1REPGDk3Bhz2(9=HX zq4bfJ{3o6z56R&ZmQ2_KVIAx0SyFqmMHDF@n-}n*0>|Xns}R{6gF!9UQdZMO0s_Iv zM6dBOh~QmrSY(VL7#8`Th}uCI!5jsvP*Yy)1|bsoS|*9xwf71H8wTWU))~jBwIPzl zf(^F~sQ5hq)HM*+;7IT~ZeifhfOy`y1)s68)ea|e}Uy(>E7#)T~%y&c@ZAjt~49%Qk1@<%E(Lg4=R zns6aE@jRQH>T0vbbH59gyPX|<(9Z#@3|9K%-Ym*-ZMw=dE;mAc$)u`}|GcVOhLQS8 z?42>bqF^NVpo?S8yZi}XrL4ibE!o`NDwg)>nOcm9r>K)fdXBIm!bSHC{&YWtaCrIl}}nhKPx-314n4b7f$1F(? z@^Dsd(m$C(OeB!iSxEPWfGCyvAnPAzFArft*EGR+`0i0;p!iVku+Q4zfa7J;n{qE3 z%PGhj14k<3-)=o088!MlBt;@Rs_#VuiuuO~PNXSL<^v6Mp3KT?aUdMzZtA7%%8(gw z_948K5J@{LwSO{+($0!>>&sk3j{{DVaY7yG>}5*rwQgr|Iv%a({}ePg{>i6*A2TC* z4$sG+XJ#6aQ28ng+C~mWIsj=-YtD2eslaU;31F#^-@|+b7#d7u`IMGDOKir4RI@9r zmGpq`&C^BTXW6iBd90D@Zdag)K^X{%2>jsKWm7NBQBe?W3!94H3p#vBrMb~8RpbFX z$R2V8iz}l3CG1h+kY?WC!H;TN|E?mXy8+8XfS_~H`*%vnq=`p!iqgQU< zq9TV~M-&(r_MHnsABAjhQiEKn8RY%3S4BX?L%28!s*&LO;dx@XIBSisCC}^P0mWVt z+e#)w(|ZjnqF}NZ2dzjH8q;GW1d{qL4W@TNw#<*R^x?c$BE>f3{$g(+oa$V6vVitS z?(7W{@T*^#*km6q$zb(hZ5|?SNzBT4yO`&ia+yvM$#P%pE-amE#xsEyC z_pALHh?3^f7okto1*2MoE0v_A<;qt5nF$K~^}q^rl{IU?A5r_@=N0D?z+v#Fzs10l z=YU~)CaB>CcY;HmD1T<^dxmuJj4}hswJ#W@vmU7V+C1obrv;%O>0&iTp zvtViO6ZIK@l3Xk%he8f@!d~Nolr2dVVWn5K3|D8`SK`ed4F-WN6sV8F0o#MR%kI0m>=_0Fb5!o z0b_KmOc-4`JIxLB@e=E#M{UReCW%?aO}kSy3RijfHk})j%d$aSb*$^Wu#1~t3(@M^ zsk?#V`N*rwWEcA!H5n+BQ@ZjQ(n{S6Na2IBfs;yW&$?{dj%%$E~Qs8ZH znB~TI+7XMk&8=5&Cz)|A*lUAZEJ(ZQkbp|U&<;e`q{&3Ofpx$n6cHQ%(DE|*Hm%SG zRiD6cqCINd0oIDSRIq3-#_=t2aLz`n@|-QG#>qrB979kXkNP=cruWgTIBw+_7oS0J z9zjgujzdQ=pM+_$MsTIuegT*3?rcJQA9iisyE7{fCijlRU63_wWZ8k|M>*=qIhE5I z77% z0V3l#V@AbOF{ZQm9mzEOYDq(UkFOp8v*c(snQO;rc+R2`lx**=X=|KUS3UIJ#xub8 zh~L1AF5u(`RM|?QQbeN+&;-9^PAxylUAa6B`wi5U%s^#lYbk+L|j zJvC4a7@~*)z-%6FBYICt(slD0_7db}BZk9Z%_rN(4}rSzCOvDtHqW_+SII+ANi)LU z!FpRi+30>S#j+CMfrWV5tJftT{S~|lv54+^LbFOT6 z;k=tr$!t>a7Y+B%UK-B!gn*K39my^-cLc0SNGoqxaI{*s7?a2GWG;VdzXxA*2oIomBqAYe58x{C< z6LoOkict!cLLyUv6TW71{^mf;UgWsarw?G>;sRs;c=?=HL8v8|}@am1jDS-Y7t zs32@ucM_wV&OJS3f+4-vTe|W!iP9v#7}q%mdwOLEL&s&k|ICGizYFeM`OfJG)t%3I5^F+kqF6rskN zr;+wS!~ypp;6lf+8rptC1jDQnm+uy50%w7}YzE!-#)o&(v zJxvj7Fm^Y!QM=8T?8Juiz1!zY9tZ6Cx(ZP?)s=Nsq2))~U2U{BsFtAjXc{%w@_t3@ z+?1YJSg8A@bX^H_v z)@RA>%rCF+MQKq1#YM}cjub(V4u9Y#qt?I$r)1~xGO2AXJ1yp2IcpvKasZx~zIEn` zBK{tWVDL*crJxp~vN3OHB}B^31N<~#M{26-0e|bVf@pFysOsVCsLj`W`7D)#GlI!p zr)ME%Ye{dkRt1E`I@$!GwlNXe*4X8Uqp-Q|qr<6L3q$*iV<_vjjr20HSZPO@uDm$8 z++XvM7?%RyaVOLUJb_NP=FwZ>3fYu(1uIw6{%rzI(bM5;FX{ zi)vq(pQEw)R&7o=@}&#)0{a)cDp!835%oO8UeT)ASA#GD9}G_^m}X-Zu*aMm`8L7v z{=7(oFN2ie>1Tt=57oZvR=}~Z;l^FV1ja4Gn=o>yN#&b)Kz`Lqi>|P7TjJ!-L#xrp zE_%|5K1W}8d9h2w&3pu`rC@rOc5DqD`A`Nl7xLn+Kqqci#usQN{7S{Xl%?v(-7@LjaVatx=br86{L! z@F@+(4%6j$D7$oJTtJQ$m4E`<{j#p&wkY^!d^yR0@r5=4V>_@z^d##$2W+$oOQe(e zo^a;+zSvmJi+0W^h&3i1AxK8#? zy)S`70ymqF*~GPA!e_+k20^z`^W!!6m=W719*L-Pkj5i=>P1q4HHo=r8Ku{0RilHL zS&N-zo*qs^za}FtthxDaP00_b%yjVGCO*2xjIO^xBDjFs z@c-JdRNSicZO7z?Z^7ibNPpXAo{oR2d;T>gy04&!D>GJ5msodGuqxs^-#+6WT*reX z(Qy!+4b2V@=cVJsyXQ9X6L6}pt!VuW&HWCo3ixtgri!Aa*Z&HgMLgGvyCd}+x5CTA zOz`2v_XvBsS#-!-B0X75mT>8#3$K2n^X1~1_|os=T@FN+m>4U_>6;ivm!H#3#f10k zN7gnV*^TZy{(tiM>t>%*Ie!Kw0?PldK7XeFIU!pm`16De;em0Glci>-;`{pVBeIpo zMUY(#P-&>W!tWOw0ZX!l;>isu6Z+HM%>2wWIg^@s1=X_Oio01P7?EJvi>w<#->(|+ zCKw&FSxJ?O5kWg4!g5sc`Dx?^&$VfT#RSZ?1FS9{I0<7G1({RRI?VM;m{ghJyIiH# zHlS2R$t%TEikb7%tuK?~RtaI0R1%`l``|TM-l1v)8R4JWG|zR!=DZ(nu?AAVgNdbLNY@C9iffe$^ZtduDZ=fMn z<|q|ZRR(>RzG0PNmR22G`odqt(bC2V1>3@Ciq57>C=Ufgp0t(6iU90{G9_3BGYoI>^5pADNFq-k9x!j^VbTnJIBp}rPG(MU6YUI0osx)R{3B9o`z zG%#Zw8gOHu0OZGow4uiPKY9PPwQSc!5!xg3fQ84{Erx;Gb+7RPi3s#!3?OA4Uv5va z#>!5>m;AuW+srIE26pVVd_6yYot^DoUte9n-rijJ@x8rXPxE+teq3F@>Ac^0ct76S z&2_c=zTb3>t-kzPeTb!pFX3MaJ1kj5dT!{~W!`&k(|)`2_Vj$cd%b;p=H96w#)^I{ zCf1B@J_?5;R>hq$>Mte^_3AHR=$f;Oo#RgpdAu7BF6{N;6wOyOO5_coV+=Uw0@SRs zQ{3hYNGFpwisB96s{tgr=Tq)`=rT6L0T0+0s$N5K-yPATG#Mxg#KXfS5gW~3y`?trapt& z^#tWEJJP9~o@DYNBftG9#6w|d}w=mBsba>Y(lxpj3@<1Vj9AMJu?W6a%7Hj0>8bq$eyUj z$=4c*?D*q_L`SgYML}6AmL_tMN(dyA#Bx|9*32T|Sd*+u6P76@R7kl>CWyV(k6>7S z_Pvw>C4uWjm2dr>Bey9YsnOHccA+erssZ?(WGRZ|to=o&`cihu7^W5koZ3Q*gyc># z!DU2O;yPTa5i^yhhY$1%t%RWBRDy64X#_A=M&3lT@o%bhkP^I7ND3(=a7PN_&3lWD zjY2MLNb~K`E}wOS6Fz?fzojt7X@td9l}{ARVyW&E90|Zh`&(gV-d?xkARsRkWEgJ~ zJN!O)f%XO|Q=C41xaTGp6Wwws9c5`tg3D|!31n%)9%8CBGo40YP)X!jLL3W)!~!We z=?Jme6r0l{O%EXG%Oj*jL4vW4qjCa|BajUKwD|_F13nEi^;9qwWnNq2v48Ya zB;wy9sWR;*=o}>kenUAaj39+1CI4dphMSGiTMKi^LbxmpB?LzzK1a$Eh3RmbjwkGo zc_RCBo-&2ng8Q;bmy(Rnf)W!*a6SzOA!6Y_L_B5sE#hI_ZxN|KMKt>qk#5;U z`*VI!tW$#vH6&{3IH@J@97gzd6G)dz2ud5`2`o${h(;6o0kcXZb2!6Nw)_Kq;6e)1 z^*j;xQ+08s3*sD>_?*?hOti_9PtcfAaMooy2*e5w8oW#!fU;6{%Vm8Qwp9O7coH`I zn5uYKGRtLQ!1>@`n+bTw_wtbLR0^VXuWY$ST6@WfqHu__Vm6sa$`M!iyC0EHmRcwz z@HoTnF~ev-XJXZW&_dx8hjgDf#A%%3u>Or0I4KFqM0KTz>+qp_$XH&f>Xw2T&lcPw z7zG8lY&fAoN~!9uZ-JWd9FmIb5b8>I!~m!9!|wYCo<+H2kkW=GiZUr=y?7DPT5x$< zP?ibZBnxCejU9+SD?RQbJpZmFz5~BNyTlz`PJU7^vkbAg9D zd@pV+TO{O8g*s0HDDf4EtygkMY_dpb&_T-n(zzBFJrRr4x^$Vs0RL)@aJ$6}vN8Lv zXmGM}`v+)XR$~a^ZYC**y38skqeKG&Vnx44KWEtZaXkn)$>|&=S(z$P;8O^ifmo)| zpo>(soS?i^W?JD&1cd1yJT{+WwEpSn0}SQ`jX+?uMi)aQH@Hd=CqLF6yr^imm^?Qq%X4dI z{@Kk)))pHx;w7Va#wkV?xi2zk=6)pIs8)`LlcLo_L{5gdeaPjxWY9b=vtAdUbsNlt znopdBbc`$9U@Fz*6G2H-ctsc820vR|OodjD5jk1no+*`U{}7(C5k(Jld+T+S#r&Y@ zc{dW3x8h_hGYdeHuKJ4IyYX2J{5jvys{(%(4mJ>;)(&TCm0Ye-m3q(t2b|q-5y8xPtY8IXG8Sul#FGol-xa0=e1?UcgPAp#q|0VvnkVQ(DxH_4WJF` z`m@78q-mg$pRyZuIhl6_exo5MvlMRaNHmy;KSMW2{p{)RcTXAuNN!Y>>WN;#Y{5Ec zm@ipEFR1gzfD&sJ^@cLG$SVl08pfw?aA$vvszcXro|OLJsb-V2Uhi{e;#eqMh%4rO zhJ6o%-?B-Y#}nINq`tn*u*Uc3LTubYn=l0&{|j66pKQH^vIX;^N&O*L0myH;#{ZH_>QA{W4jzmuM%IP? zoD{l$Op2|MX3c@%1k~@+PsY$+x}4(1ev0nu7D4w+zFZ|ZOn)NNX7vlBMP81bYT(lg zWAC}6DULHFuClz7lE7>}NMtqA5h1t^6ZjGm&KmR!K$OJVOg+;0#Slc>!{?~}(fh;a zM3-5Fd^?kXMCs!5Y8}SWM}GmJPJPgt&prarhVI!AW`b)ChNCKN$#hZlQUnrFheR3e3{ALV9`_R+Ac0S_mEcRn4l2=V7DM)2re5JlJzYz0m7qWR7oPn@Ra!Ac#k+ z$g9vxbo{Oob=-5hB6 zny~_#1>u0BtE9I0mC33kCaZ>!6kK@A`+rzWDvG=UF z;&r16=VA}IvSH3~*5o*9GK0?yi|}F6L*uR*!A8-c4>^O4`y3yP6a$WLBA!|3$99b$ zh2w*YwleBb`nD91M4Zv*`i(-?vP(QhIb?a0LyG(v_V!H+wtj`q(~16QMqf6Ej@I0@ zwn50s3+yVc_&A>}b_B$R@*oe67t}{h6`=yQr6*X%VTQ}u+T7!LYtKfDabg9*^Zil$}(YV$kk+;la?A-rn?yC ztSITbK4Y!_JuVHCCUeh7_t zWi&e3hBgAb1O)&apoZBowyZ|VU?m(a_}Q)4HVEN+kMol2O}3DvVAOtxuv3-$)%aa+*i;Qh zKE+-%4a|}{i}g*#hX$DkgAJOdtcJSjmkr=+=j1~9zGeCp@AKprt5$U7K=#c&$oDgs z*GAa~2>U5e5}mBNYc5asade8PzQ;lMAzzk>K1fVCaTX7&eC;(mAU9wKs9U+6q<%M& z7_fe30xKsy--Of8WVC-r<8CU;efcLEjX$x9@Xu&8u($s&82<-~005bZJ+`Y1FrgQ~ z_i&--U)N13LIo5Q>Zv`|YXBs?XqD4rLPirrXGCjD@NEjp*6-@EMc&EyZ&LSu<~eA9 zr&(WGIdoD8gKY%QKEG-5oS#p2M$yFI7rFNIY2pw@P~Y7}t?7sR8xxwW^_Dc0M(j{c zC6?vQSoD}oB~$4aM8q~v38`oRH}%xRx{uOF?l6S`2hiv7M3saZo;IHx`DLW^+du1u`9Z-v-qUKNTTA>RHI2GjAXVJ2lxg2-lGgK7rHx zg=5zo91Z?01yO?oEzJITf~9eD-Vwo`0sS6Ulz?tr!7asosmih-o{vyZb_6^$-mBl? z9+VX?N9NL+LgtIyFhrMD)O1D;AL3aDP3gzUk^l+fF!De))3 z0fA^gL-hXhOI!Y$(m((E53g{Mm-<%%|N170e8N&a+ zXV?Fo&fl}D|Dr?)`ENPae{cNvWYoVJlYd4=e=_m+)YQKd_*ntOE$inPy|m{~VI=@!XgYUkth*)2x>o-pC5XQ-OyJYKuN34@G=X6s-$ycF z+&Y_^`LeIAbjw=>CdSJMhtCcmfazKM><@fxw|ms<6$dRWH~;1Durw$K2K@jKGz3P7 zp<7VLD7cFCiu2Qq=7#-d4r=;M3ywR&_(G1oJcoueDL8^#LC%nHGh;1 zu(S z!Sl?nb<6e0cs6Y)axX&gaz#oNfeg$xUF=jHkosyP0graBzR)2?m7p`PN1q4^{U|Cdxdckx((o#2*fW%^q7H!P)$O$oHGVk3|Ziktbh>g=$U z@^&~ji%YFlAG1TBF-G8wyqF`PPS+$E9Vd$zBB&iaVhF5;|NuExtely zS6Ke-aT26Rrq{s^K>lnapWWth)7G_t#;j_u7pz1{h=KssX3T+XmYmZJVDQu$E?B4-WlYdlCAzT!JM1Up? z*<8-2pipPhp|m*@6kO99br=dpg%e8a+1&v?tJIsjJv0un8RFG7r0txf?+e3fnb3D5$Mp-U5d_!R8`q@B!b zx=Tr`ck`7rZWLbS@bJ3L=CFz07Rb4U+O?{W3eD0z56{b%4*gg=SM;3bW?ova5lGGHK z&57Li==^{i`H)ppAWRT!z1y#(7j&b|m=yo6WX4UB)1QwF_t~m|vHc{@@xz1>cCU~0 zS_8iAAWSxk5FLSBYH|GF^UUKM=_!A~ya?Z6LrWq_mC!xs9{Hknc3Yde@^S_I;&h{X z7vnP@u?w~dUcl5Xq2PugB;Vdfp#~^X{zs8D5yY<+Wtw-ow=K5cIaU#p8Ih0%QrvOtn4*@^g|Q(p>*-hWY(3 zK>qjed0tA|X8KR~O4$Ed9sHO0oy|>bOz8isXZ%m_ywaGq#b!t7K|kX{@RFlhPc+0# z0G3KUU~@2BlZ?cv(6LNIbZaM|07MPeLL`;0BLRF?$0}^hC7h{Ri>d*1LUGVfT9?%HJ zoE4`|N5ItH^#1LxbQdBeA%%D`a|CV;6t3_#G7$-_i#|5VO@i5hZ5OW(6ho{P2Eqs2 zPOh#}rHV;GS)}2|lnuDL-j5Fjd1f8gcarRy++$Qyqz{(HF<%&3H>jI0|BL8I#3h|C zG^Gi67xAW$$1M+Ns7~cR4@Gr?TxG4R(~mt&R+@T6dwrQ9S6{n^5Tgn!hX`*fUD>Vq zIPntQ1IW-Ee(BnoW9uS13t*2CSgM-JG_7gZy^*^>6L7UEvXLX%t>|=5`e6ml#J+j$ z+O08W7=ac4t*O;ltA^EFtpaYxkEW;Bx4NN~BRklS9Y4&DcGpckEjm4nEk9t+rpa#= z_TmZpjA=Z!9*f=sclRs_m{&xAWjbG?0pn4cI;ogDS55`nw9=b$AE`%e9;%5H` z0mTZ;J!o$MyAx$1gmfBuTz*cwIS}3n29vSu_2T`tHkVK2-@)nocJ;O|HyVeB%l9?E z;K+8fM?+`l{eErc=ljk0ad^&7kMFlXI?432iqHFgd^-EhKbGGvOyA@Eu-QmX-}CYG zdW+|^rv(H*amOnYA>2BKxN%B(W(spCDGPSs&Gi9UIs=ytU;}?%BZ;$D4Qa}&oz*td zNuBTh=D#}nimL&S#HhM7_%53Gr%z`_BMZ6~(AHd+6#8{k zw@FCpZgQxMxox9<`bKBzWUB0$jng?H9wFT$_!jvj{r(Rgb@qq&i^IeOSZ{>N0rG=B z(Ew8oHLCj`vgjgP;o_(3c3S@3#6>&(ay8x7+XjgXqL4yj{OPRpM<&OtxId7xPPJ1k zQWIAT^wiy3?>RP!5iX;^XFEGSYi_`P-#a>K(q=VnPC?N! zk396OJC2+!lDLbbamyiz*-OroNO8~<;L&7&?MmC$=aR|qnkjDJ=+M@#1OhAL$|d2D zvW4PwSc&y$pcm?eInx+6GfbGh6Oo&yIV1|E*^&%&W?@?J#H(CAjMG*p8uz24Gf<3} z{bVt#Er85ST3nB>(^aaKrKV5*s&wI}|y#GUd~fLasx1EySA zA;kD$qwI^Vu^P7*7gTX|wHV$~z~EPqd{;+wh!++!?;A115BhW|59CEmvF9?N3iS1_ zWU;Y%oS>Z%SxBL;gPEx@N+oZjX#FEnmSMe57H7tkPEK8o2=DwjVVlg=OGS1}Fa9q* z{+(5xKZVpruM*h+CfquLigxa40ishLD1bVKg!KZVYnQ(EHxIZ}cZU@KeH}mPB?$ZI zo#vDpEM}GVvCJD0m*lb8`W~&LzEse$pL?{;XD^zS1{`Lq-Hl)}nlCN*0XEA4E=4LPpF?y`3;PA*VGf*mC z?Yd(qD2(wShoSiO%;tcK#*i7xwV|*KlW**~t>5;N#_&3Lx)m!ELl9=7;5XN#)oh}O zX(pVAt|<4(QmTlsgkS8jH5VH1Vw6R82Aqo6ilq1X1e>UIk%)^drM0+1X)Fsj;vP!p zS<^)SHGKaeC??{9ljri2g<5(~fRZm85vqDAbD~nESRYf|<=0kAC8a)_wKrmSm2ijv zN!Udjhu5KZPxdO?!LYcY`sjo4;gFJ~bPj@Ahsrs?1Yjjq_eFfD9GgaC;8r)0c!cFa zfWyM?)KC6 zAL?%gHyxM#%M-mXp3B*;W&&AO5_*Kfg)`lo%KCLvyfXJ!qrvQm0Cd0frf75tc?6w| zb@&4!i493clNLNz2iZ5=cX`FI4xuI!XbSOIWs^6f%n36Q$P#MeJxAiC_CX=111X|q zg8JJx&#|rVEP79Sp@Ew;Qp- z%9lyW*8RF9<+>uudvaYsxru!o3FA^%Sgc}=-JbPT0Pqu~M(T~iTonVB!2-L5dRMUp zu%KH>SMRCOEpI-Gi2?Ro55V_2;jEJAndh1Y*c8W4g<-Kw?sc7y!pCQ#MXG?F9Qn~) zcSa_93O3__Z<;()PSawQsV0M?^>`5uqNCxKcQMp*oe87&)&U{xa-GeskYe}GruPk3 z>-~t+!?h)D6|rCHXeEAXj*~J#$1NT4b%u^j&%W#0>|BANmu6z><>#YmB>iQa^Xvu{ zua=J?yy7MTWlt4fy4F(M6lUL27+4MOn^?6WfN$pq@s9OlpN4y72y@>2T*Tn=2;}MI zvT4$&?q0Q@v@X)`0j>c)FN55V_qx5iO*!E@;c#aZ-7s=NnB66KUD?_p!Go<3J{8ZS zw;5hSNMpEZK~k7+UBpSHO?nve)jswvcJAfp_vElYd|IYTGBcwiD-+8ykOaXG5u}^( zKzA2aWADEO^?wI=Yp>1s_8;2+$t^Md=c3BV+{DD$iT=M%%>Q9IJ4qvMlK>@Tm-?BH zV5gfr!DtxMMCG*l;zRn*B^qc1v_ZP^=T$e`M07%^D8V|Y|7WJ%KAk%!nFO3c^{k~> z0z(Oib~VMkmGt|^2KOjgeRLyIVp~u`uWzC3d=x&Zh>dF#fFm$?CAG<+hPrU<0Su+F z;3j`KLlb)#rzg|KmUBYgQlZOzr)8rqW~f7M+~2{G$-TtgOfAFrOI8BXwrRN; zIsqq#XE%*6b_DT|eZl7&-XKxHc#q%@`x*lCc;x}3~ z>fVtpF6iAG4Lr)40ea+}1HQqfMf0>$C6nY`?@x|0klUJ?2+R^`4(YHVf6;mI>?}N> z*k`GnuT^!A<4G$OZlN3gY|IMR?>_Uyh zwchiJPca{Mg8>?v<_}7W)!o(Jd_}&g*Lly`Avwb4$o?6E)ayFs-!xM7*a8t|gA0?k z)UhFQ1t56*4%Mrr)=_9C_@sFPyb_3Ye;2F$h~&F&7fl@(`f_FvwT>`-uYlq~gLE^C zY|`IR;qDT@e-ilp{jV-LK?iPt03om zn9M5px1q-PA`Mrn6d74O-mn~%F<*x9h+7OYWkY4sHT~(fqF~zf^J~8|siycYY0}p- z1iz{M_}aTCae!X!yF%#*mhZpR{9g~+Kq)RQ_bfvrIXgwIIwm1QU9ZA4$E>DEF(Ezc zUoZ6l-B(yD2_^APO8VZ;pet%=C~1ipZdO$spPHu!ba=M8ewKEMZh~%BT$;M}pQ6)$ zhvabQU5DgfAsFtT#r^+4@?R^k;-qogO$HQ^SI`f5kkIlTCoDK1$^4Tllp89ty?$DrMv~Dc zHse^!g0k@XXM<0NVdJvr%@u$&0)keKnp&GCJ$CM}i5USG`NJua7UML&7b$jsV5_d! z$4BA<^^c_fVM1d3ffxFhs^6gCO;pe-4gnUn@oaagkl8Hr=yi`|@lxj0fs{)ar4aFD zPKYvr+e^1uvaztg?bTp_W8JEYsOzv%n$NF@1ax(xd;%{13ZG{;H1DHg_ASI2`&TEO z;hxnxgnADZwR={PqpPlvn#Pyh+Bu-z`P`a#BKt>Tsa-@1~04I~IEKbP!U9X!0PGPQ>q6ar`In5``Z@yR` z?Bwq|rKDC7D7OTuvi0Ixt>r7`(BBpgt^w&b)rpBgAed1+QR<+var;!uI2foV?@mnH2kHl0hFei6>`bvsA!mD7 z5lylf6;=>>4X#gwF2Wv+G2JJJTZL!4p735zq4oBGjvoxC9AcRcEUEc8EFq|C=z83+ zB{(5NR(Wr@wS{IdJU2tau9Gzk*Z{d+Zv+3k9k(3}HUV#~bJz`gD52zlQzkpq`rfZb{(k~#2@vcY7e9fVm z0M}pPcN6(U%y3@aP=A6Mae8Q7m4YGdHFkIP*65wekBug9LZ90Mr0Kj7Tk# zBLH=H_}uwKb!D#pk~5ilR(vTGPq&i6*7qxKm#R^rRnyQS3^6R8eJ>XwMwxbN)Xx>- zKH1H~-(*VOF}6PhFhsfq=Nr|VN%T-yDOIN_K)HxR>11&;OrXk)tz)tAQFPvfuo7BlCz_Qt=WI2 z(NjK?wm51n$6WzGVg6!BeZ?{hCY^NJE&>_JRSm+>g~ouH+8`MMrfAH>>zE0J!wT>> z>`&$XKv+LuaomS_Piaq@UU_EOPDDzs&m!<&d(?+RoS#>x8&-aww|w;I%VDP5(`wgx zyj*L)2aSI%=+zcIyuQ3DZ}@GvX0dx3v}56!dZ9c`&Lo9?<@dE516v^$k? zdA{51$XwAG1}A}EmfPTy<-Iz6s4bP_-Em%>uIi8EtJ<*KsH*g=ZyTYW-7KwsxID1q zvFr5Rv1_AVo@_lmMg7gcu+92>U(Obkf7?9Ep$gaDr9ty?S*EzRXPfAeZ#QC`@ z)}5_S5A(~;%ga@<@!|Ze)1Mx@?tT6Jf{o0mhF_yE$=W>LTM+`0R8 zA@o|teaYL5bxUlluvNYO{&L-^@_Ik?baL6&UdlRHn3g#7eu)dE_Nn3e-oS6RCbR{7 z?H#7dGI3dU{&s0Juem0E5oJ4^+@JlK{r%cSbv>-n*rVCFI3J{s0{!6{w(1_mwXOV= zS!P{DvFSqYxj9)wvXwfi&1Ja;(+UV_UcH>At#Nhvw|Ah|T`bvG=)yOx_Lz#_tFEI2 z^A|OwL`&xo#MTU->m3ho`!L~)mDlB}`zP6p-lyUsY}pag#(`L^vD5#EmD#W3B+We( z*`xOG1C5ynOm7e@G#j`da|^p(+|~4!o}4w~&|jMu z<&fHy??F5FkLQjIy?gOPpDMg=F5b<`T-y!ono5sou8wkcbgE}lCBK30?rd5--@#DY zH>gJwQoomjH)%PXRUuwryKU_qeYLD+-Cj`Ro`EOd7f$bHWXtyw= zoGsx&^ooOX<(}QU(gn!&pBt3QK+nzQ3-8w3%A*hE*Lk_>k#3LA%F2Rwg$O!5V9(iG z+gv}f8=@v*roh0AgTjAd5ppxQ@pqoy#3H+oV+D0b5QdpYUTN-BW!ip0qsI4d9I z*!#vG46HA%NkghmGP1^%3qh@!XL}ywnltspGo0qfDz@mXus2;f%g|e~4{-RUrb*a1 zwMx9%skwQfz`eG%wLnpvFXs`%M`c2Cua8)+`yQ)uvFvI#JX(SdhV4skk0<+ig}oF* zT_3H5%c(A264#O;qPLK)`oMN~9sRI5)fTw;KS}74Hporjze^F|Q`PA)XL|-IE`BZA z7lYqJ{12?r_aX2rwd@Cpo)S##tX;(`r~O(3sG1SK1$YSCA&=7`>Ol1g_62t#YYaWr zF0z%Ms5q*JSRSoFt#BK}oFRRvm(io;qTXV0?Cl=1U~#Sv_HOnqz-cXAYc?}hb$^%C zLP}ZO4qwA>6+Aij#)RTSsWzwy&o~mMxwzY!BVUz+u#qjJhZyB&p&89mJSEPj3ulUz z$Zz;7WliV1$kS%8m($K6a|wVvSDc?4%5W~``-%d^4{cqZ)M`~BG|ncZ4N_zLF1w~{ z+C}vF_lw`Z*}r<)g#K#0nrECqXI^@Y>M6dqc{)Eld>gr7v%~*dZ*+9`AwPrhWwx?M z$*}(duomQn%&mQ`nFkoXvNq-Xc~X(G%WHv;-2;Q}6>=7{6JY&1Y^eEg$xZrx%`$Xl!wCmXC}HI;ipov#M8M;z3K+7ZlOpkO>*Om zQ917BwUYevMqdR?G7RmDjXSf{?`no1es+)J=AKBWxBZ}EQzl&|_@kONCp(i0`V*lyi?i z_&y^ScKKwGzUvewI7nuNB8`ttlK6*G5y%lg`#5MkZE*b2SP~pTyjs z5~jcKovHKKrCR4!%+Bcz zG0QR27+cFSvUZYgW9n+#C<9t2j+P-_F4O5p)s1H{+)~xUg?QEUqu@bs0N<964#kQq z@jOay4PODaVUvhH!?5gRZcd9*)$KmIJJzZ?sZ;FKqx2TmaUl@<$3A;0HJ3H=^odicuR^GQGHXfn*N;PC{C1^Z zj>OvNY&ib@jG|l)Tn`Dqe&Wr3zj)|b_A!b>){gka?Z{Dv0g$(=;t$>pk&>h;sa}81 zWi)d|Uf#WIDJUV+4y;m>6-c^x$Q~52T@*Qk39*CjE57CCK=*T8P)|E&f=skp5SeD|TiF)Bh5Ujq>1Szf!Qcqam8F7&cPax!=QM+KU z#IjuNj3W4b#%xi)JLtpUcbzN`3jm&;Y&Qv}WGm&aaUe!TM!4DX=2cx++bT?i7zAhm zC5Y48eq}*;liyd#T0F@WmP2^&I5w3-WDQFJS2(e|z+wtx?_?go56>4=1lsKqG@Xkn zCr@oGfh3)Lop?KH^7*}b9Bj_mSKvb1EV9L_`7#Jj`x5xz1r(Pk*@A!LfKR#nw4jSb_N6dRnaXa~w@l36O2 z*3O~Ga9A)jQJSOA>1R)0ml8VaL7~q!$6UT~_s{Gv^bDm|^&E zGHT_TGojsqKa2Yldwt>CrV;Xy3S$6SnkP_^krrNWoC4y(94LmDORM6MZ&6QMU1h`W zkoQkKRI7J^@@$f>&hffPde%eer;M?k2ZNDkrj!vk^X%f@!-r9r+eAm2d{wCiF{>Ds zp*pj>(lf&X(2hvb+aGGy_UEj{X$y@U2lhLz_UmvxYjWOf5!nOGND<{}A^EXvA*sfw z$)BP*Q1faB5pbyRuYEd{p26ZO8mD$kvwy@b8Fg=%-vGJ{p1+ol3RiHJJDAvE>j|Ik z_6j@+mukv|s($7fSQiT@ROpMDMxWNhad3>Qz-HFz1Y5DG$K8nnXygTbNY|COg^=r# z&f#7uY5VgVno5I28tsY@)5SZrZFUY8(v7f6%<*2j}7-YdfNZsjj(c9$W;mUdxAi{?@vQ`ouBT6H+ zGZh{vDbNQ?W9XQsZ`@P%1tU*)eSS+n7;3*^le~jCxfC)y-op+{hp*>Ziy_l#$=9FU zSVbm5`(gAlcK!K5A>)4&5!jwId>pN8+*P#g?v zfmAB622H_3AuHpa#B5djGOi2};2!C&E50E@Lqvrb2Tuob%{>yw=aiqr=Zq~A6$R5^ z__I5p8*;qZIt{?#;Es;?{eVXp{>t{-i2%QKT)wF|juH z_5-HQ4fY?#lRABRZ?o|Cu#Q;-lbYT$htWY?G^?+}q5c+45dwFzzV=IYnE*!0UN#)o z%oE(Q5&>mQVB4Gh)hoE5{A__UqUx-5zO7_v4IAFbL{;?Y+nCd{DSiHc@~|xJ_VkXB z>+UKzH}y6tEcT=JS`e$SA%d7nD@@0Bn1PCBv|>`LBJoz=S7n$5lQ02+(+^eNFt3yI z6a5JY<9ykpk-VI~a2*z8F;Fl7oHZ`8f!#J+D*arx-c`PRJ7eJc^YKQ5cWE3O4F*^( z%JLpji=BMuuilw91kIoE8H< z>Myht$-$@;pp;Brng9&|HM3*e*$jN&iXv*&_{a0)3KL(6n@Va&hLli!Nn`L zUtUooe-AB3Rna#Mf)#ctt@uEnM{*H}^gwZj=mYW`n+6Hm>;y%9jy>- z*Z^M#mIxh}6wgy>f=dS#CBm#^I;TdhgloOy?&kf@2>Fs3u$@)Gct;F~o-n#ZPWJn* zYJ7Iigr4L!Kp+Crd7qJYqcaip*KoN<6)5hb`8V2Kq3IPD{OrbYU@xS61lUCGTMvoX z5HU!JwcoEJoS&)o0e6MhtD|l z%XekIaRM_obo>5mw-)y)y%M~tA%p%Oru|#ThD~jYBn2@`iln{!-S1U+~GZ?)6%yQ2A7ITEf~vv`IFb56>O| zZ^*rTKJ(+A8Ljru>4SZA5Vv3`pzb~(jste8U;<&-D}M8Zy>M7RC*fD`9Ci`l#|ln3 z)`GKVg~|aoLUUxl>I>+%hyy{pW`Dg?8S(7eyL&1D{^j@WE^yt-?oyE#hd;?G_Kmbt zl99zDsQs28xpBKJI{FPc4lx_AAu*VtwXcn#{q4X~#delW{&!>EDool_XBx)W{$L;0 z0><6)yeWV^>bzj@C)aB?EM9LeG6f#pf=*;?lD_0y?C;U0&afJ&xX|f^sTr3u*v0%z z2BxBUsUTm4bnI$pH6SbV8mjjx;PQFuE?GJZnJ)3~AAZHx1!PG`u2+x(FzKJA05H!5 zTIZ>7{W;Qo1dLb7H8SrqTdJu+!A!-+1Ys78)#FIAA+Y@;FmFi3Lh%F`w_%jlo_TL1 zX_-^YX1}0w=v@MdN*=ca8PQr73|nHO^tn8;_f5p_ z0d`F3URRL3X7bY_(E*yYM7iwZldjSTb>s*0DDzXsEt+hLqg|kt>w>{_ah7CwB|GA^ z7XHvM`~BR3(Apf=p0&qoPecNr$U)mCTf93II*SK)kq_(6aSDn^f??aBq<#N^ zVsspCIj^rnNuksn$U}@%f8v_JoCtsgSLEPCo6jY}9;Jug~GguW<-7Hiw7h%-seCh3^rj#U1^8mZIjqS<@<*C@ z138|gHx0boafS;TFC$8xn`4WW9)g6(YjDp3EQfzHhGHd`RA2lyouFx8f_(uZ&wJms z-Gpv9xY=YK^q`qBM`+Vf!1zu?C&U}c5P!>)_N+(exeI=R<=~gh97kayhPpvq0$e)# zG<{Fl4%FGOJx(;>ZQrZpOt3gJ&}DNVb$y@cgw&f)nY}jH(@a^>369k>F{c=;&Dccw zt^1irgzV5fze-S=i3!U@#Jx^$YBvk6Ml63pLFBS4^zP684?cKkUWaB>(6=PlVzoha zkaj=#R;EB)flm>@plcy0q8dllk1do+iD++ms@sr)#Cr zjZ_A=#HcDSWOf@)r{uFuS{$jZ2I1c{)lpjLn|2bbnhPoS6%^1j2J$pbqHrj^B6O~2 z|8weL)~1If=5DYBJ2AszlMsSZA$a=C5qi5LfOnh0ZNtd$E;T~cT#hiu&F`C>m#uA> zQlh3B!zZ4*cZC;P4HG8wF<~pIq?qzkXu#49+s!p4 z#&EKH^;Xw47y~~3-LTu$49n5*G@b#Ul;KLTvpfW66qMCa?p%S59bmugQ9+q(on|v8 zsLcT00BPztOK?ETeUEJxQ>S@0PTOp9OZm0c@Kk-6R7#N8O=-Z9u5h_R41?qngvv?cjQ{f&rf)Xq&W$x0CXbP7w zqE%4dKs>%2h?WKifyzk+a8ar1lga3Gmi&S0byuVZ8D2>kNq?v*3b%;F*lBJZd(n2_ z9O~wcBIz1Y$I)SAeX>ZyPGlR%B?OjtBlzbM5Ziaf7uNORhvYN@!%!u9%d_~qq;?Fm z^B;J+)tAj>s{kQ;tykvc*O=DG0hy#}l4FMiEDI^eqQdkt6tG!e+|!0cLtvZyXyjQl zWdbF46K#WekEmU(dE0Ur2&ynVd)AAqLRNKXM6-drlrudroBr);lA?@&A*qj?6Xu%i zrUk`&F5o~|R1Fqt*N8l6NYbfc>sv71pBoweMbJxsA?vEIa((&W3e0Z^)3Po5Gu5O7 z>Pyd>@@6HFi4yLP0Gi|#3M)u=7@)0*Lo(di=%q%Tnk-&X=}+11UtQ9!T>Lf@{Z&}P zS&Hm0PiIzqT2xPx1+myVW)yO35YABDMb$i=uGS%RsS>^y$!e2~w?J{X{;{v-3^HMI zdSMuPS7^1GvGdF##NuedG_BFH!+G*d-8!dQs|AvdvI)iGmNKgVrG?{#bjFipkL1;F zPh5w-=W^r!e&mO@D30I=S&zb^N>qErR;FXC+fOdQ>n7 zeDI-P2eN<>6KPoe8XN|0muhdxKpI^USV8@sE&PCufJLL@$Mv}(S&2eKH!=Z&Lv8zW zpN=?QXp*(1x{7K-M>H&hj(C`5OrY4?6KsLtdBvhSVIRJ1c2+jxq!}ayDWhVvoC`U$ zZ_q#0Ri5jFQlo({+SBJgKJAZq=LRfn#MdD{n^8+4E`bAb3T14j%HhKs3{)Y z8m%Sxgds9xoZTR;0c_E5Erw*??T89X)rMd>+7@Dx5F5{EkpJ6;$k57V=rQ~4^cM11 z;(TDDHlDHW)$ufon1pv&SYEZKVvx<{6EBTW4?J_cot(N+c|B{?2GG`t$BG3PeX=CZ zFW1#Q**F9kpF7rYe~k$!9=))jJE`|@Sf+XIl%OOxYVXb1jZYjNvFjQ4mn&>6ehlzP zhwtQrHkcTmXsya0n>ZS}+n)zC&ib$rXq_?u z?U?8UiO4qO8$7`&9$OM3jytYl6uR?kHwq)Od?G*Q7PAu z0r2`5egk{Ivyhs5J!leF+9_kQ;n# zXFXys7t0qFEeZx2y$w926+4;Qgjf%p!ctlYk8C6^6r|!vdY2$&t+{&EAEuE#-DpXW z5U&JZ7QPyyO1LQsoMN2HGYx+@HFAVbXg#n!Id0Nf?|r$za0$2;Wa-0mEj4#1Y6ArG zb-(TUK>>eYVd&_B;|7-nZb99%>|ZoBGW_dv^e9(m*f2K>coLfg1+2(>7`hw`PXbya zcGKMeA-7pkFdI9NMEy+z>L){PK&Z1vx}RF{m2^*5B?qk&%rc?7R>qK4Mglgb3+gw% z02v-x_oPm15u_oh-oaFDI&1nWk05H((FI)nGZ(ig7kj`xMUcWCd}HeOdzg$e0>`Xh zrAHMo&z+M6{tS=TG6@z!lgO#@xZ@$e#d&vVGp-j&!w3E0b zQ%i_wMEI?{Cf@CV`#Q1dMa8Bl1AF5sjv>x*T;U?84z&+`Y`>31S9 zi=1BFR2)Ky(qPRo5eNeUcCJ~&ly>Mx5>0WC#^*X_M~akk*2n7&kLZ)Axz%e8*|!yS zup@+An10{4=;_p2;pVlPPT6iuoIgs=!&z4nTlQv4a7^5%V5p6uN?c82rS1sO02721 z04l!Xe<1rDqg|Rj;*4Wsm;wD6E4Cc=ak`M(uf(D<=XUg0qb~TF1%DU+L?N%@qpgRG6xHgqZ|Hi*}q1un;c{ zjPi+RT|N@)W3xR)rt+vjp9Ex}AyAARqRgY69L@(>5XX&p2A&j#lyJZQTLm{Mkys?1 z82p8!`=^RqlS;urqWZJLGa%G$Z9cTbHa5>Ym=r_kZ&D{zfgc+qc{rBYr%{N4Z>^){ zAw||ky4P!A{4~4AABm>W97&Htx0^(_frm@!n*&0idfj;hG_4!k}sU5W@ zwT3egJW# z)7d4tkY=8ilnm;`#ALL%>czA*2{t=(EEUxSadcGBVD8&nfyD?3&8ing)B8cgcO8&r zHqQfSm!oswf0r7<)idDM1MC4%Nn-8}4GRF>Kp;R;Nz0*u8$yNUt~kK$DhtI}3*DPX z!nINq1j!^Gwkr{V_dkpqZ+ZScWsDOBRiMDrbS}XexzrWoK+qX}Z?VnKpveN2^b~2` zTxo-yxlZkz_boz|mZeIMvjxtF=g1)=z*#DCZw8_V#!zz*PH~Al4*Ikd8AD|UAZ<4O zF;p6lYKu3M&+gkcYE7MbIYNbC9v2+@JsjQ@aEVz5Rkh-jAw4SchYWBP&nxi27uckn z+kv@#Sepn(Y>c95?b){-Bn`y{2-IMfL`@Ql{M4f;(f?&mNlx=MENFajg%7l-j}0QB zNJl{keaNor*dTBt6UtIZYTzks_*^k&Mg}Lus}}-Q%|vJFlePCYv`Vxl( zWOSM8BcIvPC&(@BqV8-mKbT$XK>E$ZBjxu;|N4Lp$}r%x^8lV675T04{CNugiFd_-hzDBG~@3bB* zRRy4+rZqYx`b@E_@~IAkUCFgl4#Q!Aq$}y*o%~QXW_A0E4eED)Ow+>S^A_kjRwjGeg?w@U=zy8gtx z1|SFs=0uzX{T{qcz;r$C%9xwi?TtFA$jL#I+<4YtI-$YDHo-2vZh-`5gYgED>9CF= zPQMdmXZ}XCZc4cI!mYe7|D=#D%9vIOD(UAQrNbo0YmrzXx}V+_^(F>3-w7I0y!R6d zku4^=cCpPo7;;@*2;q*!Y(<)YwY+vW4PD2Eq;9Z9JZQ!A7s2gZShJs!`AQN~mgff3+MI@Z-lQ}gUO z=paMTX$xkAB+B4nY_l{CGzSq2^b}bs#J#{96Y81m#*d8nRasn8#(^~6#|go3XxWkD({Lgz0)5kl+^ZWxjI!e^lYU)Ibkp2P?$2Cyi4 zaWRtsdJPyp2trT-%FZdAoXn|8y8ttySjVvw8awgn!#4aEpR5C^L7UFOWq#kh$2qFR{If z_3s}gUx%2TcH!)!IIsPPGM_u* ze*GS$qBZ}*C~2ao{U#(WQxBclcn`RHs^n4b?fM*!3iKr^^VNWoT|CicteH-l8dX!7 zJF;O0AppD5kDFA&z-+SIYMdaYDubHVJ%R{?w&)Qkee}W!1Ir=raop#vWrITF(eBOT z7>-E5#DYegwnuWX8LRcxW_~>G?ted)uJ>)>ki*}jI3e({;|fBwkIaFk_nP_wI?`j( zMBIX=QJ>U9a`YN#7Vsd<$4zw>FPSd-0sxC(hy;m&4v}qfqB2Q9L!k}H$`2dxevxNu z$x8PBmZ{Cwa}qFRr*+6XJ6K3(0E2;;TZ{P_C9e?B)4;|5Q0URdi{g)0*Z@MFe;|1g zf8E!ChIfU$oxmVVBnVQRQibqBY=XEqU~%>xbB2j}nTX>9%O^zF!M$*qm+awS&6OGS z?(2I7V%f~*+mG6ylSK{z(_;KlDr|a=y-p=vbomUVwR;j*k}`ZtiEkkfXdLa4!riPDMSUXk1V#c}T<4U55*j03o>_Y` zF-*sznHeYfyLq}6!UX#8)L=tJi7-^Aw+6nJx`I8;tZe z@t$e*8%#$WDL-afj=oB^i2f2q@#dyMSDuhPBM%L{wmJlq!yphulJM%`7Y3uFPsvxzB_`2QeL)Ul z^Cwbo@;J5&%2Et$t5-ukWeem{SuSxM^F2dJ=seP|R+fSS3XystgF+lQpF4NR1(zyz zHwO;uNID>kC``x?x5A1NSJK)WFk+eMe3Z9WcF5yS2qH^f;-V#!-wQpYq;3#xMEQUU zm^>a(7L$iYBN@`oeDtRqJ1t)fQ#fvq0$cdU-+4!R9evXbrp$*J@}kZQG#PNMe;dXc z5Be=;-9Hs+fbAb`l}U)P8GBJMqzS`TW~n6^=)e-VNOnykw3))Q;36503?2macz@Lnafh#P>3{=9C#&nsBgh4kXz9Z>6JTo@88j8n8Lx@;~LScL8lkI60 zRtD?$3Gtck0fKlcCX37|?XM(IOhL4?f~~_P8F6cdDOas73riVdksDCtt;yEJ>c}KW zZqeXU8!5!vbv&gZ6xlwVlDZ~4aL5~)boS%wLT+?08`C~tDnvpB_pcvQsZ0Gd4dlmX za#6vQ%CKx=hgFIxz^|EtQYd@e*Wnz?U?Rha70&=j-ciwknM6r`Q96s`Tb(^Rma?+Z zW{y6CX-fi2uzI;L!He#o`^q?v+Sw8D4cRO1N-{(L}Z zWqpDAPXAFe4Byqa^(DUwYOtDj>ObDjsm1)5O3m#(Z3rIQ5kWUIXuU6)~{J&p^RH4JV%V~fJ3VVjzhRtIeej7fx_RB2}d;X zHm^~&map40xkIvIbo;L3I-sR<)aRI)Ecf7+@oWdQlv98hZV-Z$gjrlVmvpG3<#SM^ ziEReNH8Lp^OV1RMvu9J}Daa!@ZDGd~a79_9MnKFN6tlDSXVux;*T!JB55J-%m+@Bi z*|agxMV^WxgW5B!&XR81A0!h%TFF zykr_@u`;SyET|`UU~x{wy#??dhDZYzUB-4;j~Q=)vmmL5q=gMjp91qNmZvjdWE;QG zOBn#5#kTG;>xwro(-%lMiA!P?rN%fTIf7H}Y~-%in<*O0M}!pk$sU~0zahZ9!+7OT zkq7MtWuYu*0CLnte8G^093g`zhENMVKmik333M1#5Y3Zs|0szn3&-hR ztggviTHfk%u$$vRdPiUvhc^bmaNDgJoUG_|RVYutq*RTp9C8;F2Lwczxji8fdiYXM zBe(_<49!eo(d+aV4HM7>IF?j$8I}pe3$~=L zv9xTx;bslxCr-WPc`+WbuplB&C03a3p{LCpsn_E%Dc`#3?eI-T|}?Ns%FG;X2wVlI{WMjyA_aL6nlv( z1PYAe6rG@5p7?tz1!a9#&e!DF#Vj4uXgF&u`dP$pCYB`}Ir>RvJe!dja9|bFx;Bjw z*?MfY4aGu5?SQt{&87qLPJ+a`B_%&`6^I|mBw+mUtZ$9Zyq+mbYw80bG`!Xx&GEb) z4umQnS2-V%qcn5*h{4EmGjNm};P}nlj8T5K`5AhRqy_=gtxFNOiEE+HZr{phKDMj% zTv|f?Ob3j>MI;|qCoLe!CRX*b@)J`j0HzFAJ#y%phg1NOYj_@w{#{NY$A&mDh zw6WZzfM(N@XcV7db~OITt>nJA)sC-0Su@ipuq+nkW|17JngOu;?QEqZLAiMJ;Wn=H z0We%d)N-#I7;ev#X0ff8PgWrB~wj1DtbaVkBk%G80JC|9X{7s+!+dGIJlX?n4EY9-n)csx1U zFUL=q%V3sh2mQE)ZBAB>ck84c=vd_iQ18d1KzxI_RjC0JV3vS?t$gP-L3kG%b&B{c)x-Ge2WYF3Nbd9Jy9-FzyXp zqR&!>2i?iGXCz3sQ*=R1!;UQrV1g?5HK<{58n%6tw?`1Dm<()rYl~&ZZ2&D?swbzf_knyS=Gx1cPd6P!ek^dfCEaxp| z(La(WKj$<%Q?)AZW;unC<2vGQ4w3&kG_P^VjHSlVn9B_UzmG(xV*8X-kz-9y$?_Cd zejahvkL|L<#^$XaBG#M977c7tNXmhZgc=h7k>C>uw&g=0`_M>tHc$8s9kY>E}&yK;+r74!$e`~};4!P-_)Hzo5+~^*i9vw58+z-g9I+i` zr~)Knle-RW)pGWai9S)ma-eDMC+bHFf*J(0FCt#3MHm+xe-dMX_#vUzH@La6m-J31 zP)0Iq2cmxsvRkA-8N9d&JJr>2j!YuC?`WM&6(gt0GIl=g(8N4YgyB$N4t5uYQG7(! z$-rk9h|=^YDN)*!23ct$e0VgmFw0X?u0qqO8*Bu9Ue^XkVq}g`;5D%?LGL!aCI|q( z2lfk!=*Dq$#WhI1ZMp*T$oJVe$-LA!J*HuLyFq#bsVVBTS2HjwMvL6)hh%qEYt^2oDrtA&SBbfTee>TYK!Uxd%GqO$hN zXOPC=nulYDT3K)C^2r<}P0q7}%SqqBg5gc0sZGd{SR@;Cp?2;<5u#`W5kqsmw&B2a zMnjp13Mgc(WDGimqR;g_;53jV#P9KM7+>QE*pX1lNh0emmYlbb+`yzylYFUY5ivB# zkC*Rywool6mQgd$1K`_Qx76}%$r0WIe@RY~K@rMrE|11SZ^P^CLh&H)VMuX=vX}L( z23~{oY3)@{7MrGDt@_!-BuO3%2pqA_^YfRIFcc=t!@V!7XWt`FvLd*YN*urOCw@zR zr^cLzHN2p)`;lqi^Brg}4f!Fp6ObH3wYk8+B031R8eKyHOBZ?*5cjIv*dycQ z$KO#W4Y@RS=DIrzr$cy?2?o%oi|wYM z6x;v={pFwJIZbm`k~{GNtnKux95JIB00zSgbeRk&okQM@u~0=0A=AI5FX{-Qy_jjc zwcBwO(08v85-2^w@7if+gfdgt-ho1%cDQn0 zuE5MLF|fQdQyhv?kj3oCsbm^hj>C_17tRoq8U!X}1!@yo(_p=q#5;`OJKWx9&@=CX zDqoU?4wY*}&Pgn}y4W<7&e^8QBrtL`;b-1Fxiv!~0d;=H^7^hj)FP4c7sP#HK_37|}4Ti~+&Jh1z;0okVBwI>>iPI#8#c zBZ4`9e!{UThVtzkd|S`qBlPnt+?nq2o<$}C&fDIhfe*)`kl6wMe5hK&lVmX`Ox)TS z@4AuTS1RdbWGc%~woiwR;rwX(C~pA=BxBGGs@H^v39inzK|$sO(^w#Xf&fEmY$I{M z6GGk~r)v>o!(Q8LY;9T4MnPw0&S5H?;+1VpU&vczbBX$s)bt{6twD}F*(tlg8?zLF zbpK=(v8C4OnSp0{kGU62(cj37S*J|slFjh$s&f!UAV?Nu7{T8pT6eg4U(L%CPr=}T z-@>$^yXie7saJ4SIi|>_&17dXSu@Qa(EGeWk`SJ#VRq~=_Q^~P^3S9{W@tAI_uJd^ zbKC%U)$>~n=vhb?3%dGY3asxeJrb^1AV3!6L8;@au&iq_XhuD`aVrdVWo33ufK(5{ zF)Z*PlKTaTR2&ry6fpJLqpL2zuQd41+@k%?rpRO~Ga0fcAQ0t6L0?b&5W=!tJRi*I zV-}X>DioU$YXq`^Pf?ETEDX#%KTFqo4A{XxkSJir_m+L4682;S8urN|ELe`QSyJ{A z={uMiPMY7bwv(=Ed@FEl65-B1Qi*G1sIlZZ+=V=Ks(s$&orx1%OzSVi( z(2a4j$c#Wn>FEN$9OM^D^G2Pu`zDY2GjA*V=zuN+kx3O)l2-JvMStHz5yA4I64BYq zG$d&B<~JbQ#F^_yPu{yvVC&V+=ae`TRvk;Gg{EZ1i(n!dgWM1(9N&W1Lm6T?PuH;Q z^@*c^N$Y6*;=lllO&=!r?>F?Nn|UrHXT2sj`c6Ux%>wF>V&0OXp2(tHJY8PhfP~R)A?|TUjoh)$i8=?nvP23{maM^BfZ0ZH zcFKN92D@^?WMp`?P2EkBeGCeMF%uSC7F585`$eq~gQ;=b7S-bNV<}^%7DRs|#3_(1 zn>J+ZCfip$%an=1XHhdGp(%w6)V(Hj@YwvShLRcfxZOeL!1LDt^#@?xYD1+W>XR2a zfPPqq)4dgeqc=coZf7-?qX6q^wy7eZp*N>Y97ZP58uBF?jzzR!>G4uNlWj+8Fl1aD zNsVVl)SW{WIRH03WWmQQkaGV7E=Bv|+1!_#>MVBC1TVpE4u(IJpLQ^#5P>XvVuqg4efTa(z%X^e=O{0s4;pVBy@dxRhbeO6*}+o?mdd>5%k+9hd!VzPOS?F+Pj#4@wX(>opuJ zPSyHlVQ(sc3dHY_(N0=HTtu+dvV(Upxr2d;h^i(+mxqb#D45tbAU0+OY6d0{nx1x0 zo0D_`D6b+*sz?J!J1hv-BFE5C35haydGG%Y8kvo_p3dD)KAq5-DloaNcvGcZ_-hxmt-;SU|vMQ;sI3$K}0j4jn zW({0C#v`yJNDf`z(0Six$I8j+92J@R6xI?&%8Urv%@yz{Sq@oH49NU6c4de54v8)H zNdvLXK^#OqjBI}M|pCjptSk&Z^i4~PdJIw@{&Tw`mrCFV*-x5Q?wS1LYgh1(|3ov+5CZ>2Xe`kPx zP)--;sG_7SDNbVMU3@;^cZck_Io&N&88~2JG2(z$n#gF%u(Yr`8<>XqiG&ZQ!NjRL zmp<671awf&Bj*T{2)`^mkICRzEqGaB{Vpzi(<(8C6J#ahf&=M$R|v5)d?Z1u5{?k5 zNt9^ORJDe@!AzbY^t_~=_&oE&U<#}m6Wf-9lX6}-N4^uF=EqiL68na-VW%bTfO8N5 zHhm-c7fRbNhPf5<=UqUfzXcmX2B^Z*vh!a56s+P%tYJ!KQNVSv?r8&#4@u2{M{Dc%dP((l>g3vFH@N9c6$~Zupwnqa^ z%C~WA;A+cYN`>|5$Og%Q6zse#GB+JFYIxg{jxZJ_WdEoM1M{;7fxtU4aPH33Hc_zbw&C=D4iDPenQs zldV?Z4lN^F2M~uY4LSq*U;E2)^}pZ<5-Vnl4_oqej@xawB%q;;*ljKfk`2@ii4`F+ z6m|{RKsJ7ezw>{Y`1GY%YZikCrb^+~pOJVLLOtk>&(t@B=GzZTT3NrXwZA~) z+Ott*(h4%XbPMQmu@MpSrWR{zFnt6g_dSCmvYsqGM^+nA5Wma)lL!V*<-^Ob}xJ>!4Qcu zNj25{xB-1cUKY|v{t0LP-sXOBDh+!`j-t}2Bs7)-CGE?KeYRlHCHACZeXgJ;#6o^$+MEF@l4aPm5$W64j3FV%CF%FuVK>I`t$wIxLJ1Jr-OzV zbQH=?&87uK7!2pD%u)oN}C zs?uw@y71n?;Fa#R%9Qq|koc87xvg?MLqV$y&NVx-ATkOwTIq`A&f*s&a;EhpBayot z9_zoP?82EuTwS7FuDN5zQN_6sti1o3$9rnhI~SLeu0AL#3^o2sgkh(fRz-An%PUO3 za`{uDM+%lQ@t(d_-t8L>Cwu&_+*O!+FbP8k(Z)97b^KHuEjLPqaobN&M=TvJcm zdjO}=4i;%=6B$CK^LD!i?FcK?6R}1#tmNfVS>FvdRiC+tHFuo%zQ3i|l?V1su>;NZAM^0zp zRXW!(xWP2hq>tXJ=e6VE1DqGH4RPK~H@ESN6RGd0z-(As+71(=QRe?ox@ZhxtkOhtr34%E0E zPDAbsK2@J+L+;Lfu(wk&3~J-+)V1K{3wnnGY>Lz$@b(;{XRuU7K!NDORFrz!yH7%ofnsp9 zekhBvSXvQB{53(zeNcCv=vReo;NCydZAdziz>AjvCwG~h-tj9tNWX;jkuq)tOM`2f2%#W+D*j&| z1)0vW5+d~Y-Q;)B@2Ep-68Nmmq3VFUjJ&tUsWyf5PL+7-B>|<$GJPLbcN@G|>G?!D z<#u~ zZND9*c#JyL93fz4$_I<`21po%ypuQ{*b@2Qok~xTBt_FqP`wax`o)V*`vwJOt2m0a zkLWJ-7f|8|W)`?>Speyih`&xk^z=^MpB)xd7MIi=&R*cXQ;P}v8S#U(d*X`UuG;d= z;%%<5KyQW7Vzy%R#74@s7$Y_k1vF6BTOR^ZO1<~Z?ah4ss?`#{-(;P~RwZCZ5hlue zzFA_&qMO0s!>vvgUzTpzR2l;#%XR~pFSN@b;q3A*o>veaB$4APGRv>dSOjyMnv&+Z zQU^q4``t&gFFu+*KfhXHyP-Oo=1zL??7X=?>ow8Edgvln!j!1MgWL0J@%_@yU3OhS znz_48OgH{#eToyP3q}CKuAnh>8;3G}I?YB}=-cnT}zH|#_x1NnbwDr+pNVpSA64lOEmgLFe?Q%2!bZ!BW?@=91 zDQ1)XAcg*roO^uo!)J3-+rghdpAQBO=ltF68;GPtNPsG%o92WV)cxbkj}AkUoqYM{ zm7A3q@`~!YSzkClC2Z@&BMJDa_(dXgWByQZ0;b8*6XzilTyBm(nE4+ zh#qKr&#Rg8=}?JWbPK84bcD#5jVsI~jl=AFh0sO;^xqFVM%XL53z)Ffx67AMp_=-& zuu+Dx`?TA{)GvqKF05Y;x{7$5$hzlbKXJEfBM06LTGX@`+0}UfQw?P$MCO0G46+jId{Anaa8aD(KmfIdJKwe==*}WHbWr*_Q+6M z&6BzR%iGlpcraPs#*YXX?)pi<3$mW<;N|4_LHX}+iQ^hy4HbXW8eesL3IficLU^Cv z<38L#K2ze+5N$}oM~iaS?Tcx@pr)gnHzrF)m#+b}t+xMUrqDlQ7ooH&MDDvhdL=SP zUi28dLt(HFq`NgzVy~dLB9?HCAHn6Qhmtbng|00G zU?c`AjZlyedr1^Hr`T8LKP-{a^O{yb8a{oRiApGSl>Pc(`#n0WjZ;JXgA&m>c zHccwAT(Ea4e_ER^r=-N@Z$B}K29bQol3OhimuTfKG0`U>O;-17z>}@&uUcnqUJRtU zArP>n5_p@I(k+Rucu34ugwG+!-xTHTVa=mz>V>S8@n;&zZ%7($F0dV?dYXdW??i=p z@e(EWtFu(?ek_mBLQ+wgayP3Yoe}qR$rvL9kJl5>L7`hROb9e0$C(fTS4GM*ZeURA zRv%;MBjf<;j==wIe=oXc{S08Q<6z`IEO}gxWpxcmhG5)Y(rr1J6I5(tJ3&K%T^6Jk zJZti{s9=TU6fI>1L{vouUmGe>uNaIariK86 z6mS?R?XtQ_!Lc`VsFZmhNJMBE-`r+IlJza^C^=+zNTdanKEd{qP~c#w$#m|W*Px63 zG|5%Th4J{|)06qJa}(nF0G;}AY9lJfW+YWW(R__e82|9Y=V_WU!46@9$`}n#?HB8_ z^-A+2&#u?&S4a)dzZB&ocpu~QIR@~iD`v5$khFvO@c~)rN+~swodUp;QtB8yY64-~ReiFb!a9DyT?G$0EmEKHDJJC6`kC&VNBq+sUq1%!qGH)1Lf_+4rFGc)61i>& z9i{Kq*!}s#lQ}`D<^1T!*SHQyW=P|$zkC5zh7k3I-IioIUGhTP_#wEjoAu@F34Hue zZBkG97=VguVIN^zIYgfwj*7(8@Bw$CWNzl?90wM=9Qt!d2$^*dRnOhJx;lUh}ww)^F%1V+TslNa5jO*gMpU zedB4`V}3#!$k;rO@wrb10G&M0Dj5=WrA47!S@4cXR1s#lQk!F`v_?Cc^U1C}=vceS z%{mCsC^Pq&6)A#G*#SwFQKWG3A9EZv34?|L{}YT-Acq&%WT9;pE%D!ZPDNPCzG=o7 z-ChRdQTvMNMt+T}>Mxnfb*rUk_QqO@NVlsUgXrD8w=3v&@?+C%6fYgQ(zshKR!N+L zz4-e+7oGD%qG+IveT7;~L_aFn$Gs=Q!uK9M{SKDx4%vU~l+JH?jPxy@lYA#E`ppe4 zMwaUG&v{bt7xJ!(dfyoq70)J((d6jM3W9BJy`1VWVdo%mzCow$4aCuI$61VnF{*PA zpgNN=k$g(gmwxY26Z)7=3tI*PUa|JoyK{c;V2lPFOrimZ!P!PhE=s&!MXVBmEmhPj zRa^S6cs8eC*y0?Sz(J8rIbWQu*6N6tb8Q(1!Zcnhib?I_L(squT1%vos zRUFH^NqWKKGo+WIs}fAro9M9%>SX15CGRm+VEXYd%Qly@uaOvKask$^I!I3FqI zK&i|P#O?Vx>eIHnSlGIXGf(pjG16GkplYbjfcl#!Po5tgiv^`(BBne^qBd^_nfKlD z`ew%JF(Fy(*mPZ(u}@JH_gIyK!Wb!~)Xszxhx#Jca7SPdoGg&OB-Qwe~Sq1=(B;nAcZT8$f*yo zlUjw3?wt(yO6MLxXhEx!D4GM}7^UCM!eNPkm# zGquY>t!JPSIO9kV;#imSxGw@RYXHQlcPgR_{ChUbWv~iwbr?7tjPa<0psGyJOhyiK zz56>-H>A%aGe%VII@+{6Vo*^k^ncUCb2UGq?9syKv>TB zF&v^LgCZP%jfUAvWu@V|a)pq8;@?zXi~qh?A9h6~>LP&dlzxp|Y6hTL+AyB3F|2kF zkm?Ace!Dc+BeNs=7j7G^T+;1atb0Tpm$||ZdBNw*V9}9X8?eD^6BN{DkJ?0iA`v0T zbTk<>Se|ly&@&8|H$7x&Dp2r;CT!&AJM6e|NCyejQ9(yn?<$d%N?(C16tpY(0w>m5 zO%*|uq#7?!Hs<}oO%4*%Pd~+ox#OKPh9nOHGU3$ZQlyW50;5D1_K-2)%d~Pr1wqu-`0E*y4-XKL*Yp^@#Axm(mlZTeH&YTOSLFSMVFIyggy~#}MT~ zK$0uK*=SO-7C^D9L7KX}HAN+{#1Ge3=*>2Jh~-;u&KG?o&ly9mfTS^}e}HEo1)@iX zPd@8rz&YvhdJn?NkqjUFq~A`4&$P^z(3DudL&Fh4UgB*0el#Z;Yshk<^bf#OuVI7x z@B_O~pD$k{vDfed_MkNR9J8hva1phlh0TXuR>sA{2t@|EmoT2n8Q|8jW_qdQKr}xk zjFf7Zr^JSEJzHW0BON<4{V7hh` zR}q`G@;UW$Zh_`sE^a~hkqX{iAj9M$uI|jm6txGk-%}4T)y|oQWn`e;nJ^_M$3xYn z9S%h)Jy+#e6qKD=8CW}}!JRK->9&3<(@AANZcvy+g$5eaZk7*eQ%#CcGjfB+p};#; zJ!>Ug%2MZfmAe~YJEHE*`=1fzGOeT6-gM+CqwlrWS=6qfX0w2Gg%cr=^nrZ^4035r z^5*{3B!(?Rs{N04<+Q_!T#5P&&{dLEq}LNRoBA(vHfKba8=c7TI8;%2Rsj@h4}t=3 z@K*D9CV(uN$50m1?vbJ!I4mxDLc^;p^}>`wV4daQ5aDO2m7^@SIz!?b5mK4DC=UAC zsPAs2>m%&~8VhQ_dw(zfKbDV8o9w-bfXZV!OajWcb_p{^321S?S+m9uOL0_me5L~@ z9lN<<5*>WiG&18RE`RHT`b2x)8Luof52~*Oc3AYQ8k+0@KqXo|U1ovNIeks1cLHuU z+iN!iLkMYCrA8lUv>os08tLf!JZ8l@X?YX<)ZBNg$XIhCB|fln^_?al=3P}!_W~fz z9+4-n1?1jYO$Cv#OV8f_a;Y-6q!E0HMoN_9gsF0$of)t5&8rd4B=Z~dH*@a}m9>yc zE-U7SX^>$0W;cUJ6QS~+&Tb2`m#W9Ijore;Xk2i!z91wtd+{h!iHgR`2=`Z~X)w*Y zRU#9URW35R5EsuE3ePkT)C9q)AT}wjDIlnbSK6>bt4%pPAp`6SV-E$D$onD>Azv9~ zDl&_+FvV=X@|`9uYG^U7&N6cHtMZg-tN&RL?qmFSP-nSAALg`kgR<=Z8ImlsdssdA zDi6Oo{^*mL_Jp@=%*5Rv)M5)#TJQAHO+H2j-T4o{nW6`33T{%lFD?2W z@*WuC03+p3egzGUE-d)1g)?N_|0Tj1uDJYbDrU&&BgKp=0@+h4qtu4<(t!_9$B;4g z4g}pa`Z_;o)XW@%P|%^5w-Cod^cJ>Ew*t+$leER2Tp<})=R2f`lv=n56sZ7vb0Zax zaBTc=Ps>N_Ar;XV` z1NaAYJWxQ#5z??Bl0ptv#7U4aj+*a1w zU{=;YoGR`eo2`5<5^Ky9Bi-se`B_>aO|+GQd#(Ke1|U0rS8%LlVVCgq$rx^Az2CWzqA};4r==Y*2vsmJ(#_Cy`ePU zNI^jc87e3+v8kX8%33f`ufUchwlbCx5+@y3qHI(>22%mO)Hf2t0cF3fYF`M1Ac+M? ziM;k@QPO+7RedB|)flXKATy($Gz z$6Gnpa=5!5#u$G4V=wLV7lmSrEDK09KN5q_r!zxm#XrNoyaY>AVLC~XFemf=XAt=i zowIyIc@J~rJb}+3UKyd zrpk(?0Hvavc%|JY+f%5TZIJo2LGCVIkRuRl5lX)Gi`1}%e7j~JyrrT#oEU8j&J*gh zCu`T7U<@u%AKGAzQ(SoerD9WSOq!?e_pxLJLF%8E?MQct-?tAYIMR5)Orqy?hYB86 zPfZi_LDEa3u}?}biG(W$H->6PWpfjvBRTCgOq1>}@FAlMS^jB1O@lZes5kO}?R^m& zN~JCOL;b%jzr*HNFh_b>iL=bTD?Cm(HIf{FH*isbWMj*U3Eo4$L{NjjL%gJwK*(z} zyj4D#$a@B?sU)*p0C}H0FRTRR`PgtCaPU;iYC0x5PKor%c3ZBUq6d9ZO?2v4x?#=bpyd)v>IiWGHP^G4y4=n37;q>CKBRN=U$v;9Jr=LpAJ!AAx(}+D-|p>$p%b` z9?PQkCqM?K$?zmx=>y1G(Ne+K(URO@7T^c@Fu6pSIjZ~NOk5tH$JG(Rm*+7t^v?b1 zb#E8y>6ptWm?nmI)Z9UJ61ru>gLO@_t;o$$a2*^DBy+pbJxZniUSuf;P8c~ni{l$- z4D&=4&7z7;zKF_DrswAZ$fES95XNgjZQ(~IN-sVX&R)?#EhTEnp)uz7HOYzIR003I zs^lqhyGf*v1;cxaEpVItzQ3PXI?Dq#^|kGX33;|lq8WFYABw|JMz64mWO(1ys^_~B zk)MoVr>Gh`6W;!t6-7AFfmC3&LO~@nSqwGh3b0_U!QzHjc_sO0P=Qc|->oOX_$Cw@ zifH5fa06R(vt-4hSb;f?9Q5P0!42#c2|=M22<SF{u~xKo&C-s{5p7A^1Rp|Lp%B z&%V4|ui1YNs2WVacmQDKvb>86_iXvEP$P#<^6~8zd(?h)3v`Tv8T-bhW1ustU9V$O zMRJudHBYHQ6G~KsVK3?Q!sBJ1t88scyaxT(&$*lBHUxM5rE-O27VM81&cN0)k(`}~ z4nDIl8?8d`JwH>Ap^K%c=P;IwAAGY4N^RFXvtW7QJHDmf`eMM;P;~5AZfG%YP35MRebTQ1&gG+W8)DixPRV{%}r&W*WZ@fqw; zwPLK_USC@=4KJgn0Ta|$&QM2lBW1)p3ed`F?A;1nY}rv=&QQNdFaF23?oHX^HXVB{{ zIe19t6|bx8n7m1~B(Qa9`!m5A_bN-cx>gXQn_X`Pz6`g;+Z77c*Q;|>=)!!CD=fz4 zN|6c%51QpT>k!FqO|Qse4d=}p%)*=vGc@x29s*YPj-Q_Zj1i*wERS)oq)Q}o!SSR7 zw2eWFDXdd!G#Rjh16)h7>(n8JcL0y~97HgLdpG#+@kEY^&rxN5AMU9fNKVtCR8tUz zax_qlkl^(x7M4wZS7)x-AXZ|BVv46VFrJ9gIU!%+B7;aN^!jwjqR?Z z9j&>>4a{D1(8E}4uJ+r1f!3p9sySl6Szo!9&mkY26V-}zRf2@ryYw=v_%wHYU~v#y zpR+i4j{>BitUulQMG{e)Cgf51$a8C1r*_p9ByW&^*4dqwCCaziICU0P_?PFn!)kv+ zr3zj%Qx*QTP6bHgtx|{BhYypl;Je4Uq^JTPy{;tSP?Z>|#xKktbSbr>p4@&>3)`z8 z|L?1@|NeV~-Nrqwk-39HdYCNex;Hl~{QHp4DN~nH(2aGY?NFl&$ zx%G))RY4F*4MxCG?2iDrjHAlxxb;UqA(2D6uX`*~Tn!^Y?X#9#;o z(oz_ke!0Nv##1!LvJV2zBG`Be#P57#3W~&wX9i<=s!g@0zbRF%WHf+Rz9a&0h2(pB zcgE;DcyNdpyn4k^ehKm=&Q{@p@!X6NiF;cvtr60qM2LZ9N1f;kf#~DxmI#H(0 z1sZ!wZ^+2{^{m|*I9KO1l{f*C(8DyE96TW}YiI279wk(;&yeDqnG0_9!JglIFw;(Y z@>Iv3Qm0J9Q|$>BVTm6gOt+be7XR4uMeONf#XKG`rmWImq$iIyBau}>*TRg4H&=%rUQ=%QU(oL{bSz8nZBZ@}z8 z@o#H&0G|H>L6lNQT%!1Q*5DS;zQ>2pwhJ^!muN%(bNT)4W;s=f{Kq)w>bIPa)Fgem z(C-$nF9B_e_UQ=-Cc9IB!y#Afv)ykw;L>K4UU zA`^n`3-0AF5C@*#bKP}TdEIQM#pC;z#b%YAZmz*j8K6cX%|*5Lic~%wsMzAPe;V-Z z;8y-UvNv?LAUW~=r`O=G3MDo7RW0q9U<0C;hJ+YFbx@KcwH>_-a9!`&J>KhdsG-z6cvGoy#i$$+hj^Q zbqoez5R)SenSwSQjc8{TD)>-;Q?*X+s6bbg6e54W@UiYJ&gnVUM@Qd&^qC82P9<4$ z33s3#TK=%Jsee8>jyF#?^Czm2D%2SK*4#X&=KUSE3#M{+r(0yKW$XKnZAcTkNCf1Pk1mh*fyF+flhFB!U00wgq|-)&d=9iwObfZ zGBAjQ`>bsw>CDMtU!4McfGGLI0u69-d}APBEB*ci^O6W?LBdB4#1;6FAH%~UJWm8l zYqG5?HG)1XAmu;9sYp5-_8U|LBBqIrjNcuf)fh96B%Z30w-tCx;MZPS%9XQF+Th)1#Z2yopWj5YSBN_jXSC(a1QLdThj*03W?JZit4sHs0 z^w6FRaBO^Kpw^+JR~BBh(=QuEc4`LLi&n5j5?~q$k@xoa3(b)SSRc^5R-W2ZWY~Ax zCFHWmY}0^^Xfv+>Vgb6fYi;MkA`#6sTT~U{&7{MUP7JC4YASinqz-0s8A`bRICpSa ztgd5?%4bOLP-WesJc5VWGT7k&ZXq$naODTsJmxAW^Ek5N>P`c^*pu?{Z5da(9g)5& zK8=?}Sx81oYH|g=LYY+5eL^xgGn}|x%bKA<|9W|0SQ`D6w4na! z)eV@t>vwFKf`^)*9n$h3kpK+?YstD~4{D6%`C;L*m0IIbXUnNy4hxjEqlvI>sNSy$ znYM}(F2<_``+ZG4zT1U=`|E#}CP1;ZsV7Y#KiJ`*{;JX(>OLOYaJbJA4YEThX?Jx8xJpgZZm@;|Ja%?} z-^1d?l6sNAVo)Q{J$JuW_0o=nyY(2k>>=d`yJ?WF<4*?nMvT0({Ymk@RHCNR_`74n zC?QumgsN~n&@ZO40FTfvm|&286Y0-UN03-KZVJyOO0CxSs zz_7iMnuW;8J`)iaVv6%veZLSIIp=z0D&5E24PJwMoO_tN%?0YZPy(b-A?AyI)cKhx zFz`Wx$VCwV^^f=YfVd7r@g;IAh?^&?0h@6Bib?LOBA2*g&im#JkEGJy-45dVua?kT z!V!jZ(?Bnt{vTs5gWM(#LXg@diHia1@HOf4;_OwCy~ge^9|-Uq&5siHuvd!wKc(D( zzyP^ZE2vK`wS=zLFVC49Z%&95&OJxgTxGwv*Vu<#0C*pJHL5nGgu*K#U7jzHG2l5! z-0BD!Dv`E>FPAK{5w%T#+S2j)_&dRBf$L z9iB&QxvV5j{#?pLk$K*$mZ8uhMXpub2on8j9q$RmI0CD2;7_IJQAWlvg6FrZ6)K~P z@(a&4B-q;Gj>I{Q%X|^4BN$W9)_rAIo;P5|>jILLxmh8F&+u-}{W#v>V|ezH2%n`} z)IL1jkBr1{9+h(=G<xtkw@8nIBU%T zbc1n={m&M*r;6n-Z$KQ9{KbCRM|od(8vL^obDtAb=!>QO=fOFCZW*ibb_-gPa^;Jt zP}-YkjBSe=s>LO5xX5}rz4H$3%IE)jfFVul0Q9`0J zrWC0vXJJ6{ohr8S~`h9yB zTY5Wxkla)JkyG|~^}TeQrJo|$o=r6lMTuNaOlAmjJv~3Oews%An0P=J#tXicDr{t! zPu6E=EG}o@!l6AuRmKn+kV)@iB0e=cu`t=1?|98(t<>D1l8`aJVd57(nEe@A3DlrP zASg~XJ#FLq&!2sdy6NQxe=lW2f?~LLgen|duF^P6J|}SrX{LFtVYqxtH2 zJxXG)-Jh7rUgymKM=;Kd-gG1oV7bAymFoU{s#r6J`hE>7(lB(Jh?67nM*4xKG~tI= zNSVlYJXyTON*zeF{`BzScKLlf>~8;;pthZRt2>|aI0k+lw!pxx3nBbsOQm2->%pYj z0h5A_M->7~PfrYe)DKf-ST-CE3kHmBDm zVeVu;8nxJ32 zW3Mu3D#BZ@3}PsnNqYk0kpe2oS>y8%D-LhepuvZD z5w*;752{T(F!b0g(IGn(>A~u@o_JR1dDZI5iAN+68*{;?Sd*`Uo424b#{TqQo*W)K zrf{-GSOzau8e+*0Oa>Y9*Art5oja2+q%&tOJA`yM3&_fdc%hyxiqjW2U?E^C-!kPC zeD=|9@6YQ|3aGvaafM`=iRA)C7tY_r2gg2G<#@tlg0m-?S={r~xkqJIc%p@HQ|3Z> z+mIS2x&lOTrFH}KZe@#U!e@CtX40v#>@Zp2Fj-VK6+F_FDEgjxh>(b5$;+Pwu)~x^ z`y>Fm!wHD#JRfl99tu^-z3L{|$%lc=hWEdmF{d*LbPc#knB9PzBxwTSnIz~!v$6&y zmbZmK$d!&jN{7*O;Wsp!7%U5uF);EZXzZOMN!Nc+5FG9aen#2{)GV!7fG{KM9Da*! ziCjdXP0STT|MH*dL`&8PbU`2&yRVnu_1SNk&Szj>Q-gGMGk<1cIS=ZF>Z8^Y ziKFcmQixZq4z;kZkOaAJy(@`!bC$L4xW=E#I!B>QS7Ko{B|VK$s7LkMrS^ znL6QlRmklb4pvD2a091Znh{)*(vuS9kOnMc?@Wg#G;y`-6kVmrOAOgU;~l{edm$4t5QHdKWJ-^VVphh+Z%3nbm0@#uZ8iJGWsYPj+b^8mv-|UO z{bn^kS>r??XHFe}{YYOjp&N}p_R@0oDg1gUwR_;AZnj{=qQxt`)63=S6}BXrs}%~^%oa+A zqA~%$g18yAlF?*CD9)tdy&Ms|WkN!{juTQeocZn+n81qPAU$NnCE;ih4-l#;2Fo}^ z>)vPtVI6O75I50A3muuBF3LFIs3qnOOE<`?O8|8iiDhP!1ji2klpaSbbXun`=d)7i z{AN#zYN}VaD-~7n*}edFHMM7Bw-wewzTWMn^~XqPBtlS+X1zst?S<-f>L&q!H`18sJh2w#@W!s z514w`#8LaHzJ#WVO?gC_=H_&O|_^dx4BKZ90wBVEWT^v6ck;@MXpd5dPn8 zg-9g|lo$}a8&P24S=VcyDho(piV@tM-~Gqp-gmIO$_#wVHm(YSH3eshRUJv3?i}kS5`t7Lsfcvlj5pTyV()^SM`1D8II~H zC?w9VM72`7PkVt_*IRGASqCgW_j; zTDhC4FO&J~fEf6c8j57bW$cA}F?$t0^R#b_K8hW7<*l!h7u-&F&dyV0qNM#IFXmjU zcumJBPN3;bsD;BWM9;tR(3f0qW*mi0uREo^P24qlh=eGRi~E{FJSPpj1c!if1Be1^ zg%pla*_<4T&@E^NSoBNpa+X#xs-sojI-N`m$08CWO6G@xxi2BG&5=TVvMksq2Ch}7 z#{ZcdZ+K^$veEX&8aFVG!j-H_!$mVQKV(R`pDVVYbr!-apmA$5q@0Ilto&7+cBLsv z&?g~Zdz%#oPqARe2l6lV;A=$0uOgvRzI`sAliM2C&hF z_gXncmkxOwOe+21CioLyiN6e|uCQIFh&{(DuksyT;6stu#17Q$4IdhgRk~zVKSXQ| ze^L-CbTdYw5DLUPPpcg?2~V$Ray=42>O)J*uw{*-rVauU6C@79f@yg&p3ZC3AnK(g z2y3?vPp!4@8fBaP$m=p=9Wwn`5$L?Q7Sf7hQinN1pa{;0a*e2!L8pYPS-2n@X{t_a z;PPxDrU>L^xOlQK6)RApp2A0xJfON1n3vW?fnLjN_}G>b!^qeqb#}^d zy|mBRqwvuyj!TrfG+#sabkuf?8J7{8mLJSx*|to}?7LG0=cl*S*PB&F)IG0V`M!u| zTRuqbGsA5u(qo@b&f-;Zs@(O>tW+P~U0lRH2HKZ|%4bWKURaT$l+3H0(ADn6PSx3s zH0QB8`Vd``i4EO-l>FWT>@zI^METiKV75rS=sQ;b?#t%*WWXWjMhZB@huV29@zq+^ zNE81|1v#aP@N|iWjwQ6w)iJLwNe!#mi>ON5B>!G`>sxjQefjqU_XL^fXl#LIOF8+OHxhqfqR~2i94(YuC=ojMcig5jBNwiUKz`g8Uw_cf8Z zLmNjFs7V^5O}+1Iu|b;>=yjzivOP&|2C-%;_w96WVWA-OtM@Z9&Q&^%!kvifa<@7R z+w*7`E8}4BOeauR47M|Xf!K^iwRpON7Iyb%J@=yW4DMdB?|BxGN=+ByaVA6`J0faI#CT@_`ymph(9nJTSRx zacxjM&KwODv<=Q>FWs7yII&!)4lqhB|7{J%Dl;ql%r$_wW8|SzSa84(vGL@W>X?c<~c)^e2)tuA~llQpL$uQ9b>{ftMv_+K-vug zuDybl+`DHW4S3May1RjF`ODQOfLG!kH8Pb)ppc8))l8WoKP@WoB^D=LSd?=wj$dBm zxhRPXKg>01^FZg5{{4`GzXcj27}*j?Va20wtr6%KFLW~)7Jcr^4MNX3)*8`NGR(~n2PemQr$ z(}*g6Otaw-H-a#;VxmL~a2sK-iNo}HA9A!0*D?DN{JJf8bnQEkrDPlX_Cf)qpD0Nf z6^s;JnLS{<1kb$jvsSY|2{O-;C^{FyAKRHg z2>3354U$sju~-w{bRZ0fOVtpp_IN>9I~9H1Ox?&+R8T@qkcJ}PwyTnprUW+1(@O^~ z))t;G-~WeDveg6T1lCa1fPgk(9)2HmT=q4hrx6GB$de#>$(j~&q7)H=VZwNd{Z?+u z#l^cN7@QO05RZ%#q#_r4XGF&Aov67vR=x8DltR6aZ4ePqjoSPPmbVcUr|Cd5doF@5U-LdMNXl+X8(;Z?lGk%?9blj z<1LMTzVMPe0UEVs2!eN^zqBFUa^pDx8Ueo*lP$_uzbut=p!T?*gHG!V1mPk1OA1Rw z_c~MMPEy!R+zT(b4P=A0tP2c$BEgyKEWW(g+>8f|oOyKsx*ut_uFI zRfelbx;Dk^9LsVe=XnYBG=>L!)We=TJYczep#U3Pfb_!O9BWJ9QU~{8)(~|$aFIkr zQnsfx^)N(8G2YDXJ%p~*<+(JLc=&qx{l%!mna)C&(3Kod%X&2LYm8o`f>|PydHS#y zU7vIIdNF}4Vm*4)q$%#yb8y!gDK9?88tkHa(UMXsI_3Zug^AzEDaB`mjUobGtP7uA z&HjQ6Bonb>>4{SHiZQsEn-W&evm`FQfM~UL3SpGa%p-0^jSvd-725^@DbxpOXG~(W z9F#(xH*z5+s@5gTDp#gr6Dm8h7a zG~aj%i4P4%W3;z6zgo#m$h3OCb!uhDY3#67y_Y5X!W2!2<$UOX8%#-|9N=TS-Q%bq z{a;vFfvTwdIf6}^WHZ^{5Y576NN+YFsFEm5sE9Ayym*Ee@zmf+jTd!#f)nRFXi^WG zLY-j2i|mMZ4p{EuJf1*tSHksXWh{bj6t?c9-C$}%=1bN@DLFXlq_u0=IFN{+zIpWu zjjyyC%ZrxT|Df3Ol8uCdhyEi{bZ@=gHt=WULAanHx6Eh)c zO#%j|9ENwZsken(&gv)z18s{b6V{JZi6cA>)-`s-#>sj#tM9nTiDptkzO@|jI9-#X zTvq7jom-5*XPYyAnW)TUs$N$VK7S}KkfWF&5x@I;Pz+cqEsEXKR6~fe6xpRso$-q`!K*dorcmhbMFu-mv?RWicCCVUat{*=a7_%%^W&Y^5mAovp zoii#hodnnHe^8@1-YifnlX5ySJky)HZyqhPGBonzGdd0y zX!}c6BJN)K&wDgW%4l{SuCz1KZH`L#*P31F>TZUNa52jt(z~6gK%}Tb2v=JA;19uS zmFh`}r0q8`^P#o+Y)gaLSMps)*Lf2?e}!IX-J{$GGj1-*-)S~@bpElOYliWJiT*t9 zARkF&us1fT;UrZ{U|%~wvY^blNdJ{rl50eqX-~pFhMR}c7fs8xNVGWLKnx1DgsHd? zG@uK~|0mG~f=|S1J&nP|oaHKY?x4`wWnX*%h4Wy{WH^ZAHl$BoqZFvlnX5K}- zZ1pLHzkqBh%~Kcd05Ub!X53^rU#bC90Tf~VaxNho1=qH}d6P2$Sj$h9uhg@^f{VDW zYjQF|Xsnd|=Lr-55xPS!!H5%kmt@3Kw7!SvM>!DzXDD|Zno1S2i6=f?Xu1uVxBJfL z|2#ijk)yhb?xsjiwE&U4<08M`h2rH@?R@H>Lj>Lzc8I`+lQ}I_`NcCj0w0_B1l=Lc zF{M{)drL7%QJX|jPuhn?W@GAGFv5zl;jMH5A((im-7WRKW5~GxL3mX2cwe4FEEj6z z$a#d@(FPKxerRF6E%qvP;=|E^M)yyw16Rc!Uu;-ou$5 zBiuW+2C;N3S;)eXIK^M$Bss>(Kj*P|mwK^fds-?RWOpBmdn(18DVN<03^e94@1vL0FYX5GH9z3_u*pl{u(tbCq4*-)ySrq%Le&G4G$YOI!s zt$EF`a~*{TN3#FPIO+3hBL~O^E@Ry|iPeo@lS+)|z6P?02GOnS z!;zT=u-QNvd%eK!Azr?FVg0OwGEcGQ0k&_pvz*%a=OV0v&~V23WE`MV4b${q%b4;g z1qHlXdY2+n2K)$JkytoSimqXqgM#BGG8{|Sr%Pz{0T+i zG1jhgO3pXyZT(KYqI81vjDNu_I(0a;OS7w?c(1V+o~#%e$9Q5)B=B`=Tfm8U>^|0; zCdZKUj}14x!d4{QbM)j5=n(~$koQcjmnKtEm*|6xj_<4cAZerUwwyZ-MS3@?3Pd_a=oWa(Ko@yGQJ}RX~8+LNSMbx&eVX}tbW_-qw z6LVwQj%o_7jkYtI*?I-~5*%bXE*bLu>DzB#ew9d}vo*5&M#aoxH?7F>hNF#WjZhCh z-drt@#`slxA7z;FX(n)M-2`}6n9Q+;1u;W(wIX9E{>AKHw&@@z!@v^kLZ-nW8tv&0 zZ-+>3Y4Z*`jil*h!aGtkUamQ(84w+fV5rAsN`--%+Nag8Ku;h@FSryC-+v^yafD5u z3?@b7tG!H{AMbjjvf;=(@46ph;z2tW&W<4zFGD z3<^zn_cTJ}y-p+G&3pzaN<#`MP%wQ^U1U~p&PZh@&zJch?s-ki8GE$MGU3d8%$I$l z;WEz8ZdkjJ_CSlFml!I5P_{H0MV3cn`FF)w1PtlASlNa<5^|tUJXF!b7%7Rf_ z9LL;HJdJcCnxGhV)c*4A*(+e3c1n&3<3>_Fd`U{C3)XCCX>!yb>Av?RCL{o~0}G(hlo&eX z_k53BG9Ns&Nv|+N^Ub2Dor-;+c*h~gWAhUrDjW%xLQv`TyJcFcJGK@BN-c6N zaIMW-R}7H4LAn-PE3jYATCVLrXQMP!VE=gfsk3ORIFF}&fF)C(ZWGH&>L%w4RTz++ zQ8L|GyX6e90^apjv1E1x+Z5; zbRnzjyfDmF>o$o8&*T(W?dmgLmsZjWN1IjQx*fz(9r+r@&zAES-dhiL=KZmfuUI#?5(%`DJvkCsR5ndu?(wln!PE?=%F+~QvD3uEtzL^0Mg zR`$lgT6=|FT_6hyMZ)(+_4SaZDrkkt$nh{=FEXRsGU zkf8v=T#XU7p|Dj*N5DWp5Ao~o7gvIIFx%z)<79_v_0gS^` z`H%arzmNB2Xcn6SW`^MNkZ z%VR~X4?LG%N7$;4->B!0nV*qnesy`79!p0N3j47{V|RucOf?Pg|ERA zE$07D$yL0;7ODT;q140C`S9_l%ge9i*Q;!q3j0nODvV@^zDfDnUnw?S{934F%{Fa%2Tsbw$a_(CWcjfCPzXU2%=8&-#2e#+ zuCY#vxVOYaSHM7yY$`BLttLg+cC5Z-x*&{sB$hQnjm>hFMAuN*$qqp%!fsa`PY^br z3m;YMQ@#O}V(aqlSwLnE2S`s0v%76J3R*X3NU*2RKK^v^9CB!Qb3X#bC50y4JMO{Q zA}aaka*Gb%IC#YM+?H;l#V_%C>r6)P->N847Ah`3d{=OV8V$$HBiqK@P~hHAybu`NEN$1egKg72E~0;7BVXRriV zH4V~a>RkvlP`VMZ+JK7-mvt%2?km}^y!brk#@W_Nj*%*xo#2`Uz0lfRJ`m{8+Pcyn z%&X;9djhuT!mZ!QYuC=W*DOx22;IUq?R~sfK5d2-p#Cb$DxnT z>$~;!_1)?{O2Qpi4nybrpTwTnND#6zMFG8;c|^C?CHr`etS}d{2*+`+(kEwx_WiO> z3gX%71|G~|Gz5uyVXy@Qw_w*O!*&?GjPc1S^SX^acp$F^(jPK|dz0waR0uQ5Y3W%< zbM*2UMxAz$%F}HD6{ADZPc_VVmeP#&971HS%_DNn4I(v4Z}pO_5063x4hG zeQ}UZ-{zq4Q}$^L-bjUd1xCHInPHJ1gHW8b0-ekQtUw1G^>{d$-2HzdimV5JoB<=V zfKo3v?o25yDRIRzi>UApzSiOpQ65%TNRprs5dVV<`xNE1?o!aoWo2NEkyd_LBY-H$ z7xeb-(6VK-aLN-cyA55F(TLgg$T*gw8N4w=8JUzMhDz)!q2I=o9Q2vX7Uez}SkW9K zq%hU7nHWV7=LjK`-#;Kcgth`J$A-MuWWYyQD0}-|BhyKdK}-Wk+`Is6rFKHI*QR(U16DhyG$^fL)tNt- zGDiVj?F-~1&>ehNMS;$Q4x;i10+3Es&JsyY+?|17g|4x+S>iXO$tzO7<5Zu{#g;qY z0oZwjQx@RjniS+$xiO>THFs$0ZhP?R{(a^hANmko@#y5=ARYml%xLXK{)t9y0L5H= z;+i6BvL}1wG+-|0!NIkJF)X8+T3?5?FZM;-?{)az2}>o{T-;-*zBsL=~os&8G?gjH|QMiR#(g{I@z;EYJ?AIpCvUWhS^*l(MV{NM>9;sVk51I8jR&g+z-PL1@>0 z@EqnXIY7uW_top?n*=P+378Qn5_TLXgrlKl^Qxha<#6|MBDu`0TLdi<^2(cB*6OP^ z@?#`L3w&i>KrZ@JL&k)g(rtkzEeWF-=QUeH!~+iPL;|im1)3ujvD6}p%TN&c%9cVO zxN2#|np^9VYA+lnkDBJ)>K#CDIGMH=$5>=AfjwhW;b~06s*2u@1`(daGf*vwJ~C_V1Wz09ttu|1F~<`2oND50UY9%$G#vXzXBfm2wo-ZGg^N*{!TV6-Pko8ZI( z!ElRi(bDEJJBgLvP2=HhG@;;&IN!X8CXoRCSTcUfPVP+#R9_%7w?%ydtd3K8CiB7@2NX1<#&iWW#&nC5l&`Q}HJq!yaaeN-IeI){URI0FZ~nN-3ooD;wni z&e*p!Q8)^w@D0lFG+dsJ!ZyiQ>FT;jDWqMi?hExj^UK)KDVJ;HrHyMgef!qWj7G!e zSa9$aBd%~*Rhn5b8achUyB{A8Z2P>?BqcS%Ejf5*ME-K>o(2h1s}+bj1+T!+kU&+W ztE{M&plI~e2c-82Us_x_O$oHA5NRsnAd;96n238$wRiPtSgsgxf~?gGEbsmD$E@Wo zLeM8quh9oXB2{kwAD(>v+2@Ofxj*b{X{+_8i*x@v4t&dvJNI>FR#{ey4@Z`FR*O#H zQnbOKgjd=D+klNdM>wI=1qz7hghmdNYq?xEc%l!jBG%X9L=NA83ia~hWv_J3QF;B# z7j$vk_e(faeb%dQD*Q{44$F6^-=7e#=5HovQlmtccZ-+n4RDpYU}}T7UfkXaA{uEUqH}A>6Xu! z>7vS6)IHrskr(;hZhqA+=ysSAALQK;LLyBl@_khctYnLOlc6*v6KkQb%EmJyqny zGb7kVdQccK@}?D!`nVyZG)(&$LipMd!8D6@LwBc^U~08(^YIrd&j~FZbWab%xY8qA zcD?~Csqjgx@185n$-t(jMGETFIa6zODi==I)SfT@ip^oio8A!rga&}C7N7e_X5-dk zx^8tdJZ`P7WTeb>1BXl%51A-NHiTvC#WY42+h>&pdXTRGP~5Ey z1%?k&C7NPjk=yprv{s)eW@y<#Cm?%cO5-)cgfa}|!;w)k_!1eB8DoYAmlVKmg}Yuu z1EcsVwilckxm^G&udK0qOf^m{BLXHa;Bz89Bsiu))cbU3a3{F$W5vXD$>0T4Ev`d> z9sbiw!Unk~ip^{_?om0u+=|@2HCo2Vk#xr|T*S))j6k%ICLS#HH1&qrT~U8Vi~pCJ zPSiFXwbI5o#@grG&&<>*5sOvPw}AQV3VEkP32zzX7gYKh^txqf&!zMX-D1`tTZI~x z?HjI=Gqj|0>p?L(v!7M#8m*ax4|N?(AY{s_L9WQv8!vdX$WKKyKtYL7J7`Hzo0@AK z&Y6H3?&wslZw&HexX4s|oj`_&p1A==#mjBF7Y1`cqOeLM?j5I_O-bWt@vMp{`|XA~ zDT4h5`1Ja8`dba$1+>%8e2mm;o`!}DhiE>2cDUyhB=xj_Ew7QCrfra(NcB5_RnefHXYgW5?7 zC8y=))#tRLu`}nqH@VXbOy7P6*_a>Xiu%H)hKDjOKy&dWrcuI%=Ms&{ei}kzj3JGO{fI3Nh9zbFlUBoh zc4&>(IpakrmJOPji#;E7Na}a2@va8g+0G`002p0Z;f|^GU79Xpbsi}np&ghAo}N7I z#LSS1h|Ekw*4#4`l9Y!aQDNj-|J<^)*3vCYTY~6YmAQR28a^QNKANR$6$!&2t}Kr7 zNSS$sX)Pl*gswf=%HmSNZl99as8SRqR0_{yu0y8^GNcFXnFg55y~w4980BtDmRNEC zzbJ)7+k443MjS~%5x&D*1}k5z-rlWto@kF3h_dp>`{NEh5Lo(KW^wvgHJByuuPP{H zU;#Et;IbB9`*nO}*WtShmJiy~fhqT#EA;V~*SFj-^+Zi(Ty#96o6D{uzPEP@8syig z$iw_f1+3z48`GQIzP)u(e=_K;_U+WV;SU(*XR}j4zj1RQYL(veJ$uCY3y*)putDOx zkAD+?sL|^Q9zAkc`GZ<4O35`jI#z>`i~C}Ce|+F7Ghlbr)U1k8@pFk1OGLmkU!|sJ zzJc)C5FAQig+}{8tjDr}!|os*`N= zwc@sG43fM8Z1*s)>YyzQ@@fqfOmHu{_~pC(%wR10T!Y|QDf5VWMv~wHl0rsC9Gc7h zDn3Hr6O&)5!2l|Nt*i!)X+B9XZ02Q;8`FQ6N+xIeK8~U|S^VFemP62N8)a4iJ$F zI2hs#ANh&8?X5+!y*w3QK1}2Vh*4*r9BZ>ral%4%>#8Lom*rQ90QON7JH*0hhs>Kp{^Am+X?M&F4^#)lZ zj+P)en5p-Su1LhEMCwv0`$h}Ay6f=(3XbJ4m80C*&B##%fXmdXzURB?He1A%^Y<0E zkki*YwtS1by>2vlNR@yakjc3T;n>RuT-O=!VeQ=L+Eyq4`^C(wm8^S^%3?kUmVzPvkw8RwPK@X3RS!54owmFcx zT7XO~z187tCa2(>muwz94d&M>Mv~QcFtw~9D>~VMfL?gaBZFuZmpq%FsDaPW;;o8| z&bl{yuh^mAJ&F5qoAORMWrG4W#XFwNU<-scAwDj<;mwV-ij%>FslS)(C!BjYBbTsJ zLW2wS0QG@gzyYv%ogU{+%p5s8&G)+}Bg4k(o#;i%>t)9db1M25B(>Av7p5uDPq$Pe z|4S$U%4_&05zIrfnGOK~20Y(oLe_jzkHyNYggDWN@60Lcmq$OH_-O2SXO{c4h%?q6 z2$?@Dk@id_O{72z>ua;fSVZ96;^w=glmbGrXvFdvEgvWqBV6$e}Qg%k~qJ+!=abv^MMXuJ$#53!F;2d0Mzc9!oF!S0`; zii?~d+@ET$kgP5*d3JHUF=b%m?X8*Xq^B6+=zXtDQ$<6jQ~ru*h7d}!xSD@*3E+s4 zZWK!6s0jZYhXUSRrjZZih*T!7YEUFbc@G}!0Gv@0oS=t>Cg*U6rWBI+begOLA}kByC!ZexaWFfm zr9n=fDf28glB*yu2~1_*jUn_msb~f@VK6uPd-+%BE3s-0zyLfF1iVexmgAK_ZmipA z1`aA1KL1Bjzu&iPC`)Eetpj^nFLj+bB%aIWE|Q!u*pi7dpb65teumYC@Hg==E2W{jwY39bb% zlso7~-lY!8xp?_E(u9=IB}Ou#kw&j^w?-;{_v2qsuN~gt{E-yEefMK{jcAk}{_*wb zC;97ktDC>9uX_*MqWIDK4AJ20-CErO!(Vx3l~&Ek!l5C93d)%L^Qe*zrR9k2LZy8A$y=Wck!|pSvgb`u^d^-TKYj!)Q-1e31obtn>_P z?(HhF7w^_^U51}e{Rx^=k@z3|39+0;d*_McjpU`S>1k-uEQ5s`^EaO zKx^q|pQ1GlMRfk>!)gKVft2bM`+oW>%U=BbU;1~iroA`*^8Md`|1bEfcefu_$2aD> zc0_)01~=#n8$zG>o5I)s7dTh{{{H{~0RR6308mQ<1QY-U00;m803iV9$G9*pZ2$o4 zQv(1P0001ZY%h0ja%*#FWo2}8FLP*RWppwwcx`N)li!P@Fc8Pz5B7fud9N|r?zK|8 zEVq=~x8t}U&oRatY7$A}w&l40{l;kRLgA1V&1jPEXJ#_v_UWt|^d_v6M(3DDF-Agj zQ%Zfv@y{Ro#Tp~$nJ!slw8-&AIQ+DG__RG4dvvuB9sxnS9M|5r86l3>LNOPaR%lqM zj8)9Tr#%qYTEWU7QVmJs_>m|kH693=ox?CyCAoMpyi-E^0b)hNJjCy6*}5xD@i{of z?6GSX+^7~1g>0n11Sm#|XRilsEGrtw`%IUNqqBuOfhWDX3G;WJl;qYpQ~3zUWQh4b z{SDa=#wXH!{`>c=^RgRx&wx=|unC!Npg?>qKa_`*ZAAyI$EbmoYG`9Eq*truRuLcg`Dijb$VZTBt z>ms@}u!7?`V`M%(aAzkM^cgfFe~qR;qV3_)j{m(K{pasrzy0Z-zyJ29zn(3=wZ()j z{;Vx#Z1L0<3$}P^ixpeEwZ-DVch-gXwJYp98@{d$}oU8^U!(A>SiNO8Tv_~{ld-&Q#J z*4Cf=HavN7p*8jb<7astsqzM+Ir)}ums78`^(Vg%Paa%oWxl}pS(-mj9*pMXZ-tX@ zZT-pLh9?g$w5nfV{4DFACl5w*^7q2Yx3>P|@57VtU1my?7Z@oa-Y}Rs`A6a8TU&qf zkKxJpE;Hri3yhTNZy3y+{Pb1Po7UK$e(Ngk$9%(y5q>$%oU~}=tOe`jLMTaQYn+5I zjYH_2W=`D+tem@GwILK_@5j`unB4W7b$AterUB^<_^GS1 zkb0+u(^S28IGoS-1{{P$i$o6+B3AFcghbTUJHcu}SghVlh#&}}ixzG58r>4TM(;gD z5343fh`h5t-{1AV??0}~d1hzNea@Mg`<$7bhq}pFG{*TE)pI$Y0v+G~+K0s72hy}_ zX<&g)P?|gS^Me{i@nGHY-w_1r6!)WhpyDwh)ajJatuJ5YfRIuhm+uM@^)mA}8~>kk zin)%FSQ{brIBhw-Txb6Hm*%(yx>}zPToMzSbIP>kjB}kyI}A+PZ4(prP{t5Q1?!%% z=B&-0jLo#B(wm6^ws1W)DBb9y?q)=X{2J5Ss*e9x7^0y$E2cYZ{lFw-+14r~gj-+F zfNnHIV=i@gt;JU2vQd;4vPV|->23D|A34aD4kXQ8G`?k`hYcTwNRJcEO6!kM8ZJ^2 z-sOF}Y#X0&vm|ewA~BtV{eDz@0$mA{s6$+we{$OYgmW}8I@fr5*u(X5<6Pw+*KiVV z7G&s>mX(6;j7GqxwG-{9SAF&~JfP4@B_$Kheq>JE*sN)Y^@ETbY7zxZhGG!sXRZ`U z5lYu+0L0<{K?G>}A-eql4X&5uS9W~ZKBiN`?9U{yaetfYJHV@m^x@HssEPZx+#czW zdq64bUW7gRsV1WKYWuin=RHo-T>^rOmdi;E@0jJ?l_=8FxpXOfH-T1WPKw0$Jy4}+ zUD9*}29pT1pM$+o$7Bzq!%+#$sR^od3R`A^R5UNa*a>K(;_vnl5UP1X`@eie<*g_B zZ)*XcfY8!2aB5P zB^0IUdS>nw`!f;awLP8PqjqyL;{>JLW$a4z`ARdTKq4W@RMy6B>kfL07?)dHALi8) zck-zm&rVFdbIWbFG0W}St~%FRZ>C2>%=>R+ALg3#UU2wOM8!AK?NW$At<68h8S0bU zmF(f?R*~eqP_Ro)&&#=Sk&uebn+B<(__>b~dbmWN6T>ZB4u4e5WN})yF-daPf`%Yz+POBECxz4wAp@N?~;J)Q&crB-6ma3HnRFe6%{Wr==CW~O>02L8am7&(NdO^J|>E9QJTKZ1d+6~-jJ<^4z~c=?5(lV z+>N(tTGKMtYHApDB)TP+*g&-3c8cqGxaXQw{N&I>T1UrIUAO*4m~>!#!l~IOt%YD~ zDp@)AGadJ91)=(HR?>Y%FsYeBVr-h5-qv-euOk=JShm71>AY})R!dcwnB{UdI!bax=rmHt3%VU=5$ zd)+&3Zcpqi!bN_~Qn+^@TurM~##&EJFm1hAH$i~rf+5vC0YKakx7=KpttQOLNw3!t z`%lI8JEx5E zr|-BEQ2QV5OMv_2KirN*KmM~&4*i~MeAkzpruv8<@@wn+f_gBwxX<+b$`+=YOGa|; zVBUKB`xS-L_s>~Wr;YtjOO5Atm)VOKXks#%b7R!)jj4Y!RsXLgf7;6_ITp67M*=0> zsj4o^9L2Oz{&$DOmDJqgj_LVbuXXpH@TG6vaR|GBwDZLG*_$vgaSVW&XpWA9MI3#} zA3m6FX5&%)LUY&`1JRgtg(>98Y=O>k)-~>HAqIB>z-{>OKium7hx-q}T|T|FwF}2Q zaP&D?6KO#^C9@mv0WT^KNBmjR{$)44YX2sl{3o!*Sny_f5?(~xL85-km}p~n%D=gr zEamgw=AVptPMA-&6m;I_}wtj@plN zMuG6@v_bBOfy`gA`!9gIa7CAP=6;3vyFiCA@`#^OT00KY=Hx4GEDrwWpGb-ydgabp zo#p0$FMgr<5-rEV{m>`&BlMb_QOWJGGtdcagmy?cBI1vf*01YM zety`KueKCPaUiGo?f-tG{=q)weDLuZbaO<2ZSk0%;&)U}|MV3mtnI=0vf8C#F zHs~3h6osIyh0AW}fXA>F&2+Dp=IRbd;wo><%blf79!iTnkE@)ejkM5TRXR0Zf0VjK z2iFXI>VHR8KR{(PrWbaottM z>4`tGgKqQ4eP_v<+ZkS!1@qDsEsa6u3{U8@kC;E~9Y+ntZ%WMzo$)|_{?zqu^s5=3 zPLby6VpyV?SX4l5NJKL^^`B{aQ~WN=IIaA z79U2shB;?v(Sy1QT;4p;Q@}I!a@{E-rTM!UV4R!_;7PXv7v-WmDh(dx|CW={2XT=} z_xCoILNyc59K_q%0JVZ6;FdxAPJ=P3+x)|`hDL@TLXYsnm1CD}KKXG%RGQ_8PH}^bC`4~BA zA&t5%a%Zxya+|kGdVGET9kG5BypA_>E*Zl40>1xcGfs4twCMu7N{r*5CMy8bzgn zw25TqVAF`TCB{{Y65%SFnLSi~GX;Tm+U$`pT6FmnXX~sr%DY-p*Gq|*G4;#Bos;uA zJR_6x3^*B~N4YJ0&Qn!fStFmVfIq~Wj!y2ar&$yqGXO`zG z&do+LDEp87+~eUotQ;Z`m5Bt`)Q%_3+$+Kdj2V{6>)q!5oJcO$JNBumpd;2T?gLcT z!bgsxI}zPZE12ri!--3}nD`*3aD-)A`3hse{-rAM5*E^DbWfN4u7JcdXS-n$o(S za(qvGa8s^jA#aQ;y<5hSIu~Wl*QEPlzh;m%R>Su+wFP2cV!^hGt0)O)QLcYquVPQx)T2zxF1wh6t5`ta~2{K9P4JCJ2XbI&)@SXqiz4EVW3p5036vDC0i-^%DDT z!sZoza@^A0h9NEM(4}D&51)z3)24*mI@-}$1Sf}0feW17*0X5NDQiJ6F!L?~6KRa8 zPH06ydl%ts7<_m%v$QI1f9qLE|J}0hUdbd{UOgUT{usz{`;Tpu0-|jAeQrk`B*{UE|&x?{SX560k>Fa;uYAuL=3vqlN_(@0^ zVtD>5a?oK`xvhka#U#YLS@Bs4l8zV!%X=6V`it<(Pg)V_((_y^mix+7P@cs|awO=C zQPY34SvAB6p?N_Z>L>#RETdx*2XBOAY=xZ;~jgAr8LHZ8UWuVG5Gr|G9c_ZLCu6_L%QG7{kWP|g{X z$>bDM?K^)7PR^z9nks4?M$tL74x**4+>oV_In)0lO`jVe) zV;9)1ey@FX?jBi+W3#FrfHmH9B`>1jts1&PaXn@sn5o2$3VNfOplV%r18+wNE71?2TfZ2=O;;{S{*bXK98sPAQt&W9Hd1pTOW`t<@;^v1<= z>Xn-|7rNozDw1%Sm8XHr5GL=Tx@`9}HhI)sd-x9FiC1jkXSn-)HxzHmu4?BzuIZz9 zwJ}elpVr*%MeVI0SFtQSoePg-QZ$;GVpj-K4aEg|xKeCDP?q#}c3JAOnjI{9zro(E z{p}z4=a$vNL7yAW1%0J|w<{@6;Fh0i=pitX!Fprz9%BY( zd1A7v_=X4_<=m4Z}dQTd6xNI5%0H>CFLi(FOZtxp38fZe5mx zvD7p(q{6rPv{KPg zVZ>zY^2_?-RXJ}GLGLcACGe@5o=3*B1;cX*&ymAj_31#5{6H(%jFhZhKckp8?6YE< z!#&bzXVTVXS*~NKMBPF-7h2pke`a#9Qw|#ud84YMBF*!WMeGvyIm0W8a%Gbj4zng? zD~*(^7F8MLyJ>q;NpWtQZ!7v4zI^w3dhp)WTB38eZ~rA5bSwOLd>z-8TygqlO*xVy zB1ZxW6~EVl?6=D!TcmtsrE2*q`oSEq+49-uU`7A4*6&{RicMR&;9ct79)D>h*ehD@ zB_@clyv7WqdqFM(y@wqYF}m?*smFLGyFPqv(DQLzl5sZr?z9`>j|X{Ud*tZcDeU=VLRK!Ib0O=ZUFfaO_L0z93_-VQr`x`Y0!UF6NWL>TNI#*r>7 zm<&KFqQffiQXg@n0$krNQ&_edyMJF zhb?XbxjPe)-{z;LNBeb7{RKwz^0Fic*Gd-cX4t=VbRuS;6Squ0&M#=m{h`6DK&1q0 z^o)lgO8oA{pgH{oONo&=eo?c@Vf@R#vKQFDb-zSyJ|wb}DY|Wn^JgRbeF({t-f!`T z3%`pJL*26z&UIafE5KZ=-{z3$xNcrw;>Q#dTAQ7qBhafaJrP?O%fi}Zu178xbS+h=rRw(l>z>O9NO7{RtbuBb(*qo({*kp3~ARv7iYmH zABNRtlTTjxO10};Cb31IZ7H3yETH=nev02xAHsWrnQ1rbRqUx+ddy+0kp0PY*Mg2G zI(SY-8(;lq(d?f#bIl!CAuV`*2~rE0I_y4KzQZeZ182Wyxx*tn=QWhl7UPv5B@YU< zIkXD^Eu4k1ksw|xO%~lhQfJf-6%PR(aEL)4XGL{_n^n-x#BRmyu#3U;#?a;Swh zyn~(N-Ey%owGi)gpRDj>^pic04W$ebV!N%{ypL^3GrzpWr?UOC0@<6$KR7bH_^404jYh;FlbgQxSx{uWI*OmS3XS!NyWVnxtt#2yq zNcQc0Xm?0_!?foC{?JUr5(&zG_)398+>W<0C)s}~uFjZJo>_}(sLdQmi#Zlc2lSRa zSkx<0AZWcZhB!MLNK_yt5z%R>#0d6i&jR)hMf>D17~OQJ*8JLLO;IR^us-f-rB)Pq zfPZ0JgDA#D4J@ik`Vy?{uiqbt;c&sxw^h%X$QbfF;3J+zW!0-K4{X#qsAyYgT<&is zzSfjO`Fm=-ksA`@1mHBxlG$q&G4@C2nxjeC&|0o~llBIhU>+ILis^^79&ZMD}@NcoyP~Wao zdPKT_0R+Ou*>!xvUQyk-*;M-2CwwpGe|n2;+afksC2s@x76h%_I-x8rV+hBBAdM#D z2g08iSYp|3@RezGkq7*31Ws+C8kSbA#uDm2x-wq>MLLJ+`>d6RnBOFJk#3SaBWmWh zB71O(NiWndz}rk%%jj{|PpPDFZmK}#rmvD>YCjErrMEk5&=gP-+VEG$8*(OJx#u5E zD$hXvJ(_jOjFt`Hu9-AC-@3-Xp5{YzM$tWc zd6dcrjxQ`+84}7JgI$KT-Gskzw{Sc9{j;0FMaNytfUdwJ!ZUmq(p9{>6Fm^Uk(UW0 zQG-%)H*t!1t6H#2o>6N|5M?2wI7;WcPL~juR$uBA%?w&slshtlQ>}5}Ac=^w`TpZ& z-Pgw;N5T-WJMdKELNF?;`UFJgHa^n+M^tVJ4dG2<*m}*I$i39&!{(L$Ut5j+dOwh6 zoe617&}}21?{5hi<4w8|9XFEL5>p+161IL^yV%OSNTD$ib3ahohh9QV?Kq1Nkw)np z3v;0ltFWVf(=H~E(&v>`8;4bYJ4ToxD(~^i3iK6>C2iFpVsj+TupvMUCG}xJYYI1^Wcd#Y+??o=c!P3uWD);W+LR!f-sK z^AE}b>g_r(Y0s+d+`KSkqe?ZmQFLvSx*wNZ zI-gg97;ByXPP;Or9y{Fpx6@>Z#RccB+H??Ta4>G2Vx~+0haF~^DR0mRSSSyq$rR7C z{2Y99Yh!~1U28Ck`5rKFVC2>~MPMvHFy6gZsq72Kq2|oNA)eOM7o6KH$`$boZxm1q zHF)&Jl`AKzB|$p1BR4&^n(Tro=QiB=K382b0`3aU9+!afL`mqI)rQNV;)hAC;CPD@ zD{2;iyLx1+nAf8;@@))6s?ZbfLgZX(PR$Bbivq5D;K~Y8;}Lbi7zNTiizLArSE-O-;zP~Egmf|zTiox9C=evg~fw2qnDv| zdYbzKd)*1g8Q!sI@ebXgOph{Eok8vn9;&I0#)4opWh)2~dyH*X1^Nc4NngdHBGKM2E9PE>}S?nYHS_onakFdhZ`e? zLuYUoJ=kK!)xNtvCLN}j{~N_htv%!V^cIW@&yAv2f{$#JVgYgns$o4!c_k1QSctbD z4CLb-1gIrsM+Eq0kSQyG#_klos9i=1J$tIv9uN>9cYL9*ED%#cc)Px`9K-s-%!p}x zk@up1;=yR4NB#>*s?QRucSv;}c~6iQb*~hI?8DiZvD-t{gnC-t9;EUnx)(a-FPJK~ z5=lWMTWpMcZ5hj4)Zy@5K3!Tqns{)d#G^b29(gkXRTA{(wV&x5TwMdE#$y_@DZW01 zsJxzVbgKVMLcMIMp^JrXN|-09(*m*wAGH)>AO|9vUa;`1V|r3N6yiy0ri3=``bpFp zAeSbhhNkUKl*2w`_2whZh+?74(~d}pjz8yQWYc<%8u>z64e$S`3o4b^<7|WMdmi6p z#ht-eB^dwRLT#f<&lM|TChQ1MVA>8)d3b{rwC7<<@Pl>R0q;6{QPkg zqvB&KzFHLH{Lt?A)9l@G#(reAyRZpU%L4a$(HfIfq->wI%^8`IwEACz8;_8l=kY4w z2ktow!!Tcri5~X5AylSwG@#a-cGo_{8dPY zweaL|3c`8TZ=a2B@YJFl=eQsNlVjrE-|Wscx9gM>?=8q(+%QU1v6sI1vXDGG6oKo! zo7of1pX0&t40Tb9d=m&iGdKrT?b;0{*_{Z$3S!30>n~uLPt0d6EtKbz$@1nEHhSl8 zAy7K^L2gj6{YBT)I9X)gpOfP48QH|^UF@eiJ@$NhhZz|mW)+NbgQQ`ze zto?25Q>Oi_d>RB2qPWuy^1^P7tnXe_ks4XE-1E1tpqvo20CgcQuR6*sYj(ee=eBZ) zT%6sf_Gesy&hto>cjz4dl}{@6&p^foVhy*uj7gA|*trZ;X1 z?UdaR_BiHi!hNQKx}aXt!sdHWM)pXUf!PfO%^+D2@?R0rLYXPI>Tc5IcRQtgKi^Vw zBD+JjAos@!Lm7X&5KUO{f@&p6NaWgFdE>1#RVt<%M}nS0L}-JC>DB`u%YU|oTa5aGf|_aWU}tMN&6pU5|}`2!bJ z?SlI-xldDxRt^hSXeKD1QglI%>^&ol!2e>BY=djwxZP9p54TVAYb8ZXGiKtxZyx5= z?eb^;JTP!HoX1&OUgz)_JJ|Xxw!Nxl!SbLip7^~vOZI{)hi_n%8<__wv0Vk==CS5X zXAHq=05`K~)yr!=%09$@NuCyuleQ!nl^2nJ3>IkRy>4d2PH#V*e~sXYsIxSGZTYRH z7F!s}9lK;jK=6;pEcz4xLcK@yRWNd3>+A$_kz4d!cz!@}4a*p14^3mb=@6~&54pt7 zSO+_C@c`q)XGAe^-vRbSJFAz+GI2YFBMeDpJ(3$Bh_N`=$c`tO`WnVu_-_!7hNN#X ziCxRQ&}E@06?nO^fR!OxWCvct52)J5~S$vQK!6_#gzn9vO>`_EvF&2Z{CzHy- zGOFl;yNEC(lJyuJ z;oO&h2-gN|f^l^Wn7r?oVNr73pliafe1}f;<1PI(8@IjLmeYL$X#ce0*ag(^nq~s! zlq=s5%-{x4Cf*Xj;RNja*PZpAM0uV%yW@_^tEL1?sy3Nm+UDOgnocNN2HW)LcAcI3;SYVfgq06#nN>~+$RxgEFG@85db(Cj~j+er>F`x5P{6KjT zJQ~Ru&8D}`1GKE!yZwYKk6?!^BZ`v*z(C=$9#F7Bz!Nu4_&wbdL=~uQ9upj}UN)tb zA4ZSv|GUqk@qA|2K`kqmmFGq{!nkOX5});;lg$wzh-A_?!QnK#q3A|tc5gxGqMXeU z*Wl+%tiw^W_O#b#SoLXsAMT)9`fu&nU=pL&lFVn1VN5N8%Z;N&7%Kct7YBkd+Pwo{ zY6<9p$BYv5%KfEQS@HHvOH)uz!@ymWfVOTl69Sc_JmXM6C&bGa%FVgCwg1Z426GKY z(cHBv_FL;n^QAYY!DepWQ4h+h4SJd%yP*gV-k~pNRRE7;A3$NxC?aIdADSiyjQA!S zvhJO7*J@z46pnMe9GsA2k5$29+3cqojouvUG5r1jbRx&!!<@AM8~8XoJklZvJQ;CZ z-o{148F$ngowES@@o^R~RH*k1Dff;|2JD*Cz?`5MP9qC5zzNi8xQFxw3@g2vq4|w6 z;50MjORoa#<$W3NQmmS|8f&HWRs}jKOOty@G~H`Ic{7p>a)k=wWI<4zJmyF3+z(ia zD&`1(W2!ezda!Mi!Rgg0@w{H*^_Tr_kB+t0F~q<7=4FS`UvhsrSzsx;y*eL1p+*{w zeG<_Vtb*(e2FaCRQGzU;aUvr}m2*6_Et{pn4Mu4W60Xl$`J%puF1}IuWRe!u^U4VTWO$+136u6wFozqgbrv@ zvUbz30ttvIQ#4hbPy*CNA=t(JiOO8$=cf9oHl+(yGd$wwd>7!^N&PoN)~q7q*~#aP zT0^KLMLC6C`=F0#<`1F!mpk>81d7}IUDBB7p+xm~e5qdc65o@q{$JEmn|9Jh9 z?SqLgc{8EfHP~U>!$Jn?b!qz3cH!D?HN#2o#&)UKs|#XDI?e0PGE84gR3gF?c;)P( z*}#Ta|AWQ-H^v=^gEz)Gn58kf`5EoF?dsOIAi&_0n~U;h~eae2g;ofAqqoYKQL*>PYDGsl|X6xrPUPaHC>e=#eU)$F(X^y`JSh0D8drUmxeL)Mbi0aA(lv$3Afv2vLS-#LMfe`P8wl*;CU(BLm z@M;?jQ>k#}o`5$1rebQAGh>M`^9!kDZ z`c>4B@UPdfJ>Vds;}GJ~mQ?=KXI-{%>TdRTFHe&1*fmu1^u}bT@~D5dVm7KF2FFz2 z@$hT0Nq-#4iF~9~{)P^=>%nZf|Fv!GdTZ#)tdkPPe+xkp(0|;4pf?scy-sJjgxfL% zJ=Lufp7;kY1nv`GGlRLPUi6tZR*fJ6jZNiOlsm87lLsxEKk!%d=7L!?Y@I3>^ z>tZg|k6waHmZ3zTe-0sngzMJh|9KG|?^-+wFVu2wMg==p8KBs0sD@f(6Af`@-TvN5 z(nf-UJvI(B1A@+82%CB>UcK|YC_A7W$4lK%{-b}&j&tfTCEE}imEQW#{pc<^B>IHmwUaRr_Q`LY`)HvgF8 zEz&bnlB|h{+Dko6o|JM@pP|34zMb&oF1Fy0v8v|bThD7280&5bQ)~)-W2P;hB+x0m zHPcWF!S)%tQC2t4v*RAlUc0GN#7m+t(I8oKGa8WON(_ z;L}}~VZn<|n5R+&ia;o^XZ0Fl-&&HYxw%go4<}C5SuJie(M1%nd{(L;*#5=tL#$X5 zmedxsbj43qS@@ilA)O||yMkD@7zkrw4<~r;l}($eQatbf_2;I^jxJWqG^ywf6QIML zy{qB`k1a70JE13~qRWy#m@gMX16{N7%Oe-@n@MAF%%+0v7Be~KmYzD? zEDlpue~8C3*$;quAQb}oQk37)B2;~fn6eN(}r%hvUaHLe3)#9GGt9YZGdD> z5ttQAvu@U#Ir;M5E)Bs>9k~9a?;?X7thIhiv}9_f6r3=a5%JDdy=Ilm!Aic1W~LAx zO`;(WbEX z9{bMiSKGythYB$_Bq@>Mnwl{t%Z-Q#>hLZU&jxv(vJQLnGQrm_J*$Hx^@W1 z9N0M$6u6}c#^#sEKx;S~wcEw^4YQ|W*<+3cj;Hlk&tze(jW`R5U8?WoqY~+R2>}(p%xeWpPGUe5InzVCstF_h(W?~iFIlb>% zfC?h{DJ?wGyjZx2y*Si}FW2?*yuS7W$M8`2O>k~lEmlk>YvRzWZj>Ea&+0hSB@qN` zH%RNt;L#qJ$rgwkvM6_t7R{;_cjaOIyOJf|Th}|+c`Cf3(NAWR5~duon5XgnB2kGC zzLHxssqY}R0;1PO!vU%H{$k?*@}(#!CO@wyu$ab}Hn(S;dBcKMZz5?8M`F z<+^6r>kVeHj!4b=xeK`JvKTlF zJ&DGvPu9|y8fug!YO%l{NTT=;WeoNBcc3{y!s zV0L{Uy4Vo9(c}Vm8`53$Cq{67ykAZ%v8l-EZU5Ah=DHTnp!_;IK?-2NhQ@?(wtangL1B<7J95c(ICY-Ljy<|_ z(shhUWPA8@i{$5Io4j_1s)HDUeGpVx5GucYoLh}2f98XTi=)}OeQ1>H_M~-|wliH$Y#1ED;E9ESTI4*OF%OOlj%(OADwV)!;SBKiz%&pc z1W{o&4O!d|?$$Yt;PNYc+{b+?GgG3y3c#D0#^ejPaNIkpOqGqXrpC|bzb*#~P~?C~ zjDPZ=%w0GdZ|OYvy+e@(j_R7SkcQDp2EkZfNaxs`D2?0Nn=(pbp;5sv%$pE`sU+>f z4iFsOm+k+q+Wxv^=or~1|H!H%4f|n}aXD=(sydG2*m0?)QT|`!Jt8J%5+*X&BT2kC~!()lxR9F({8uu+mgyPD!*V*Zs2&ky^y! zyz=Abw3a;ZDD%)OFg> z)ma|OvwNLftV%Nn>|#II#A(&J_taRpk$%x4yKOn^Ct+<6jzt2+3-on82 zIO2?ll0}eBlpFFEh8l;1P!mpxqsD#&eN7{{f+SvIzB;rZ#H))YqhhZ$%L*dS&kG6E zpthuEGMNzC^7gCMo`#aqOL zQrbI8A_Bo=pIWo>8<0BEx1dO%m>I+yyU?Zkii>)2#09BOh(|Nap*=seNu57rmh#=} zpJkUEcm`)6c|6;Or#%R;^@@HwPecml5^+-EExh;iSr36lOubxL zG4m0*e7JR~fwDQg?Gg(P`~+Hu%o9<9$x&ZkiiV9?wv#6)yUvUo_K*H;{3X-D#)m~g zXUGC@$bz<8w^c(yVOvIk{S8~KRq;9XW5pmuyx*T#pngN?(k@St6aJmrM@ZW?83!-{5ZdlmH%| zJJI-3)H+$*?8>8t*FV}!QsUljy)PQ#&HwJjLw?!#HCgZj{ROvXe%;Db3T`4w?fwux z(mNlDY{v;i5e%)r%yE3Jlt?qRi-l#t{-Tpr9#IkvFa4gX9Ut*=ggbFkEGlG zLeqXPA{Gl#*4)$V*KzeXCt;2wIK;UVWBD&~CO=ee>n%m||+`%~t@! zRSiUlch{09C_j2Sz?Xb8_D%c((-Q&PHVFb?{UX-$hdRZaDMzi`u?tMk{y$>1Cv1k+ zph|Y%D_)9l^!=ZVMz?)c5ZQ_Jxo15!G)vJSt?jnPOOiweNoGXcJ`l48T%{5BUM8-h z{NG_?nwibh0o0*ngJ!a)-I&jldWKQDZajf~k$hNI%|w?h9uE%p zKhvX0$@%ru(f0p`8nx0$ELw(aSN8itH>XWnGvmF7;iaV3yiz+# zDma^gd;Aq#J0=mg!M0NCM*+J%2r*Mg)varB+a%%!5R-(qTF-%An#&5n1T>)LHS$}_ z{NW~1(~v;RoLzg?9oO!qG#cO@c9jIyfDW-8?Vl?D7RMZ{)m{+dS)~#l8}cUWh*oOM z99WB`!yPw|5~YbZ=i4ZWghpxG5>4~Y0_7>*KzB=WtDSjQghz5#-<7A{r<*Pxgb-JJ zDEo3Y?NhjVJ2SO0rGiUv^6(B_=!io5d-g$x@>P~bC4EVFgU&8mu{;%N7(+8l&TZqB zw(yB@sFl3yXk_W+k%oUwJ+^5l?*fNeF}=dB>|1q2q6(Kqk+pe>W@|O?U|~?&Jn1xi zq)HD!VrUvV##j2`x#`m^B2?L)Ae*wH<5%)DTi?e@<0Wzh(HrmzD@zlHR>fAp_j!fo z*kcYm%B#6y;=!k#dqMF{0W$sBdf;eZc9s&szdg}Ngf_#a0NiY=jwx4c0xqIbBD(yv ztiOO2iPicLW6HSqq#u>^T4FWb(r`2DTyX*<)i5#DQ7(DQ0vxFx)Q}Cy0O8Z2mWye8 zo9s-f{QaC_?gHm_O$P1ZzcCG<3G}VHanf>((__x{ng@Kw)sG9%5W49xaZU5!PR9Bd zQXFi+pZ5wku5i3b+NOS??4mothVs{k;Flc{zJRJO!5T@?7`_I1Fbp=3+s#33^pt%? z2*I!-1c)~qIJ8JNjc_t>ZjO;}vm1Z*`JCpC9f_K*IWmahMEw+?MP^46dZ7VYB)(S^ z&AFYn4~PHv&+GYb1xsIiacXqM>Ev4q*49l~^i%L1|GW+^!Z)b?FcDq7&7z-2?Ryw+ zH2yt3zm_%?L#s!g>bm0m9)5SCNzDjI~Z)klfRn#oei#$(YTg<+ZB!6r{tg(gRfMm zN=LPN26uvO%5?#jeKz7n=2o!t<4UKO(i;yh?OAQpY!zrN^3}$9+6WP1wx@7xCAwp$ zQ2!!gB`+wS?+G4Yvv8GJ_VAv)_hSx8>6&1Hu#15%`EVh~8!0Q3uKo zw7(==y)ju^KUY7S88R=>SL8{F=p9!cmjPlXk}8lhF%`T+#-UfjQE?9ln})Dm7OL7A z8ALF?c0k-SLXM>jaW!!nm!8gJ=o}_(Sk`)cs+7wIe~chshSz4FU5+|l9_GTN@|qvG-e*_oeel(Jx%WPxpnH|y)|y4&*6 ze_%HsD-iE>@Ql@X$V>ny3|OlzYST1`ARwvJnG-c&N6uJdP40^g^e^|ZoH8aC$m>xY ziVJz&Q70QU=CG=7P?167^l=W8(<;H=Yj8#N6!JB3y@_4;Kd6(UVcuxGO>iKz`2&fC z5>EbSt!ok=+k~9CZu>kNv@N_g3qhf}N%A(8`4=}4sA%~e?XW)-c_q7l5^)+&tsj0% z&`_zZjPf!voDIb!QB_k+h%X*{!xKP{*(#g#vwA!gL3$LWbE}Dk6kLdvsfg_D0;;Bey!@ydumt7nUZ9~QZTPjh28{NUJqG>X`=j2JIOq^#RvsDGY_g(If3I`+)eJ}b9v_BpU|$!})! zewFZN`l%H1StY9{*`nI;?D9Gq_rz{(p&s}FwpXslx8En(uSeUyE#BGv;fgZXb8!vV zg_xT3MZA1<|MTMZX5I4QbWQQlXz{VA@%#7e_6)fM)Z`-dwc;(_IzFz>NBzx>6iqQv>_DqgqJ0?sLPm(R+8rH0j7Vl4LnfGd<4$@uD!idua9&jz& z9qLeyWJq&SdeGHg4Bz)&C8}FV-zl~CTvynM|ESET>r3U4PR)D#1~eyzMBm%EXekZ_ zFAVHlWqjM;=9dLmXViK8R(kB`@-XtJc>lM)*93o6i3Hy|Kb~J&818UW@JSFC(AO$H zwFItEsC4mnk%Im7F`gHHCB8fUcT>w&0V~7TW#7b&od5iSg`Do8(MnMZp1ReMn`}E= zJ+$+0zQ?D_>0c!GQ(p5QK-~-vehGQ8)22z_u>T?VSahd&X~63hK~yThMN!_ajlxpj zI5J24TYs|Y#c#>*=sn)_$0UN8m7=AC|>7^wB?J;BS`g37hRB^H+P?vUhqm^D{15GY(N~7+MGx+2jcXElM-)qjTruO3c6eFrswjup9Zw?qw7vc4 zVwj+6MBq{d++7u!kf&#~T#%NB{hI38tybM*4-{T6ko~BU>Xg2j;6YxU+6@PCm_Fa2 z)7vX~JcPEbV|D@eu0?KpRzcysw$wB`-g_qq&Vj0OnBD0lVpiLmPCR0pm)7Pk&)U-L`1&Q9;bF*%Ka&?p1QZqiV?%4^!h~%r6C>C|_B8--Y!as|4nL4{&@Rl6;KJ*J( zRQRdealNy(fTvdXGx;DPzp3SRegFJlZm(#5>!_=ZUNor*$VV?sD+x~eP|sWz zEgcpdpU+loXct&8n7`+mjs9d-5GqpXHC1lWMYp4={(E|781FNy$(lNv>uS;p_O5YN zU9+~pZ%>Da>HP`+>#KslnP!DO)mW-iuU-ll#7g~2sK_wU=j#gbLnjac3~04)e(WE+ z8DT&A$s2FKyt}sb4AH6DD=Q;}K$P`_KCONH`bR&$S8MmPPOlxg1JGHhNLK2+?t7ZY z{y*5hNwkz(Y_qFaU&!EnDXE#HX4Co+rTMb-G=U^@-#*K{IlqU?Z^~q?zfKceOt69?bT%TWf4p8-1p7z4}X2I3Vj?9 z`Lq@ok2ACPQF+uxHF9!aTgpfY?`pGdx<}|WT;#IoiBwOvU%d{I;GLQ29%ul(YxNT6 zmc(&xW;%othCBIFta7lh1f0_n(_nliVjA&Jv=PL*Wl(rf&!g>z19mPkIidugm+Ryu zk`O}sS2(c~LRXW^-_?=7+{E5p78Pu&Rt0@cgC7-~ran#Vp3uZCkrdn76REvef1UjA z5zc}x>0ZslFcCAQpLdTm)Q3y{%+Iy?aoVf9P5iOU#Z$C;d6E|CXes1Ou;35>PEK>4 zwlI)hjHTsEKGGsBG&#s-e^&HS+wMk@WWP#O`EgltTP5Cui}?(yEw^SSpv_dobP^TYY!oU_+nYp?fS zwdZw~So@0B#Bj~Ls!s8oOi@Evy2nUEQ?!#0*nHZ40lNyB5@;eJyu6T4_p@IUeiEa* zTXa6^(L=2M&DV9TE!OtDVT={n)uGgaaz%J6)fNWL1x z)$!`*Nip9_}UI7q>My}*iEKC=KAna&7R{?EtRO$jK#N8Ib zkA;ZD&7!2D@5S5c#2ybfPOw1HCe$^FPKQ=ybGZzVfPU9#zu{N&knh}2o>*0p8sN5P zlTx-!XL6UD8?5?~c{2AgoHg4b*#%_eP>N9;8F8@--3N=jjB4 z@^ns%+7Q()NB8P)nf|G009PI-^{yTtb2Wya@?77?+*?x9vy$HsG?WAkk&JO?Pl$~Wff@8=7APmx-0BaQv>M<3at$4yTsJ~9dIjTW)2=lXY57nPEbpdY$F zoYU6}d*ki;hROgJXirGMvX)H(ax1sYqlO;}>hrjKPJ%HpAZPk*Kk3-i`>sQD{oQ@$ zTm>yeISFTV6DYiSIzk%k8L{=gpCJf;m2b3-Ka+L^h4z-brjC?R`iIDM9?!CGRQBn# zHLzqLSwWwY`llhxaea4cD|@bXJHLuF8*r_5wvVRfs(5q!LwP(^qzin^lL8b0&PRq$ zN?J_~rM?rPOJ8t!g=gS6v`K2&o9YT%qqe#7wrxPS!}Nt+Qw zjhq>#_V;IvUUw8kC50R-^^ddo2Aa%FQ#wu29-C&p%+qeC(>Xg!{DVP!i%9(7kM1qs zQD4vCIB=-$K=F4=NG%MdJ{O&~=9TX_nQV|A|bhY?S^|e#ruSPv)b$?~M+5 zP9oNI976~F6}A?yD#M+r?|FGU(YWn@TEKfirT5; z1G!#D$vo#x8!KkV4kE0C5oPt8w*9_c1RKhUI_gSe`)?NeT`S|Cq6;mNGkpfm)_wY6 zg1cU>gsVGdthjA{Fn=tQk^a#7Mq4e8($r^gvB4R%n>`&Z+O~PrlfXCuu}p^QLW^TQU9;Lz4;> zZ6lp|+gT*b-j{^eDdU0cIZlDcdH^W3ezXO1WQ0I-*rhiwVVb*=k5uC?eJo^HE)mp= zbsbu*JPWJ=>c#;>g+S6pF(cuq#V3uurb0a7C^8GdWl}z_JH%eY2FrRtgHTl=coXB+ zC{&8$3y9utYZ``)CrQ4#E>v7c(TciVvUo%Y>WEsr*tX}P3BwzjP!GcGhtk?3gG+oromqZ z2AEj;@0!X6s<-EdN|V0ip)!<}vD zPW&YSC{s|XEa{ZEbcsZyJcG)aqgSd?JS22iV$l3u?8O&D!{I)wYy}>kv(RQZ$vbWN zfjVDUp8;H2ZfL0{Buo%Cm$3XIkwG+^H+Ewwc&^V*5=|$Rs3Mv(=RY}LS|w-`*_{Yd zKBFs4Lzi6#WO`_EtCG}3$;BBu5q~||k4Z1KS~Es0?;EyTF@X-*{d>PY7rL5~C2x%M$NYckR{_{F- z~OUPTtPz zee%3?ExS+Iy(&k4IwsCt!i5@EJj}Hf;);EH`ThRUHAGaBNn_J{LI1Zg7!6&vCBRsv1D}wouadncQ{Lwe_T*ij z-i1hB9y!fP0W<0Yur4JxZE#Mj(Ma58$|ZnF8K5HLfw+y}wPz_vR2Vuk#70Z5kx|Av znEN)>%Jk-uH&q6Hv?dbKyYN%mmEOOyb&AP{zTYhml$% ztknrZab6{HPCFD;=R1!DNSX|PWl2bCjjJ4Sgs@yx%NZWNn#=+%M=K#vbS6f(IpXqh zrKXHo`nq1Xf&C-#$BtCAbORGGT)E5Y)Ne6Q&@c|SW(VD&RCFy2bzsdd-W65e6=1HF zq7c*X!5QxEycV3>leLP(kN)Vsr`Vf8E)u5{+LJY-_y9sBNv_QMBvcI6XOm|s1-rb| zaHGvBan4f4$}ixnVsh6U$N`byK%ZlM;9!DfhCRfx@rW#hytd_A+C^E$F;K*ke`~Gv zL(hpJMJw*+n;jmWo=JB}8#vXRb~5laWdPnXhXJ1N09wgUhMk{wC1jpU!`1VUU{^0d zN+d^r;%aP%^T&#TD*Cco`W7>WAar`=qoFv{_GtQAHCxPv*p=D7Omz6C&+Teue+Z+< znjXh3wx!DHVgQd?n80dRMY31>FB2Gng)DVfCy*p3<$dzRI)*c(HY5TIwsvUw_~iEN zNW?iG=1rcOv3;ag`~%3UsHn@I3>~z{iq5bLAjQVeLf0xw-C5ga>X{&X6WD$LVuqC2 z{^$X|9Ag{o6kP>WM)J`OV7|#gr4ufy;bJg8Nlv+yMHGbHYuk(;5 zW!9S}sNJHb=4E*t927S}1U9rIat%aa-_3r*d3H+tx-rOt%4=o)vZMCNyi&XZ0^nd_ z=H#$QFf$ibt5;NZb$qGOSO$vjvXcry?;k92vA+84vf+D*7)VTOV%HujTr4|#`#>>p zoaD&dFMynUWd8>hVZBbEkCs`k!>#O=OAfJ<4V}Q37L0Ul_e2}VqP=H$K@gnq^v*=m zsO&v(P_`mSW$Z@yNUmXqnC6a)O8+Yr(~heTts3(x-1=<^wRJ>lMjG_`L2C~3g70|Q34YN^D zrLzZg;n7ZyXB|iY6FG5V0(4Ok1tH!=jkg1-+g{F6o5v>CcWT^lqcdh8nC*WygZAl# zY$jbluNQk;OI1nsS=tksiRe$SoJ$3)8f+@WPO6eOjeEXO5t3RWyCo*?S+2R23g3SK zD`$B8MdF=|JgwIvxVw_M-gyN&Mwq<{<+2;!RkK>7lY+!Z{TqqQoP^(zMtfED5f5y!4aJups_r+H zygzzymA`2AgQ*?y(&4k2NdZN`!k4(-49Ih;=1pTe^<|JD4J+iQcEBCQPVG6wt{B&t z7IL7K-%TXAek%gRpWKy@uFBwW-FXSE5QD%Is`lYcLJsnPOsP^ESyeQ##Fcn%xM<~; zadE!uN345X3W`T?OdJK>9d?F0I{lcriatnqV#OV;Z|Lr&PgOk!V&;3+VfGIFVvcds zm}(d>h4GOc6<@;8$woCxpg4EcXgl6dM{N^6xBwP*$``Wa?eoDD;Ftj$U5So1G@o^d zfJd)ZFIv(5M+Ap{E}t|`vszrh6u6`2GV?>^@^#}0T^I3mHSZcDn>x>aJHmHatc0^z z<3CpjxY9JoC1`D{h^x~dGmK+5c;A+%=9_z3>3IdDEU*a1N<4CMFrIAIkY65JT@9{^ z)<-heTM2;`D(oWxt+rifnouJXD4rW*0%kg^=d4A0Xc0QEz|rE@N@YZFKHKI~DWuq-jzHs>t-6#?u7>st~M?usX?HZn$vO7qZx zbXqwsW=*WM)rQ%nh2(P?6L>CC#tMKl~KVZ&NtMf?3oTOmuqaP#2OZN+kM2=ayhJDrn9Hj z$!XADrI6;4I6b-D=||6(e%;sVgHW;2NqPOcIl%0yb)&N6hpHYT)?z1culF@*q!n8_ z65pRBNVTPpEi>;3X>P;*$nIB0cKe(_rFSZ@hK5o>H?B2h`h|b$<8i_gQD?u8TJE+B z%n@T!Z4!R!LgV_}udJ8IMQ;&fo=sAhBsj5GU1HSn61YMS?h_uz?gyzen5K2}?1&(c z?aC@0>4SVe?v3?=E-ZFolY7~t-1Pi3Li%wAO*fMm&u6>}D@3V&vDormC6FGd2lx1_ zhNqxdTsRl97Ls(<5CGKvXao3?wMxIzE1J{kX!udW^4&WWn1DC?MqvhEVXjQzi*`jjXvBkXvda<9bFs{wXe5HgeCgm$6 zN;o~n9dLD{3+}U8w%3kr2vR`6X_24;MT#1sYiG*9MZMTx_S9rt%$SpDiW&pwMf01LTRO%0njhWW6!nUb%=coz+0sl;Lj-tN8WiTPGT;r! z5C<2AVJQ5!4?0%v2{9?QAb7oe-E0ZPm|VIGMqrGfK!_y?M|ft`yf-*M;Cl|7V@w#O zv9jImXRGH$I|`+F6Y*-M^7o!vRrbIz02=iKo^N5`9k zUuIRb$=t8rTpQw25@}xf;-QpQFzpfVpPH2rI>dWjebGz#W;lVdZ@L7AzA~-avf5*n zYP)`~q-ASN#+!70kIx(0?!I*F_???pH^Vbm2&xr9ynVR>)>Bje;nxj*Ys*u)G@hKK z4=PsrAwAC**7jKbPlQaU*(au+MU_sj8*ZizUE^huT=MX_)W3M73VTqzFNm} zG<%2a+%KJNk_XS5)zaFAhIL>(5vo$Zii&!zsFs|z-?QijcK&KJL`XTkB0G(EU_!ZJ zR1&VzMAADF=MEk+&R7MsD4rzgCoi>mAy`hx{Ex`6p=CRvdNT8%Nmh5u}&Q?Ul|94 z?7;d(z^Ck0Hh**`$zs_HVtL8Xs*6+m#>@6Tr|AXd7Q3H&8t+|bPtw>#Sl1y6Dlr`z zVfmQV^nk3rGBOQyRxj-^t|)gYM@aq|v#c>uz=5FZUt0nS4E_ z=Xs1gdQV07IUIo|ef2TWvBVdt{@#sOSIWW|E$Z1er0cyKC~rmUyvqKtjGE#$Z(+er zYRt9no~{^G0OcrtTOFW2nrc}CpgyiCds)js^T9mdo*vd%Ic$>7w3bwFZ_Gjd-3yee zaPqrcE#nbBZLT!i@w!($EuIeML;yimirwWgY#QeXAHwoGB^m3x`gBaed22RDIE zo_Fk(hW9`Gse4dcwco0#g~h5)Oq6WZj8R73;Km7|Q}>4uEmpejOu|vfL#H zbx-a)lmg-U`Bm=4E(r1+^vdbd^K$3HxEW&}P&Xp5!6+Ji)bR`bX>BY~5%jv*L z9}`qZ8?7W8#{yM2P+>|Al9GHxJEy!Q3@V>A8)Qv8VYAu`xAACtxghRMW0b_Pn48{n zCixU%fw5<5ZZvV$XY4$XJ)@P>z>R5qKiz-ubSW0tQ*SPa#Ind)%QMkK$f0; z4zT(`B>*F5)amUjDs5Bcm;R87UB1d4?3~k{A`Ym7O^`2R} zX`@>#rp@gocsW;IrRmP}xV`#ScGE=vIN%b{$79iscXA)EXu4SE_hMoaBGurZe8nnM zB^eRq=_24!FCC6)c)nAfe#@@M5ZFM@Nhy8Mwy@v4@ods96si*Cxu7|A$THz49EW;i z19O>P^v#bWV%!H|OUV3{c&_h!hf{Qd#?cvVljrYY8o%dIYgS;OkqQy}g+~9+X(ta(A>^NRSZD z@bDSx=+5;Nl{Ji+yQ|!`DY$xcMK?}$W-p?sS8m!r{)}d0d+>oeUVCO%zZfE*L%nW% zPVOUEgJfYz+L{bomJ!v0mG!VK-V59jny?SZeEbA1{(xFz)lCrq`(<~^%SnQa;##hVjQ|q5(11MI+?Oxv{S3EsxR`H-njQe)&!Z_!J3bE z=m96mluDPFv}~5m-;v}(C*K*>)EN|?)`Yvb*&+Z#l#xI<`G9x>=*IRd5~Z&h(#2U0 zMf(Iat1;fNE~o^gEBR;VEG7pHKVrH5K5-P_**R&1NIfz<;S!GFC85*xtSxe?JsWq0 zwm7>BlA5k8Z!s>vYDis~?*r#(C{GWtuj?-5=bq)yoq(!S5yx%n-yD0NbV>aDUK5U6 zCHR^Xy^$0}b0TmHlk6yWMgbMO-sCINhe;Do*Nl$V^!9-n;xuR|-`;!i+4%@>?e?gH zJ1kMHzE1@2l6`XLMiD-4eI4+OH`SOl&7_L^M3|wS-P&2N`SH7qOzQ7f)S;IJgQ=iK zQH{;!qSoMRh5S_cRwi{3I2W`!_{-Vl=?rjK25;$RV7lbFBB=bW8ZDZB91G9`QFl1s z`%h?K*%sKd?3DLsWfugm@0Hoarf#2xq+R69hE0+y}N} zk7WtCq!-ZUcctQpIMtjm@v@`6+JT^Q!kms4oSoy$EbE0BPew~1$a6Va61b)R6dcjP zSqDrVHw6uob=t|{Wme-%I44VI35Hb4sl*p@KlXwrc-C92618e&Hiy(-RgFD9SKuA+ zV1-kkw6BJcVpO;q;U8;@Eha5lCh;TyN}XVo4%crV*%aX$V6jCRVzr5ak2TDWri|Vyu?`35 zJwLxXA1eI0leIROchO4P!~Efj7XNzv%}Hd60ed@g7|%|YgdU4Y!v+2?ILcNM{6P;l}0`44!++Q@7D8h$Z!^rrr#wh@UQQJS$RIGIP2{gn@nE8YQtQ#zZ;B`nCKxC&6@JcIePh zk^{JK&CJ>*ROn+RSA8yZCE4iDskT>sPsJ^bDQ>>%ZD#50yT5(oJK}`cz?fa9%}pkL zX1Aq6LZe7Tk^)YaD^b&=<<4BC-orAq!IDtY6d9nOoS8se%0l6cziCitT z=xe_69?uEj|AvYqV)|>mCKp9eA*gS@Zl@+;;>L57nt1a+W~LS{)->^onG!=ME~-E2 zE$Y3VUD7*PzOZNx1Fxt8Q8e7Dhn_3m79?m-HL2Hf_MVt_bf7I zGF~z4*aSQOimudkFxh%*)nWBDZiHxNW(+-ZEIQHT&eK=*da1^-}Z}Mb;xJ zky{k-GPli2bn+*?A8QDD?mn9Gn0gQk_9x?l1)LmfYV8|gu*xlWL+@RqOvXrPxaKV& zo%-zP^`VWxi-s=0IbKz9jFP8I)x1S>7V_=ey1lC*o~A6A-M-Sw*Oy0V()p*ru~(YHK$11jKilDa};!eYAjt_`V;27BJ!zkp07 zPraP9uX=aiv-@q_6e?wkHPJB-({OS^MXR(tqWD_s^|f|!Hqk~D#czuLY_TS$bk(pM z9}jQ-JRTl39tpmUtF@MgtD7gkwYR62t23^<8uN>D_}B9Az)Sys{~A(;V-^H1hkp<6 z3>`PKHcW%RnY+sALqsHD%j|IF{W-%VE+S*0w4@s;o&Kq(;g{RovHKqA@dp^|JwePg|QVX$TTTNe&A?; zcXzi6UX~4P^Dd;z)d5s#Cm2A;S`{0y~@XpRVhk=w^guM{85iFpzC0P-zVtm)TPDj%B z#+sa9m^kRi!M82jvjnlSWu>QywKnI9o(m}3%*$}r5jF8T2)$M5rCo9raec_~>x?V? z`>Nee5y-I1NUA+Ao!V-F9n{f&NSx*449mYQyaU-`KTkkeCQ>Lb6n!ph37?{DS6nTxc~27 zk4rLF?G?C;UOxX?e$YS5C&+}6+ZPbAKCY*=#Iym6-^YKp>P%tQ5G1Mn( zfOq*OutO}l6^NZ^y60*LNgN3_5;YcejkIW8cn zY&UnFZtJAOgN4aCND^m0T#MR!GW!_1K6;^2$StO4X2@HjpP}yN4r(b-NWoQ#@kzJ) zVxQYFTZidw=lQZnELo<4GKM`@Eny{;4+B1+hU=? z=f(nXBZ)G(^~r)o*ryK>N+oyO&j|%-4)~A#`f+34>Rw%eE^!3G{lU|f^JY=I3S67r zGcP9X8@Y&fZC5R$Ox41+DU5dLU0cH9h%?hJ8Hz(A-F^&f^$AaTS~f0X;T^P-Ho>U+p*>av;xB(IHQ$Fg#zY34ZF@}^iu|Fvb2Gw6?>Uqz&0 z-j7dIE?u5aD8tfBuZ+U0u9vUA)W@ zer~p&rZ~)Nss5b+wOOYv0U)ppO!kGpjjsT^#@xde>B-NByZ&?F66vpNxPepPHQ3(< zE(2abTiHLx;+o4^xw<;x=KfbY13Gui$H3&-VARFG(P1I|pZ2u>q3};8wu(4f?t_6k zbpI5ek^J{yFMC^OTmIiy!G9Bfj>O<%8jv813=a?Tx7i!1eiQKY@o3fw7!=nJR|D8(K)qkb(uVT=bXY`|A;^CbO zAOPU_>+g`^4>9a5J#1}sygVFS?EY1nfA$6bFOA)vf92zMm*9WudLHNwr+5gSIsiedIKVUB F{{wQ=i}C;f literal 0 HcmV?d00001 diff --git a/tools/bsi/bs-it-gs-2023-ops-betrieb.xlsx b/tools/bsi/bs-it-gs-2023-ops-betrieb.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..a5c255edf2bfb66cd0e194f71c2124e0a4ca6cc1 GIT binary patch literal 91322 zcmeFX^RFmD7pA*y+qUhqZQDNEwr$(CZQHhO+q~!dCO4Uznfn*aRMOQ+r+(qBF*8kt}fA9`WCFxiWFrb9of`7u3wiZTnVf3ooBH;v;%x5sibu}= z`OFr@{p%D#VZ{z>?XdHDF7W_2N?q7U3ZgudQlZ?$D-7!FI=?BaHy;7$Oz1P_H5&JYz2b- zxMoo|e+Ot$KgZ~)J%0)-0T4~oxl3c!ElJk3T7eWV{=P7QPxro(pEuD2hJAb=!GLk= zWM=BazP8dWZyAsfCnFp-JAeSDXa2K4@U`9UUawaaxUk$@!QWwFPzDV80U&4yj1Wz? zppKD$72_G}s~N=u`^_BK^qU$KdxY_Y9COKc5a#sbUwV43m0$#C1u)VK#`DT3T@adu zjmY0K!Y^U(;&;38$#I4!6YwY=jBQ(WS~`?dZlCu91OVXo7Z^bP|HCS>ZjUk0KUR1Dp$PqtRXqn|D@S^||IGiF z(f@vhtZZn(8=z z?U^^C>YyNqj`Y_L!&yvqIN(pawmFA-vIB*}+KYwS`X4#Qub{anZ z?ZW?x%nsx?#ea}l0tNuU0)PN?v!eeW)VSI@SQ^^eTK>o2{$GLs|GC`1wf|?2uEbf3 zK?azS+raL?d2jm!8{;Id?kIs;tycgtg@d^vwv-ogTfRi04*qeveDpw)FK@oN((nD! z+aYu?i)@uRQc8%X;!4d;iZ_mKUYuwS!0OA>*m~4cLQ5QVg4{24iP_%iN)9 zf*n;BE4l&hny4Y6bRj-aFwxHm--j75IC7BmH-9NdT{l9rwhiy0|91-NE=Du?`?@&Nj6q1$7 zQD^5uw44|}K90SLrx&F!O923qrsemwlMSsj`lT%7oQ6@=Pd1X4`d4V`s$ojoX*pbr zhq@^w?IeN)X$38I0`pHD``^?XJB}ur2|}bU{Ca4Gjk%i=y1{FTPReTpOD3TROa!4? z&G{AN8=h?PoAQ|<4Qj^;)Un@4?nn`7x^HCkxja-T)8O6tDS%~Rrt)$ zsYw+G%AMKU?RaMA5L!Hj;o+opbe07Jl7$(=5%I2%co^&aH}oV&qYGm6ERXpuv@UX! zRRXKd4aVfKg+9O7)DR*hxCLah zAot#FzHlQRGU@V#34**f`(1m$zRL~CNEc5@ZW8Tr;0Mnv+%U-o+t72OXA>AY+B-x=TsLC(^q14{MQ$QsU?HNqZmzJ=BY`+Lp6QugIq&zcJJVH@ zd^!ebw%_Ca$khoO^B3)6yn9y0k}0lxZLZnu}DZ=)Uk0+BFqkKyLf$o7-Fq35I*2` zQgxLoRdh1SA`L&LtpC;Zeq0F1GwZm%qh#0Q9;1>XeULPc*}~AeLEU^=1)>8Hw{)J+ zlqTR^_?tp5k368EI+fcz6x9iGm6fheKlU(LNy-)N^<}zTeeD`Tv?{C|BD{%oWw++z z#7k5UAVYK5rAueFjkD-1fE`9aiE0Ydw5DzMM$Q6_|JACV{Uf>|j53+%P-ZT{rc#==3nQ{D2voCckCq ziwEd4rqS4X40;dT-LoWMZXp4d$$YT}jC)DSux7-q<2TO?cG!_q+?`wX+ zf$e6GhR)XO{o2&m=bQ24@SL3<-*lIdp^pZERvboQHnEU#UdzQ^lfvyq&>=i}-1 z7SD4}3kZJVj#nmJxOEJ1)tsX3NGSM5VQFN^GJzMD!=Gih zNl58#a;TKKZKHnrMrY|{s`QzS(qGp-eqsWwH(cca`9Ys( zfT@NW)s2fRs?bKb=;^whmVY;4(N@1qO}F*7LE?faxPTacIy3E&$sseA3sTmxc8W!6 zVh#QXLJ+0!PmR}|&W%Z!4;bH`Re9&F;z8Tzlb~JbNR0R+z`X59LD`1vw~YBqhv5{3 z@}cXnn+KP5|NN0ucs4Sr8|ICkx?Af#$0jktWhD4)XUAvF4cPB{M<-3{tfuuTC|bsm zyPj3Yk&}5MPf-+Z86+`#@p&RC4w?cynhdaQN!$8d68T*-#SI)C+S-*sKxJ&1Bpgzf zP^=Csu^tWdLcK6&D#K>FF|$_!a?>=2ME*2eqJhpVObecPm5aMk>gq(}epFOC%3o$* zS5~do)`E1!(=s+COs}>wESi}rNF9iP9nh*RKSZ5LxJF15 zk_DGm$HyhwjOXAEaWW2~;Mk^}NZtx8a+$xzSfY6N=bX1F_{nXotn00NE@&q#1 znI5;+T`agZr@9O7oSSyzQLwv}#J?7}QyvOXYvR7Zlq)NQ z7(Z;3eK9qb<96bLDlRVO!&?d%{0frq>WKDn!eVB9BZl~apU!0gyokwm+y+zuK7N%f z*4B>`v@;?L$@FzFGc|ux$lEAdxkO6St@g=cO_|cjsjCs;ogOD_lDK=R$d2j7|K-QO zv&!?QklN@~A{)SjTSrh)PCYF^bjkzyP{)w4orMg_MhhRX+64I~-@W5UW3+UZ*L;74(FJvIKY-Ywu1 z{_^b0MHIkbu1r5$r$m8Z^)?Pa<=L?^Cyy=Q9o%)aDcimyx<#r~AH{`v=YKw>p7syvNz_#L>mI z@WAId)HYwWT>A1Er^~M(1&z)w?uQVJ_8XO(&pSMrnqjc2Q>Ydvc zpVP1sUW_6xUd*`0Fhp?)$y%p4hbSW788}EPesC@B5Psd`bL{T4z|b*nj_} zUjM5tsRbyOrv6LmGob(gVE>0LIXbyp89V;RkeXC?V>3Ard}^J31BbaMV}q@b097C& zmCLKCu5+Af;nIdG>f;%;7L9jG`|9A=j~{T<3Bra4Vn3JmX-vgRF^HG4mk^}%m;iyxgJ;HXlD@% z9JPu(2#!AEAMZ@Ei$dW@;FXokN)|}kEf)wnX%DZk0xXlN`yL-)&px9u@Mw}MeB%Dm z2g90mNGL;)7BBMSD$AO;(@yL+jKtiQsFQTjL5$ntlyl!5Y=Ky1Abd37` zb)AtdbWd8GWWwmr=tbjK8j&S^a&G327oM|>5YGwp8+rb&_t&(?h$J-q>)P)@e?R{? zm>&2SPP!mFjx=gtIEU9=o)nQdIpBz78~>>n3HIwINO7)0LRqm39fw)xb^PxQqe2F0N0M&-{u$0|H$J&=lmc$R=TWsUv10kOkDhTDI&-?S(@22h@Gd zjOBBF6m46d)2oaWfw49mD<(+UvZE~C8{g&86d{bCi8`A6&gx$QZ)e1$Ul zmaDQ-?ME*0^7Hb>E(51oOQtju#HeS2g21>Z?zW51JU?%sRZ=e$6xt@RG#1!RHCxKf zu(>VDTKbQ1&#^NR%(IXmdVt;+@h6#slbojzz&|m))M+=1rJq;$Nj<#Ai^X%Pjp6Pr z^rd8?A0biIvmeOQCe=-s6iP|C8xQ8-AUd2*xi&)WHxyC3yOCC%a&!5Hq~&&_OW)?qEi;#LMMXN@ zTpHf_@Pg?G_0GD!ORZ(CbEW`F_*!ird-%=?KyRB*Cdu0;J>5==#kksubGpIiCZYXo z(+yt7A2%i0umnr?0LNVhplsnnZ^{mKXZzVneo-y9X^jk7#?Jhpo z9`fE@O{tNWb2CD-vuFYy*eClio^KAt%CrA4K-kARbb5^2M>?Q$9@N4o1 zK7uE9=2{L(1apRwk+X|Ru4RCI6wnChgT?aiPUK@+e1jQFf;Ge1E+;x%<7l9&8F^J= z3AH^IIYxL)rl!j!lJBpo$ls_eQ=RFgbK&sVf&J0ba@m5_H@tmJy4S{pFhQ%WD1SyF}F>G6?~eL|k6Pk{7%XbFA^<#(gbXF5dw4{50_2 zn&j@zIhJ1V()4Ys&oJz5U_;X6r%}L&_>;v{XHyz2%CgTmlc>VL;K+eL9b+(u?2?)e zmRaUrFh&j!URpmv(h!Gg3)bJR1`AQ@^@#?+dJ0e8DGOf{1+{ha+y=v_XepDjtqpYd zxuIX>W0ge_W+@A0SjLlP_xzC*g(~qfXy+t_hrMpRm84g8Wl$RPNpFc;%YO#pE*9%Y`4b7M2G(OR0;Bc}vS*$9*&>MeAjyj$hGK9_vxfeg)XmCR30@BmK zFl|s6_QRWk2El7sxnZt z8rF-x(PL96S-KQRo07#5jLKsh@@M`X;{p%1pg*?dX8G=9ZCaOATLyzNP`j(h-q8oQ z=5%l@n~|pclKhO#rNICCuN(dMH5(|!rRAPwXe4K+s8z=#WT@*^nC6((6e%X8XZ`A> z9-#XQN+h8q-bqQ{+Zl94Ees_s5W`HXisDjo^?(k~HrLNmPtlFhO^ZrW*8bCU`d>|M zfk-uq=3gTi?w`Z`{~+?;0<0);GiHO~U(b*F8JA`^G)o+fXn?A(;6`WpdVhlh*${EG z+*-E!;|4brRJ8!zjQV(w zrAmSJ=m{c(SC-Ew?J9XE4XY1{q=~GwxmoArGh~$@9kUEh^Gk`6HhoyG`$eYIKlz(% z{Y?R(sK=r)}X8c2?s60mbB>wWPXkz@;+13=|np53opyaqw$)j#wau_*(~VK zi@YSsY|d)+g4J@~tq_M%77mLp;?BKBNp7z~LV%^QvN5>$iyY(b2L9*Y+Qk3rl z>6JPx!pt>#YLeDlBc|F&c|qsw9FQZ`YyCJGWTnj7);=!<9Kr&>1#d21s(LTDKN^Xs z%nWMN@CqAPLVbzKg2OG*-vuwZ{8g5bjg%$>&5Ejc==vNl3?WQs#%&gH;c`U5+>vVm zS986uwPW}CC}ILQqT$?0qdVB7)C?|^I9W(Ntg7RV5OitsgY{BIA8DxkseSC z(PD$tPr1^m!#lfr{}VjP+ctp=Fu{7D$AF>(dQza`mX+P$hT`4k+<=!Yt-09*f>vgO zxPp3KvURbPA5xoerygaM1)aYjI+RHeAGIGVgNuY{{k4)8CwK3zHlHQku*Gq<@nsQU z^R7lxh~WS`uXisBBIY#_cM7Nm%z|RT0+i6kROxvLPUQ9!$Fwmt$gyE<{)X4nSdJ|H z>8)f9(#&KTU=DOyC)DV&Y+=NcLrO$81P{%P$F*XfIDAjI_{JBEhC%bv5NTTE&W8)%#A=1r1->BY9q=&*vt~yNy%0V1TBa5A30##;g z9gB&J)GNk06lq66+%cMYWoE*$;O#eqV?Y(KEt(I{73GfIH?$H3KNH_l)G6_3TVAV{kK|5jGM<1OyHE4v! zEZ6X86k*IeJ?JG02nzEA>+^v9Yt&=360!E$JAGE5E2mZo>f^ZXx_L6Zd04t_(|Khg^8w1& z!|VGM^qcsz=gxkmx^1{ipTWs{;N;tGW~vkWn9kmN6}tWX>C>aF?K+A3zN$)jkAT>q>=L&n501*BC|Ws=bW;tyaf%sjEku_FZqyuQT}BfgHNGAvZ8~Q$JDb zN9pTk^YfM4lUrI{kuV=^RhG0df@vH@RW->>$W$+FO z-#5$V%oJ+i#UgwV-o?qsewp62(_poo*n7SDWSh399Fwhe?WqelqjA4OCp-xLvc;CN z^}D9MQ|E#8wE&Z@P6-F<$B4w;&rGlUNr43YZRqFc6_XCe14!!}yXze-)5bNk`aO^N zl^W$7{ku-<=EY0Bz0PP8erJ&TYalavb6&{{`^I#um|_`0H+|qlb)*JhpM0Hx(U%v91-W zKcwyq`XoH^-nkG8vMjMA&^%B^c{0ns;r}rB}FDEp1vFoEb6Q_%aC3 zRcJGXs`EObPZpi^R;?-nznb>LP_|RPpS!_L=6ZDh@pz%hp4}SskRkJmc@@RfNH^T@ zf+fqocy7R0)*OpPbz(9>p39Kq8=DI%UMY63oto9{i?=61uaJCqm)}?R+58^8@23*~ zsF{x8mmk+Ne9ipD@3~gB%bSOv?lUL|MyIN>hryW7$EVF)gUQ2)QQfw(`{(b^PhT4J zxkz^P`D0mKUL&EHlJ1>r6=L5=_DD4o6!S>XoxW*KD|fx3$w0y3dK=+yQ4<1A&z=|; zJ{qoMF|%jqN34bR^G#GAKh_g6T(JFyO+1QHy%K8fLA+3zrjmQdAjGa;SSjf55Z*_| zjqh(hec>uS(B)QtvpN3q*7)vwW)-<6)3sjIUuyNr_3zs{M=eV(yYZb?f2?x#*eMwB zmBT|mvp-LWm0}5$sAHoQ!?g0x{5z4Ie$m3%U=6$!GH=Ch;ek}qusDYHRXaq&eXLE69FxE}Wi`L87a0voKfS+~zbsm9DYteg zI*vcoJx0~4ho7+8&zIW`t9`&VBB}3B^SH(nIk~u;jw8le+r6WPz#_FN4IOvVdXIw! z@-q5!`pv0!T2VUgVxf@m#UJtMqDNvWe5LK1wwbp#ySAFH+`X+a5Trw@)oDm>uQjvT*ELttU9iQcyya#7}R}`Pl zVmfC%o7d-a8F|&va7SWa<<8YE3iexcY4QnNr=?D*)X-l^pxfUBd>K=#Zz@2P^S2r9 zW2rcK-T%rZ%oU`2WXIDU#J7AyO&F|fTc1&nu9#1J%tg`YFaSaa@LAL~Illl{UUi4u0Fv+dw4Di*OS=)ma}QWqi-g^9z`I9%>~?%J`vr9(Uo zr?={bA}W|k4QI_Sv1QXTBe?AVBX-H=X)#_Lm+g_&F9Ww5+oNM`OfRMG_F7U^O2(xb(`7K;`EVGQjEQ95 zK5YJ669L$4N_KN^W(d$lRKJWm(`CfBOS|?yDN7BI+pV*!jm&CTZmss-wqrXR-8LR) zAlNjb5XepuH>Zl!?TNDuUB}@B_JMJxqxexA(nzZt9kB{54|*)aUXz1Szkm)AR^;>mB*^EzSM+p8=f;7+t6xBV|1}zTYhkFD{f*wo>^>)M@3s{R9{u{C zcAGL&fKdj&xMQuYM47Yq;QrR$U+etv!YjCCw6ORS+XrHBBh`_@lneyZ3~G+!S$I^# z`(R<31kVBePuzP0&rQ1PgL#lXD zM~CDO-saOccf59AwPwW`Og;kJ-+SVtsRCy2ySpYB} z$m}lbp6d{o?n6MqUf5~)x7f*)mR(X?ivy`c#`ygAFMGxkMXA#>jTM3OY z+#_&yzU?VQyS;HoXuj(Bpa7zsLm;!UyI@sa6p&(c=Cr_-DD^XwS#uEdvCuvkyn_ob zpE7iWFrXO4#xHGJ2ke5I18IdeWgz&M-Nl5aMt4_x>wCT*SZ#qmAb35G5Xcl`T#hYP zm=L^@NlQYtxtp6f>Gn1YdU{%~j5BVM8#?++6Ld+|Kt$xLz2vi}0RJTHU;j?He;G5!U~Dqk9^`fu~b-JZCv-%*FzJKeMCH(o!6x8x~31Pq3C?H82}zF#xrSYC(J0L9$0 zY0war)s=W%00~nZJxz04NPG9|3FwS|kI{ol=PD@jgdeOy?>(mkU<{k!bP&&`!lD0w{D~L~l+%LJM`kBd|kO9Gs zjr-3lz=fVoC1p6hW0JHT{CwVB3cGZn!KCS3PoK|%v>;w0-B0nwDbK(&ajMa1W1fNj+o-MLp03s&#MZjjP3yyS$T zE7pA@eezBQV)tu{TV$F5y6yEm+=Hy;N3@3y_Y zeO>FZS24-&uqEJFv$WnS`qD9Ehko~69`+*f@y~S?vKR~z#^e*G%bB!e>$J~8yQNk2 zB8>j(aUXirmHWbgLv+i^DsERw&VR@{`2DD3XAP>&o z9)!i^mxSQ;{DN{-1(HnU2wAj()WRdjXEOh~Zs5P4PW9J8t$Zx_3?Scg-9%&1e5xpP ztQ60vdR@Xa;xmKDYLKs`AXsJQ_3S9t)7?7{$~bqrP^c4^deothu5rKnr4Hv0cgu`d z`r2(wp;+PU%qYTGj9wxIA!ngY5zTRdN>mSV_FNN zQW1sWg}~jDq`^o7_%L`z6&v_(OhFKOA|ww~>evCM*jhblxf?H#UB#ky=cVDPnz<;A zu+^E23#i%w{H5NCXENV`^%6A(wKdb8MZIH!gPqarJpLns{QDMD4Bj_&=#dIEr7pp|e# zn`sUTFa_Qv$oz6eYK6M+mWm~+1UK7LG-)m)6r?N)){UYOrmqFyO!E>X*}r;xOtp`J zo7C}YjbhF#PdMwUH9YOTub{xYTd&GqJII$ZJN6`BMKe$!1)KI$_5W7vhGg^}Pv;C- z{v=O(0pdZi<&2M=PdQeiuBsxNLXBA|KTe4kW|>T1ElX17pjc3bxteVu`P6!_&8K#( z_40E>2&yt21UX-rm4kjq5c^ljcjEMcjB^%W3M<;|0*H)TO~2#lnzQFEZEdlhffv$bpaqRKo@>;YuDn zI}M(m*adL@)t;1XhL zaR-d};}=7_JV-u(nL{ee=Vp2$VVU5yW$ z)~7$7O5gE*#C|@RJrXCgbDmUxQDWJ(Ao1Bo-o+GK}}T2KwiWZaw)B-WkpiA zdH}7GB4w?E3f^W`@j@xYcN)zrg-@X1fQ&5AIt1fW6WqcKt&l{!Dtsv%03v`J9B|FZ znyy8gX2w}s+pWf}b5Ga&WaU|KA5+Vr-d7!bZFtrJ$KN!5-<0Q~%~A@154kCt>)Q`I z7^3s`CHMpH*_%h&CI>P3a`7AILv2|f;J(3Opv#FRz}_&`o#jce8P1!;(eyj)iCu*C z-qU9@b?&g1->U*f(*rQ@VZ_Biw2`? zk;TVgOui+qjf&v%=Mg>JA>37lasrV4h?C5qZTo2U zcs5_xncY3Og)V52rLoSR%O@zn>^f`U*RxYq4^J2i%KjvvX+*{Zf!9j1oL&mX6K3>9GOHsBn{zd;;{abzu|=nI|`2ctT7Rjs%27X-fbcW!)^*q8P zf~x>^k!vnDDEllxnKonYL`QcKv5_nxx1KcZehTK zXH|$*bI)d%XUn*uf2Cl-Vyye8qs6<|A`#DcUgq7YGa}t}e6noAT-w zE{m95$!yfw*Ei$V&VV}JsRKiWVIT0S{RNM-vR}v}E<}vV62*_v{bW&fLD|O<+-NVv z?muoA{5UMPmJxQik2V=0(ezW?C^mlL{mFnx;=5!vl%E~jfKM1j%;<{Baq8xG(4|W1 z8ZCi&;!G74~SN*Eq_$@8NsAsGDXu51BV%EbTT_86}+Q56)S_?!V}m6tJq`@Jfot$5L_zf9o}!haiPqMS)gy(i$RC2D=9m(@tH^o z5c)`!wJvzFhwl%uR!_+LSBz#{0dP@fAXINf=ZdT~%72I>rSawU+^}j>Z0f65v{}-3 zjwExIzu@9R9yZwe+V!*cxHL?pdW;yId#g~{w$8CZ(O08?AhGfaa!5hUlYo0cB|Xkd z%o|luqm;J7Y(-B5>rALd5?ZRq0oUK>Or2a6JvTCZWPkmft{1H9wrU<H`Byv z0BzhE8&PNVxVe&0lv{8nR8oGwwkG$6YpV{`XAeAR*TSII;mwb!J;yIm-5E|;3XmmTK(G5$kG6N4?8nA5LOp+X zRt2!ZY=`m24kGL#We~?MCFHhE%HBJqE11Tr4k^&2-RgC!xFap~qyvW+JC0rv@5W~@Bw=n7jY%m~q^Iaq{tsc+HH zJo+c)-QVi2>7H)g#yjPawfrD+igk3O;4aO@R}DP1Z}!&W7!&wJtb?MC$@>64RGr!b9nfWLD8vEnN%SFbcFJ9TS;> z`wbs`6uw(sRVhI|ekZC@TWNZRbL3A8N#D!37L$3YRre)#{yXS8@?IpsnQbJWFf9T@ zkI90m^3CdK)T{vGD9kb0j8?jmnu;QVg(Dx?50OA5Y=_S{p2SWx9`L|cSXS-=j%v*( z$v3i&x;DB{+Vi54a#9Kw6HQWQxrh!9Kip!hA6>(imN>4(8eWwcnZ0QhmptTLy*>xz zo4Vx^uguY@s0so;?wl~T##=Kkc8-mFhN1sk7U6^B6H)LiUi|s zcsvG`?F?h0M7|WhXF6LjQ>wJpSOV<7zkLm>@6-2s8VGZTN*Vvqx0tQ}Y!vADuw(sv zn%)j$I1WE?vfzYte{5o()jK#3An=u*z^Si-w~Y?Z+^S$lTP!(e)4_=Dv%N z40PSu2Z5^3LC*BCzChflIs8EaJ$x{zoMZk#^ruw0@=j&!b|~dUV7koM^tiqA+#%|q zdL}%8x=W{kf62i^8cWFWg=BoyYVKRH>`H@KF^T+%{t zq3thpc5a!aUwKyy{G#2CMGDCBeco%sQ0y2!nE7 zy7eOY031!QaN!<(MsFZ*&{lkZ#qSC84@9*ny7vu02ED$WJV0;Ex;(e_7?8RqAun< zCUo%Sw77Uin(zR6i{TIl*jnm7f}N(0Cio-23#Z>l{T7PQ_sYEMo6Z1hgaF*>h9isf z5+QC@_ag5IAY5J-%8$~NJDJ~JlM*ooNN8+t`?Z}8R^BF?f5n`y1dg2`ANl*}SkszE zl?V4Eb&zw;eIO_r#Pkzn-Vk@jNRQ&H`HoS^ezG|MFQDXXROy)i4oJH+_#l?7Ly0E& z@vuP(C1v38Bo1Xo8_K95VJG1=065d+7A}KLxH%^p1V+V;38EfqDYxg4?)PKTWSlEV zSBWsjo`}y2g|pI=rM~vZes15NJiJj-hyZrFbx}j+O5`sO%;s4r>`mgMH&;LZoWGwq zjDDma2GsgE22-J%>@COw9d9lbMk+>CnX?*$C^{JDF{ch?35})=u!nA8g^rNLDElO_ z$)H!d2TOv;Y^H~d;=Yvo0uIJ?0~ zf(0w++i$=y5{i`oJK)t8b1nlRFhwo%6k-Me3jycoEQ6u@fu(?qdD)%k$(7p+-ZJ^W zLT2GYeaC&0 zb!1>+(3Y3%&`yrh@U-d~ear1Z9eG zC>d#5026Uyh!CgUT*oSV5rC0!|*fY4@S*=@Fo`1Ar99rxwvp*To)k~tLk*VEX18N!%v11cNL(u6FFF=tm3Yt88LCN zq7NlPNmz#6gXGaaPOqi!GbrmIkMcX55yy2)C_>;e0NYPrWT3U3a}Qj4bO9Z~qirI2 z=lEl{0UV5hGM?B@Pk;zjgS&*sX*zh#jC(^Q5=#jin^_u58g@c~SxnWp+9d5rYo~g; zw9EpZ-?822B^9t%!V#F0;y&WYaB5Gmf>BM$%7K)bs0#eYi$HF#Xo821wPKVQNw1&8 zR^Kv8kI=J6r{NS-D7<)(bf@59Hwv|RTu8h}{y=^^L%m|mY(n^0WqF&E5~X6jv~Z^q z33QQNLb4&wuecvE^~wyEzUTd>`e-+zmpJ<`Tz0Pns6v@kVavzALth&Ybngzf>LlS) z6QYBTfhvJnF>upx8YjVccMBfUnAB|Vi6;oCLX?}Z3uT;z>kLl0**)$%T?xQR2RW!@ z?NrD3&yx}LonnQ{X(dPN$JOLI-)?*&Eq~{$*OkdhCDx1G}El-OWwkUz_bFDWx3 zyW~q!cc5BLVV02iFB9u1woT*7Dq>NhA$ZyYr)5QzDO0|aZRPS$W%y2N6%(a;(x+q@ zDrQiHv6FnZFwY$cs4yl_Sd5Y|Fqx-@!5AHsup%VBGxp6Vd73Q{JHdFZK}UPP{ji*2 zgwa%O0rr^r9Ar~-kdfG->MoHbRC5%x!AN#4T;ZvKtMT-Ao99LXU}v&f;pbyz1d@Me zJj55oY}^AT#8M@GGS;JCwj6;$Zd&o6mdY0D1mRa0XGheefYdYAs>6{YhK|tl?i`R{P8IGzY z@s~p^o)aoha8WiK#_LviYCm+4Mm>pw}>5@*o*7=iYp3kp>M?R@KtYGEe|nV zV8|mfB%>2IpF$+|HzE{~nyXz>Emu{lZx)~+P2*Z$N)J3L3PuBTF3O;OHqscR$(qS2 zhj}YuKcNUNN?BBW^a6t%2Rj8~KSZz4aSatUo4U(E#~$LuD$6~;?CCgzouw^J=^PrL z5gd9h4gX;Jove5q57r%VR+ zuyU*=W^k1i793f!EdBw`#$af2I1XIU-Ui~rml=^^SXs!RL1C)=$vfVisES*Asfjf`XsdViss9$^yy4<`Gs67 z#K@;QSrL)FhJR5`=cJa?IVrGEL)(~^%~`$m&{Pb*r&uTN_Bd~~Al80?JUQ|B!Y+PP z`g621z)-UeR+n8RnJl=Rb+@Qune4qy_wrwnnn^h*QZ{Rvp#ie)P=Llpdo(=R2DP`3 z@IJs1k{+4(D~@z0tX)-!g&x1r$NPZ^Nt@azrpdm-&$S-$jt%iz)N0_rXgLom#ljY|*x_f@=;|7&(hD4@ZpeQnATTh6H<#vosKowYZ1XA#mdN4CtsW;|pXExlnQd7i=16lvz z2O~W_`la|;E=+>_$212#7{f?X9UeLOgI;&uWI|FIIKR1;jk|b85|P$`;DrTmr**Br z!#Q^qOYt$cFrwjX5>nev0<3xHnVOPN6IIdenRUV}p348qs>(@J+a#8s7BY;}YE>35 zpw}#VYO+ZBYRzFA;&?rPm@Ui5bmQ0xtPNl%r5V1JZyD{xfHUx2d19Q7@PE3w{W8mjh3hcBoPMwo=j*R{_J#{%f2ujX%I}4Alj8VC?KS$8e=|BDfZig}! zSV7B-3Ai^k+ODiCi-5@jGA5b{)#wtLyt~^IvZT5Ze}_2Pi}R-(#i50Fd2%CWV!FGL`5A^t%*OMqazL5K9W}Rc zOeovAF+xm(#SusI1EOpdej_U=C;&gzL5@1D=BcQ>(abh>GuBf}dfG%I`waa8rsn?d z=jUgykf^f^s-U0jgwlRM&ABYD7*&LI!&y<2U7h3;ZB<|~<97?!a!a59ZOL-aJjTVD z>0sB}{S9?LT8gtokR5^h%DIoG2C=n5X7EMdix6PuH7l^#K9zl&@VwSjwoo5QPV}(@ zpxO8hg?4m5K}^r~(0t(c_MukF3W&lM$M^+j3ZvQ4qp^(auHJZ33}vZehnx!fAWd+> zQMo%Uf{qiJ#~mRjuu54}ZlI*kCbgG+wK97w6$C%V2MC%)(UU744sdwrF!LNprc;hEy0U&WRh+<^?L`;rBfXN8`Q=?MqlW z;Tnkg&O$Qz9F5aBl*lh>Fh!(}B|>4@qQ34OPTFMm!Wo-#O#1;X=o}AHhn5EuHNx{c zcp!!BrKsw)C)(B@oDBG~eb$(Mv(jY9vo8byywy^Qr;b$c{7n1rj@uQ;l3`-z)&mCT3FE1 zRn$m7bX(DV1Bxnu^lL`BFfCA8NJVmuM&rYEyHee!Nhuq>3Y!uGhA;(3T0c=!{s6s5 z{9pg2>P~399p<0m9BEOmpmyrvY@tyJ+4SKzDPb;KnLQ(x*FlgjF#`DV{yhtiO+5yx zT{fuwMYBP1{oitCb#DhSDt+R+b~``Tz{M3IdBw>DhV=d`Y(ZUl9KsnKc{^GhIGj@J zp&?|D);|SgjAHwcsS>oGl}qO>8C`19Hs5hAGHqal({sBxcoWL$XP`Ab9av!N9B#d~74BQQic_u|-ES^whE*~u(A*F=%X%)|G6d}iU z3jn!*PSIz_M>t7aA{)hf>4B3D4>_Bt94MNYzwPV!?G_buQR+0@9T@S!LSfe^AB1L@ zBsa;9b8ZvI`nqp%3El{7Azzv-FM7{@cl9Zh@@<)Zg$m(_S+&{PDBBl17=R3Y#E~O5(97Z0t3hrXt38M)F`5HG=*?ZL9Qy6vbQ9=!KDX)SN+J?sG;o zdii(Yt%FGB8pbi~l=(0u_$)8Q)n@lvB%V>OQ&;1K0dA*_i2Ur@3ru&WaCFqIouOFXu-1<&`4?|%)fZ4oaz;oHjszSGzjAqL; zaCR2N)??nOQK7S7t;S7z&6HpbdLGSkK$M;ohS~khl5OHv^!D5|T?4TQ*5hLm z2_ETzq$sFi<>?h5V91Ya+$<&2?00zBL``YRho;l=sQk zv?oFui4y^kA(hx??UhxtKZW#9=uih9r4EyLebq`CkNzp0-Kc+SR6T;S2c{}YiJY*b zY)qdCy1dzw7#~hM;*+8p2_vFy$KgZLbkIyS{P;-$Kz2lJ=SK>LS^C-gW4CotJzs`7>z<-DKk+H#?6`hDoMp&#}=}gQ+a{dL3 zU;1F>3ewGr#RVYDmU?aCruV<0{i9ae^HenG3)#EXM_ZU8_O#WR$n4Gqc>0g9AZ!lt zz%_%ONDZzSQ)sg}eFgXv*E7lZ;gcv#6w?q2D&VPn36ID{&beO=;p8AHhQ20eXeXUy zV}ln{Y3@&p{ezX_BB&TqKuf(BrB8=Vj;wHttkGRfTxFK)uqC;rPYv;rN?wP}EGY-- zsRb~IbK0m8D3ID6PHj{qh1KyJdTkkgo~%3|W*+De{TXV!pqIz6-$@r50*OM`bbTeq^SMom%sq!Pzuk*G2;}7v6bW zqHta0Cq1Ih_cu4>(V0)Op^H>(nSnEff;~ZYAbUMJotSu4Ap50E*wip{az3J7Tn5^` zK(3ST$Ba9qNGo_@i{dpsJ$Zgw`mOsy@eogCR0W{t6~|gL=EQ%tbJ#nL??%CdJeu4( z*n+OtV3}WLo;4rpANZCElkSrulg^g&GeMS(Mz!%j`8tyJBDx5=muV6e*r~!vgp6== z!|VIs*p@gg>MirAmTYP zGQ3>~ASxA7u0{?XuCO+sM7}U@APjMqmxd4szRob1wjV|qY#E$PBygDl=$&-9eQ-G{ z*=9JUGXV8l$eR;D2CRS>dzQAOk8~X`#iZ;Y3H7Qk+XzWr?;wF7&kHYYJ@ecrqa@F< z-yC8wO8DZ>a*=Vpx21D?C<<|o=E%(pcQj6?&qIMSQUjA^3aV@kMS$;@wxsMawaoZn zcvII~sctbK66zLET1%ZC0a8E)qoaxPR}{;T!a70Ek^{m&zS5JUxQP7+!TuVj?Hv zvHViP707cq^@_wDY>K_u1ui;A>*(c0XIg@)_k>qBFbR*V%e=Ol9{4y1rIWQ{F<2hD zp?wF~(2YdU$L#*8v`e#&T--VcFdW_um@)$_Df3FmEQ35`Y{x@an;DUBR-66&82AXu z5w;={o&|h<+bRHkzEQD9J8n-&VEy7Nu=dYrlBw`lM0RBGo~|qy&7`G?2#>6P?OwY} zi%j-G3fxj0?9a+x-I8TYhN!#(19)A06lxT zTw%St~5&b=}<7zwQ22@;(1cBEhIt9J) zH2}rO1UN1Bbl0tfy0B-+pq!#QhAe-@6~25IqwwcxUbaeu%E zu!y%@d*)G-T^8Ft+muQ?O*Z9lG48W&Ko{SeW31i5YSc`d8<0W;6k?AUx8SM=tW(th ztr-iirYL|moGaaKTt%YU5P2!SAc8T_De{BwXtSOB#VFa#PaUi3ucEH})IeYLCAk`9 z`QT(m`MCU9!Nn5@k~4SJ!n3G_gWbfv3en$S_G)oSikF_PZA+ zYT7@x?y`UO5>r)OmdNfN%b^-M6eI-iu<|eqoJ6`bp)*%&Be8d zxFn)vZfq5(C|B}_wd$-B(sQyzKid_}c2?mm6JfNG9nf!tOf)Uig~I-4sOYqv#ZmnY znTg8i!B$psit6IO0+xUXH|O|2GNZ=mEgZ0Rp+?IskQ_+qmY{l!V;uM*g`$6PLG8x~ zsHvyHr%zZ2LpDjCqRp#BJihQYgWQr**jhAM;3C3hFxL|CQIT(D$({B!#`D3Mu#t~c z9P(*z#l1n+6(tc^y%#bGh2_YK$s~vS-LSd<(I)+ecJ=GfS>Jn{od?a3&-)1uzr@aC z%^Zt_B)x~a8vQPG-mx-h9YSn^Bx4r=d@zerl;?=4W}ClJ*Km;0(A|Ix#+}3S(IN%I ze{+K{Ak>OVW74u!+`glV&lJk^At+P!)mBW7o<8DbB)d4Z1&?Ijz=`17s1mhI3?q3O z+#Z3{wm&}WG3&Xj0b=7*+<4#xF4ix50k7g9el)~+rRD?wdc$t8Xap>Pl;xpC<6l?` zIRYj5_}QUIN96}Y?aQ2wu%p>}%=Kdm599z~!yYJaNTRPDXa;x~*Z_)wkkzOt?r}aA z4|SA}6}`dmJB2FrOh%-seW8C7`le}F2mFYrB}7V|RDy;W?$X{;N>`>;f&$5L$Hho; z?VM_G?2}RfE}I)7sI=o?j|{Y&`%Q9Zd`ILyiKhfV!1HeL8IWV^y{to)xjR=)Xi=M0 zQzs=>5+pgSP_l2@PBm-^4e+ zg4B8(6w4z3l*BaQT*3`dSnTjdwW||EYl1M!L*j!e@Q|JbMLix=e~E`rqKCW}3*;Hz zj>58VzUdeca)E-CYzQR;8WyqYdTmA<6mcmzNa|&E52*eXW!URL5DTA`$sbh_DzuqB z-$;kz!ugIJud_2MSadcdKo6$!SY5_<0l^EbUuK52Ej~ZsJJdQzM9JU&2DKPqL8vg= zulT;bLE};D3*+2n?&$-uZrpOF4cHY?{f+OX&cIZ9@tdqM4SPu#3H*PoeamuO$Fc3N z^iYZ*7)Ly|Y@Zovk+QBuh#}Hegk}w)LBM!kbT=t;pz1 zgR17GSv-8BZ~W5R*)2pSjSJl5_EyG- zIOeqHd*NaO-~CobL>Hdpb^CV7nA)Z#Rg5K<&Vs&3>q#rBN!9-i7wXv5{XIzN2mcc>$w1FT6ZlMs5lH4-<+-|8X*mA@2 zS|6~UY}g)M6Xg!+QcHLNj~Alou*fsbXk-#wG91um+2ivk88f5WiRO_Is5T?gv`Ic; zKLF;1e9m8|d9n&l(pZRf2b5{Z7d2(L2@G$c$&jwLU<(PC?eZ2~l;L~PF_S{p`E%VM zJON$2t`N$Y=7L$MlWM~6oOYrEM5n>1W(lR&B`i`GL&t=6{c`>+z|bj65hoFn{+?89 z)j`XY7n45Q8>v}%QwG!`!m9mi~4 zotcp07|q%wLL&aaSG|k{ zwS~92z9kiOiY~f=XWQxaBUKUhsPpY6B%AC zeH!#QwIKs(ELA6ItDYx#xRj~{TM4za*S7ScyRYy-weOOEGfV;F2@%VUoK6JsOoK6q zl9n>YH*It%29w<_aKSeQJPan}qnpX+?w)DBTuD+aTIKX7378vd9a1K<{adT`i z8yfh3O?*TJKaEc##;{_bu0BzP$UlB_{P>B&dHTD30Z93jpln*(D6!<8qfDQ$f#SQ# z)v!y+!_POIR(427_EFon5jloSXT$)~LF^}-n%dVBIBR2!F(N<r1JVlN&xJr7WxiIzJgvVfG#iYG$U!Qsr8Gv?g)?wbyVGDQ_YRaM@L@ zdx>)}sFBI-)^N6QFJQ zTkY!3P=Ckte=e3WlXCq04LLdTyK4~Pkk;pV$qSBPm>`5OG%`Vdc3-`WpncATjMZGElfEs*)qG^gie= z+a_$MI^G^B0lkOem8g^5@J4S}vypzAj!c9?^Y zr;d~jaAA8@x7wcvO&?X@+A(G&6ghQGCLgU3>a4X*)kgNKaXx4uzJ;N^1+f#Sz~UI` z+8NEzQ||hA_PO)|L(?%ZU|kI@taPBEHDj65XqMa#GyTbxMNlq5QrjfO4YZ08G}>A* zPp(eO!etXa`7YOjb?2*a6q$j6-N9Q1bJ*pPU=AZ53HGhO1IBZT+!Qn!Fb3q?=y_WC zF>uefZvn8#;bAl{=!gnp&oDS-RH2?E6j$I|2$EIz@6Ziq%I;-f8&%hB(rFh=W%f}V zpq2NZEkcxm29z$MSOR}CuvUI_X41%f;9Xob>=8CDBnXhRe?ETCoPGSFfeOg4Sj7#> zN|D20X@QXlqfJ5eNE4gMh{MQ=1uT_91DS9~osa19NwynPmd$5EYGtcg)XNl}?#dC5dEdq>76*eFw-s^e6$D*mr|3?vjtGd@^CSj2;l zzO&eY6c?|O@iBBkIn#Iho8oFBg!l&9v9RY?)SG1RJ=2oMIwWl^W)h$4P{Z9PZ7^fF5!mL(iK0FAGY8sqi0ZAAASZee3C~I&2xuINc`b>A=ymU!cbE5?9d|bn3Yqo zy_Fa!gqi>)s*Y!Fp#^5f726tYZmw>@uAm+?^aLm(JKOGCKfJjOAY2nbon~RM|5Nb` zcZ-=?ET(bJi@B9HbmGNaqU1y5(g~rgq5CX}4E#t^pf^MO$M||~vdu5%HF`k614>nU zn*@Na4}XdSU{?f>Ko*;eWR!;OGo2a2Xc|X)s-Wcy`Yc6;*9-LB3k{5wlWLclBPr{_ zi-doT&Y-rd6OrO%gIZdEhSHN=Kpai6bbJX!btGd+jd>>AA8f+9Ma0~d0aXjTGPcr| z^p#7TJ+TF>ink-|b{Y8+KNSOM#`)CZ__X=(zC5rbt4Rk|6#3w*AP8F)ljCJUSv;t+ z65i6$2dPKOy+sceH@Wsh7)M|3n9SXCimFZ~X~8l36VxV(AK1QSDWKAq*y5guI>wU( zaem0#i|i?CAOw);Z1SvlT)NjB<@Pnbc%VUqUV*2OibCoqb{{dIlzbjiO6b3|V#bQ) zn4*!j;7K^2N;oR@77XL6xrQ&5sRVn7WGJym%>_6PRTC70zv*yifRAwf!_QE~R!A2A z%Izz%!in;O|3*P^RyA^Oi5R{Tok=I-QNqo`gbKo>{I!vKv=h?iho#&x)$7lZgN_nwU$72Z!j?pZ zOn(JM+@eCPn`mHnyB-NPZQzg~b(Dt}yeJ=UaI8*w34r(~f_J)Nbka+csI(i!X60Eu zKuTAJ7+S}{T;wbou%Ebbngt@@;i;EHqVdJMq*9>C?h|x}yE(hshl)eag{C>?c>(`- zb0Wa>U@f{t7<_2p2n5ug$pv0Sjj#?9waof|@~S9tTw(;A05p?>G8R)EMr+oyP}nSm z{lR@ox;X;uWiJmS7B{7OgDhYxCC{bWUxVrIX7w>Aovi*D>$xb{;flXP51|~4ywT5? zt01z=>id)Rm2%=HE9h0|CcBk7bo~s1j5$0Td0LcIfLnnWj;0a<)%im-=H#W}`sI%W z${2Z2IzQw4%uI zJ-0?NbSP^x;2sq+g}RqW6|e!_dPjXpk{}EJsv;=Fo2I=?CNm(8wOT%BT5CshaI(4- z4y;H(;UG=LnhH+F(J|P#m7A?&Gy}SEMk$c-S2shwizF>uklB%E6o_wBO&_!8S-9;L z*|iQ);;+i+amGk|a<(+^bxs{N=m|?}hOSSby1|>I8U*%F@uO*<5-q*H%N*}-fj$0m zL#F_F7MAuje114t2}BGs&mS(t&)6r#dJ6#01`9)Or6{HzaYM6I`~*1<2E= z(M37)BPS2(7Wn|8qZCY&z}fHexn=F@LSQaJU5H$8GW(&E3m zIYnap6nf3M(vGlz^j`P@VbjrbW|2Li)k1Q=kK}yI_STbu^-TN)1nk__@5!!6>BHtw z0G5;VAaFaR3i0de_;Wiz<_!G&OM<89;$gK<^GQTm|Mt?x1M`<9d`q!h44HW6#pdB( z;+pY1PCjeG%GV?iF-K+BLaESnXGA_dzlS=dsfRJUKegVM`%5}h0A94g4@-Btc^bk4 z-BvL2!!}O?9<##Q?gdrOcVNyQIomF_fZq?Q2yGp$op*-3Ss%8F)^WDD@wAJV;8SH% zBg|s$&F;;^2v3 zNy)%*7vSJL{6gxh=D2*<3~UTyMyzs2#G+W9IcbWZ<8nk*k9G}hH$u5)5j(x>JI6izX@%T%o#>PfWm2dGZ>suKxQyxk3L=Lo`zl4>$l z#a$~UX73ptmE7TU3?W=J+|NNGE$K}goYD#LPA;~HFxe%73~uZ6={PQ4=9P%ykwlw7 zMh)^O=ptNxZQ2AYZy+%Fb*Z9GK6i*9M9H~kR??2Ic61cd$X!GBE0eN!D>k?v)}k~(>rj@Bn_aOh1*7vyh$a;pfWuve(=5*J1aMKpl0AG>Rn9?<0MtlV z;{{bw>)O7$545WVtHI?9Oqg9d5t_tqfonS*l)n zY|U#ERK8GcK&GzsWYPU7N#YORbG*6{d0u8Kbh%WCj{nYGY9G%UIhDhPgU<#6+v08? zi1A`A!+>nM04Xj@orHso{V8Ik>7O0hXG45W20CN^e={(_n!=eZkZM5!2*eCARaP)M z6gjV z5x}kLcN2+cMP89x@|*&Cr2Ye}rm^~jZCX)9UncDu8t=|+mg2f495bT~qh%c7m!Aay zCZ?Ai7Sgkm-fvMj8w70FXh3h!PYd)0X^!GmsVZT4wvf|4Xo~xY#Dnh*%YFOp=59|; z1OOGR@A>VhdmWeU^Y-%olj%$0*eju3Qtc?Std5#+p6yoJ5=3%@_RND1;5JQSb=S!3 z5Nl*uGA2Se)hbes7gboRPhLO#^UF`QQja&%j0Fm+s_5p!7~4(2lb2&E>VR-(dR2B8 zT$${j8zNg^UtJ-ME~#yA*lG9@b~HT*#GEgb)!t_|U*H~aSA|M-83rlRK=B&nrj zi&?2mQryBgQJ3}6@VU({wC9rBw}o-L1h8>NS<@|=3f-QdYWlL{3j+C?4jqoQx#aoWm*_Pty-7&mm4g~|h!rblpnexyk_BxHwn`Fb&JSsF z7OeJ7IS6UeAs2*A?NMy0UMf1`(%Iao0*J4A+1kv0gi(9)IFwE@%i7(4Z_a68JMSBB z#->t{3z6{?Oi$?>YrS^{Hgvp~+8hqwl`5YSLQItgdI5LZff0TUe@FV_%gpt z;wA(pOxKR@aJ3mjj|uTU@ePna8@vi10Y|-F0s$=KEm}K~(0FhKBUB#>#QKO^QDr!OkJC zyuEnGJf_RC3whsHw6c4mNQ(D`FsSx{an1~@v11&T=vpBkf()93g!ycH`72fRh9k~o z_~wdK4X1}y)m-tik%X+a45E0@{d#{rGqlj;O)3&7Yy%)mn$Kd}NnQAQhkfewxVr9^ zUJ*H!I`#9+j*Lh7q)B*l0uf+BtQZ6)v5k{zWNIt_0@{Ryv@~JnKjEKbOv9b@B(#`P zM83U4G;QUcli~@BJUZXlT+orK)W<|iT}U1`e@_yRE;D;*qyVvN=iF(D{PeVbMQ%t` zS4}GmyY>8DWUSZ-au68HNaNBKv4Zl9(j4n==pHR4Db9;ePP}m9i4})IU~-}rxG49z zv&}{5YgCm6AY5>POiP{Yz5Z zMGq)4;OMohj92WF4XU5+%GfsYBGR^I6E*T#%~C5u=X*ZkoVrDsG7w7jVks0Nj3|=H zR3?*gy0jA5HK*_y5!M;#5BMM0%{Tkq(e2sMGq$FCnPHDlo6ku?HorDII zv^{ktD-?l>J5f3>R3ZjG!Ar-5uo)XID2GcZy}n%akqNxN*`u!Q%Kx#Rin_cJ2koz~ zjunx@Pn5!s!s$&hsEuX&lC>-BBgCXMT3rAW(^eOW^Kw9RUiwuG4pA5G#*|0x_egY{ z3@iIyA2l`;-DBK=-ii>o*IrlH#ItD$8DePrrbA2|eCqDix7+k+>8Rb;kIyHwwl(B zV?PVaX9PBU-sbz@JwiDHw32H!Sj9h2cJ?;qT&+Hp1xSG5vhKd0fdJsT?M+#<+Oc-^ zRMduvE#&$`&J!dkMVcOdvL;ojgF(F;Ob^tzt9qBULZ~4rs+>`Shk_dCdVEK z*yKV)pb4H{6gf@G-R|IaH@vLX&P8U1iF8F2ZDNVfq`-SV=g{Gk%Z+nIf#_VoFFlhJ zkR{phVmoZ zG&WVEweSckcJm9cJm|nDv4PFa2rT_wYiW3ya3M1^${1~WMy$(?I+|IerFh;)8D`Q9 z-3nVuI&|M}lD1pwE;P7sf7e3CX>?FHeTy_QO0CYc_15$$Nnw@L-J)i{CvC zVHMhpnoi(OVMa*ge$|mAl3LdzP2q3hWourH*SJbYCWm`cL_QvU3{K}N-8@tRxk8qk zfxuuyLp-H@VgkUEitP|=#A8Ezxqa*u0vv9gR%3;Gr+sLYkHNjISQ!*q1t{}<{+JR< z6@?@z=vuu7v+53n>hYLDKzTAIY-*Js5!a-`A7-8&Lc%=Dx8TlGUILH)l0sc#P)R9> zas_h^DAp?khuf(|puiT@+`OqL2lrYzE@|?x(RrF>s=s=5^b`Y>f+OKid~y8x=y;7} zP~%KAl{d`^ORTcNs&utMVUGiCP&lNMzDBW&&`-+yqWTtXk_0BAO%n{{ZO2n|akEFf zAhk^gI2p6*qwexZso&L8qZO$74Zc=9x{t`j{XR|$zf@u-PR<*+ib$GZSMoEEM z(f_@vSD}5MV4mU%ziDhtua1v{A5zCrerr;G(RWE`Gl^kqp`E!G0}x zE~!N2;{QOHcl`a~sr-xfj^lt{LWP)-r~iCO(^w=b(>}mt$8TShv>Bbl__Ci^-pOy2D4NXZ4#rFZ3F03g^_0VPJFWmQo_xab?Sf^jqD)>F0(9-XrLm`G~Pe4 z69CA;63m_3irzhLxZ~R$o2xT>MlWVIHw4QbCYRw-KKyK5hk1ZAXu@0na(%b{AbtH9 z3{ys{1KkHc`}Yx?;?@v;r|^0d8I(;8tcwZww=h;Xr=7jHAPMS~oFHvshz`;*s@zq)!1#v){LnzZ6}`K6^z>-5uuN@4a#|K{tj-#jOFf|`8j z#wDpXRd6*y?By=J_+QX4QYi_xT@QjHCn3%S!q*Riovm$9t>AR6_h>bUu4KO9jN`@gX%X&hE z3VewEj4PyGU4@LxIV>cjrQD2>5g8GVqcZ0N)hqC%jkrUMTijsmq6|F|br5exd}Q26 za7&7MTPcu^ls3lG$$*)Ywj}cr$q;{0HyUB(DK^^QHaAjA{chKyD%f)jI z`Hr2zq~%Dhm4Hf^Eo(9)5YN71FQtQk1o;5VA%m8Fzd8ngCQ(hQV%Z7r>0^AtzNj#7 zoPa^(rp^F6>f)bGNc?GA(?) zg_~Uq*$6ja>PTtg!~Y@eLtUM!X2P7|JZv0P3+^oj>f+0CZ;Ufj-=`qDMz+m7(yfZgf{A*TFkw5#1>4 z8=0=Mx$GMT6>>&=G+Ygew}rUv$1E&LcOL95HI!1P-f3Sala#aFsxl*)eCHW13o5pv zYGlsh>^4sN1wqo5^H%xW>-{OXPYX2dbzK|3?e)V?*D6Ff?Xt6srKFJ#n_ipHkcBmt zOmk9WURi*jQR#A+PQwAaf9N#+rtJmxeImT4F2@*X5=BnvPZ_OOll0b3l(?E3;|x*Z zIfgyG;J8l8q3K{`2_Au8!Y!tzQO~yU&7W_r&fO@ySM}mm={(_2&wo1_)Uw?D> zgiD^_MILNWw?6S;ao?}e&;sVlwZDb~_#U=X1e=lmQ8An>*YpX5{sF?=0K4z^dgK-l zgg#9er}Q1CF)HtpuLD~Q+K8;o$mPq}#a`ezi9N!RvAjAqJnjeVJ0Zqgpb@|VyB)M@ z{T_ZX6pzqJ6DzGf8m%@kFG!6s!vWQGZnl4>%qH?ea_jgf>eUIeSj>}X9IpQTkN+!) znt%V}pO045)S%BNqJLB}EQ(oD?7}r;?7Ige{$7gI)g2K(A%XBbBM`*~=r%N?LEqT# z7%Gr!>pCa34y+5*#9F{(AMW~mQM-k+?yBX!9Jf}HJ(9L0UwVp?jjEeb*{RwGIky0s z*6qw~-v*F~CMA86PhYZDpn;dBjnRh)(r;rjOo{`v1m>7)w7HkfW9CPofSzF-B|UIj z!kP6}4q_?a)qMimZv+3m|3ba6UYGb5si6eqkDF*}IAP_C9&W_O!Z9$>x-r zJ>BqA%W$Nkiq8FK;GG=r?FvniAvo~%NVli@MD=YpH?&qAo&HN1SBbdc6rk^yh-Pc| zO^6jz&h*iu*M3}XadaF;EcQs}MTnNY@*j&-!USie1|sUZO!X|dh69zBFV-X+SWuV1 zj8R6ALR(p0YC=qt@%12Z5G{>(FOjMyaKF1iG1&e325Qo0cUO=rBv7)0BBZ#*VE~JF z?(WIri*3u&%B{BC)RD(O3z)-Pwd&z3SMXccAIn`iNEBO0{Obya+kT7|iIlpy7usDn z^KG;g9Sk1|$D`%0Az=b`l!9)}H^9Nea$I)ZyQ%n9;*?qDXr!m{*@%4gS-`&1sYgR? zrjtIDc_+OyXGT-XN+lqdhy3g-x4C1ZJAT-(0A?u)ow@DuBTmj@&jcM&q;%ZT$BV3*oV0;8LI><%sY zFPz4rRzQ!DA?G?VoA5XH8|WmUMwBI_OqX?=1im`|JB%M)>Pir{WF4ntWPR*rv^FE2 z!jp)n0AQeGj->o{mg{BoPsST=Gt*>mUwbi^K^7nho30f z+wE4OOUZpQb<@optqlM1!t_!Nrv9;tJB&e!cl&547g*Ua6hP$Lcu<-aEHA z(6syN`O8mr5$J_!`8Rc6Rx=f3(TRMWrW9`!f|+&mUrVL;Y>gxlOnl8>SS45_WR zMuyHY3arDWWJ|1QFjbh19c*^6ok)l@7_=mP{z)AQup8-si?Qv?Web zVm1>1hzhP`BrT+3BKbLhPt}8t_LOL#5E8ahzXIBcH$4w%0$IKx#&a~OPySD7T|60y zT|DXZy^CIMThii{c}tyxmf19-g89NxOtYbZhHqD?lRxKe`P(iMxAp`F%{j8fmI5%> zs6pSH5gGj;+8Mwn!64|m;+_+P9a?+leFM}4Zz5t-qKAWQ2eB@ezhncee~jE+qF!aNV7}wluLZbWzF%)I?R7 zw6smAg@}eGWRq-0*_S7y?8}pmsDeEhg{0DlBOu+AX!I^op~DLN`KT96nv@=$FeXMk zl)|`})WzuX3KU=ZGADJ530Q5Z-aN%iau=Aa8A3BJl4@eOH=g1Ao?mU5T0ozP)5ojx z$17yA_Oe+Nz;}g;%n|bU@vEtLF6RZ`q70T#u@r?S5%GjYkPk-R*xc`^k+~t9kHr#W zVQIt^^l0}#GOidxU_h4wufZna@@5Exx`T&*5pUC0Tc$V8Uw(>!8YPz)8`6qS-vEDQ zyN~N0PV}gWckh9HH3nGYA~t3#<4Cw2zQIjD}_ebH#IHf_Kf$DG6*? zNa`E8P^>>h^>%Ba9IsmIdbU4;!ACa7T1E0Kwk0INE(CsE z%I|S6mR=NoG{|#H9xW#iwI;h03D^Ld;ic|6CabeWE?I=qMU3L%mme;9mRQm=9T=?G z9+?H&DA=M8d$UU_pJ4kCy|35oU4#1_HT5MSF6tJtH}x0qbDwn+oKFP{XnS`Cd{Oj2 zAX>FK!7#AV$KM!|vEoglS?ze6s5Ij^A7HZ@cF1*}?v}9{A)qW?L<*y5dxmfixt@eL%*2>-jQRyh?*%e)06Rd$ze((a7om#6dd@q5b-^Dz`jwKCG2#MI?r$w$D_40WEwhwkp8SahT;!nQxJVbAkKBF ztZY(dWwX2Y8#9a{9-zmi>!wlKE)>Av{ZC#puO94N`BDX+GLC9^0LSJyqWB}bwDQe* z3B~UY%fcogD>NRvETBGO>2k>NL7qAro4ks)W(%^)p8IkF_P-AKG*NEPoA%Pk$ zZ9D-U7ExP|SNyX#ydO1_-TE#6dc26G_A0BIeNs9i?*YA?!7swT!?fb}bUqRbbW}lR zOBo6Qa4E}f8tR-8U?l53C%Aa>c*-dutg9wGMTz7n?I9Y1sHA|ibj7$I_bHgE_XyQ5 z7%4tl33RvHT;HL=pNM)mFWjD}ohm6Rbtx=z3-liuk4qD=!_Ly1@$LOBLLaln zNhj^tI1f3KW*1QYVhoAZ8ek0vUPx65td>@1q|SOO`B<+3dGKJjbmZt{4g*q&_z3RF zTESO!4U-Gie~AW+ABk-# zwV#$%(zaSM$;&v^h3X0^skso?01KiyF7H%?9Sh>6Ku8CT0>hZk@*$DehEYNt1MFgs zH?O4b8I0&;^B#c9vf+f$;^dL--pK5-Ns$d@LRl)Y?A<}=Nbfx@8b6K&71kyTz6aR4 zZ26aET9&mzvTfPe{HJWFXtP`(4~>cpGjLhYQ<#oEFaRvNc)K?S>CZ?aE5zqUT$3wB+)^T=l5or9I^nOO2a|9s_TFd5Vd)5FI5*%Aam8SIE1)h74mmVGXp43=jxmS5Km13g*W@W!Zoy6;z;}o$GcLy)ftrVGG21JRkpmi&OglHLJ}OzT-7gT7K@TIm>guR!ppT#E<#? z7gAPM^JPp4MWVy=a2{SCYrxmN6Wqho=1Tf3ue385wyXx_ox+*4HeopKw4Qmq5K$ub ze-BnkE+co9d|en~;{}AF*H%2Q1dfcuml{D)_e`(;MAE2MI0l3OIk*c% zpI@VPw?eVM{A+kkAg8_01u_Y!8fgV-t9im29iLii4!YP$7AY|~DYrb4GKwIoi zD^wklJ~Pu{?NXJz=9S~EP7!;=KsM;2@D@2DGT&u{Gp~#5o2m~q-z5i(b59IKbSF=o zMp}bPqHG^S5HZt4rQZ|tsN{-beR<{xj7$0w|NhB0PrrJ7giQouLL2!#C&+ohCRsvE zC()s@B?jm*6QUvWWC=!gzr#S)?}`|x^p&k7OEqAsBpsK(2x-~k<4+t3Ax8^xW3lfs z^^{am+UnJb`hufB*SjDMGED0dhmv$V&EF&hn2vI4fUW=GO#99B`VhQTQiPm1a$OCn ze_i-izGn=_;~k*r0I?wtj4NEU)U33W`CD3Qxc5JcC0d()<7k=C+efm`oITNDYGP>S z-Qk^4OKnKZTHleh-WPAJgX8Qe{H)bRphVbn#zWFX8$LQZS%3vHPK8BcS1`yT44rpW z+0fZHOxO2eyC-gJSBy5b;QW4=nds0$kJfa-w8mz*&^Jt`&)M}RpErU~DahBDAx`)g zx#dMh0_{-4WEA}E4RjuE*5{yWW*ovxa&$bl$*qMj!txXJ%5U*zxuR3vX*SQ?ma%$| zv_n%*LSX(N!7l)`PhuG&amEXIU_}8nZMg{vZ>d&-8ZP|r^kT5aXpC5jV!=IR%R#Ut zN(2J{`;+wwgiKKyn|Z~8+VS_Y1vrbMhp_~3f+AV$N;^%BRD&ZO1riNnM$9TrK-Bgk zbAV9v3dY$UZkx#3og&Xh5WHTiEQPUB6bcSk+DDt4w|5UeiIh5K3|+#mxU?s1|0$Kj z*285c0sF1Rmd%M$V}{3%Zub%UAyOqPQC&y-vha9J-LHz(tW(eiMU4RJq}3xz7Zvb0 zrEdbXQ6xWCsRjj5!;CQwIor8NNQ1dQo^O7*ykcEq5pTCdrU0%l?m zu6n9gx{(9!2F>SFDk!lW@dV$tE!L5;A-;s9fmTw#01*XE<&7jpCU|Q>5d7b*yHWAE zT{#P$D@C9^Fuu+YJ=>srqjrW9=So>@dYcm+kV5W(_@+LO$-QVdtK|~Z&QdU$IobUGJzc4r>DT>%N zu89xRMs)(PWem5av-N~`)P4sPB$s^9WHfE^pgW!;t?%#QJL(_F^kNFuC)>?A`;DS; zBQ>kFwBUMkPB|`8Mo94EhLrD2q?c0cA+Em3z;PfsDTB;j#;$KR`?BMf+4AQ|4niZG zZ!TA2A_A)Q^i<4|K_Br$BK42zrpSSV!j_t;*Dx#HuxP>24ukpNFFg*R!@DbvsB@t68&jUL`AToojGQF3a;`zS?pXR6MS@S`|eL zBS=_oQgKilD!<7*&PA%&!~yN-8q3*zd4aBvJ0?+JIX-Oec2iGoWZsjx$pW43L0#kIEq zHBAA`<=0V@M?qNzSH^*pTZ)3kM5D@V_d&KF-m6gGG*xN?5$`+$)SU0AgQYJn-g+}s zA!Z{xF=7TqdNaUYWx{GmH62Sd*peU-m1b+OoaKo25?F3C;qx*h;;>9Mh8U%?(-y*h z6LmNqy1kG9XcMYM>Fd42l$+FPnb~BF=kbpb!zfadiSzym!6}8JFO_%hr-{36CR6Ic zm)S;KLH8{r^PAe0p#$CNw?*Fu!K&NXsAQ1?gb0l2|Im}|wACWbhQv>j@@{emXx`5W z7aN^`PA{$cq1vKcul({3y9sl-h+fe{tN8oYCb3JGGFLorsKQk^n0nhL(ZsJ2DsotP zMrl>y=1HBASek^GST>%ODPrcorWr>oDmWZ$DE{yZ$;UGuc2c#sL?LOhu$F)4O-i=& zL3InCjfgRk%+C0Pcz|XzEr6;ADs_*O%XheF9l@Lm>k*WL4ibt#vj5~XA#uxr9<%xz z%Uoq$kiNj3L65vG%N7@&DsloGIYPV0kl_X4ZQu`iK#9rorxZX?+$H~*2U~0m5`HYC zBA2JGqnnwf#_9M@C|LYPzqOONV`&Dh?H}tj&xDwFCikW1q?c9ZhM)EanHlPU)G|`p zl7$f+h8XBms+=(9$B^EykD&%Ot*3D$;Z>w@^p|U+V@iDsxt9bdg`ov&w>~)qo;Zmy z(}H?uibYs6ftggHi*JyEheB9V_wyKcHQqH_b}R`CwveaAlZ5h`{6poCG8703hezP> zlTqq75+C{wFXN;JpZ@IswN@%nqFel~Ry@725;bB+XG3&~3$}%i?Np0W=O2cI<$bO=PtNpgibY=5_>`(OVxYm(Oh?TbWx>CgD&Cp~2W!>2rxdiTHr32P74FxB;H;B;TpO zfizf-dYC}artIui!NV(ZTDRmQk}7=)9gkC0qnHq=oGRt@l)k_%oxlL2TH~q&hCkWRNUxiaasJsKVQFoe(Y7hx+4k* z``mWiwpre@2sF6!mfgtJ^?tkU-oV&*L9(?|+N>M3x>&4P=}@DvXuFPvqoB% zamm`rywNJp@tE4=>KcI$NH}ybDBEu00^Z1^)j|S35X&$EHJ-qsi#@Ey|GgNKN%Xd2 zfn>Xv;H_W4j3-*Ja)$e?p1~IB!q`}uK!xWily`^=N#Qp*jOcEP9b2ltxj80`qRhVi za$_(s5{PB^&Zgx{tFqj%4&cV|Tns&38Eh)yBx7WqI%LGp*J-K9+18XI3w|(-Mv8eF{y25Ts z40}xJ#6?$m7kS2a2bGB>MMC@1zPn>+Dm4K)WmSV}%6!0w!s*z3(B9#!|0Jw0f`{u0 z0#fSCw>VgIaut_C3GndZ3`MKAxz%Z6Vesa+rk>IODPI`5vT{-!Ju*-M4E+UV49j;V zte9C0XP0d>La)IeOmy^uzn|`Z*XyQ}>rS_&T*RJoUx`z1Q(G$Iun{s?w5hrF5z6}`n;5I+%)6FguoAD-@1F` zWFR*qeqkjR7U|Ep7Asqkg({-Y6O+fuaRMuYJFkn!Vif{$Z{pk)q(l*Hd<=^7nE;Wx zCZ?Y>ox?m0{DU3-57dTAfjt=T^mOI?g6LjA+(z%6RsLMt~XKm zc`(}anY5Y-#~c4F&v}2#fC)g>RNSdYHcJqijI;?0l%gR*WJ=;PniTy}kwMPUGQ7eZ z^U)X=LO0g<3V{{EK~kdp>?5anh96P_LfA6cQx<{U-=2s%po8ixy3sX~sBkhd0N1EL zK2(Hd@V40#>QOq$cgXwk-_kWQiQl*Eh0s-SmQC5kbTOg5Vn^q!+Y3@Ui5`I{+fttp zbz(EaUDg0x#~GDG`2=Z`1DV*+|KU}?LkxH)LPJ8mazy_}t2CD|(m;XXjJ$xgW@1%V zUhA`%IEz8J84ra$~s430#KdYqaHZ|YUc%lxI?*Ns2 z7+Cy%4IhDzKdqdQ=iz6kM>pC|-9o;~nYPA>&SE!{nc@`XRSKw3^H8zQ z^B$)&)fibsUA7g{q_ppCA*ZaOc_x%0`F1{X5bL_WZZ`#j)a1Qm#C2b|b1F?Wv*~O= zZ{s$x`76+Glq#{MW#B1=Eu`64^0Wc8`r8m%C9~6BGkuA|A6#G}Ovk&t6)fCIU* zdvJV|Op}C@R8>-)6U_9f!oW_;5zb!+M#Qh;~xSMAuYXZUQ^!xc^GDIaoy3(5X z;4X&9pS2j`cQAS@Ty}ofNv`7y2rTSw?~YPEBaVU_0DK(qnMIBT*GU!ta>GS+$=Qy* z-iV;V^N^m%;!QevKVCgzY0C@Dhe$cL#9KwLPzXTQz zcavhpX9cpx9Q*FJIB1WI$;dE+JIvjNBUw~g&gR1DPL3kT$}z>PA?txY;M@0*PC#}C zF+H22H^LD zSx0TO=;h=}LeNVjHU#IHpobH9Oj3)JF-;FG_F#m}JTmhsVJ6n!85dnNnjFBQKMK;4 zyXjOtt!6e#q|@$hSX>7LB~yWW`r?e6@H{6Q0ZumfXxuU{BuqT;PzRdptcr2>RoW2% z=it-UJ!*v6T#OJCdDS-HNy2?JC|;5!AGm45OgE-TTyX7cG%tb!Z8zFiM}irRRf+OX~XH0F*~Ri>;QQ)C}iol>`{5%VpUy$pNDkG++7t`lIYUQ9S64 zKCWT)D>gq;a7j3l;zLW@Z(w7k#rrVVCPRzm7VQH|NgbBf)kJ&)Ho0P2r0wq^&Yg9d zuXED^$(}v@!iF-8{iN&IOkJIfD9qg#_2OjHz(Q8MUXYsOTjVgWuAu)4gF(rBvQo8Z z1)7X>9&xcD!0vhCMY4`gL*s!D_D>gv#>WIO^f5-oHbGXGqc(82Ka;jJ-bKucgJltl z!JL!zlXnN;gSeV$26YHv$kzp0uHprzRrP@vy>H|#2Si_qKg7L-=?M2XT@&Aa6ic23 z_vmC9^i5FFDPSR%7XGm`kE?=}0`U06K7RkN7eMh8l6<9!nXPznt55#=>iE-%uhDFw z#M$Q=e8z%`^%Z zlOXK3QWB894oECGD>|rMvisoMTht7gCfm*$-LWSTFmlD~brXt|{EnzR2t{m5l39U&Q~p*7Y}*0*{zWq8_3^#Bq-1&tJnaP$zgVr zDG4-Vwx$mm%ybjT@pVRoD@O%lMvhGcZKA~m?o9|3QEFOt3~mhVg~r`u#2e4aNS5*? zGJ)7eCnVsVIsM2xP?#>zr$-J39U%6ts*G7F^5X9-N#WG<*<6Nj!5sPSfUih-iR6Bz zMkXRiw`}Goj30i{Qi_c3;sHmSM*QgwG#^kv4KcMH^9G4qNjSdx34T|ZS4@wdp;+FI zc9B6C?4P*=26m|A*ft4rGyFz$tq$`IKI>NDb3TGz4&T?%R5o!grfZx4t%Sv4Cd|OT zJwgMP9Azz{C4%&x*^PB4nObD*6H060>rqIokRy=`5XY zihDZm4&u$Bhsx{UPLo1vvb`soho-uoZ@gOzIVU~GUBi)r7vMu+B>Xg`s6BNY;CW9I z>5cM(i+x1uke*J4i$%xkhwL+9}zc!_H(A{v}mzPuWWk ze<;@k|7ME{iYpj99ieFFx{7`{iCVZh@C74nL>W$JR7T&l4P1WmwDn3jX0|NG*s-U-Ah# zESPX6mTQvem}3Hte>F3;8h!g|$~&7y!;8h&^_|ULz&9j>@;b8)l$C&bvxLm!@Y6Mw zo6i>{D9*`gE<7OF6(l+-FW(zx+4yy)Q||PuTM>3zV4*uY$gj{u4j7l=1Z;c40(5v^ z60c_jHnA$w_Z7ERz%Ma!`8%u13(fy7(W zwlNJzoiSWN?9DSnSm@w|gJ7y(Er)#&Rm&k4f?A!cQ+5`ThI5LO?C(hE(SWitKS-Ad zvn>G%2gFEteZRi_7^47u05vNX%+;N^Ikyy;f}{y8-Z=!wq{3RT*rzu+Bm3r$ua3Yk z+HH=W|9DOcBfPSs{Bt?(<=+UuJVo!*3(HGN2UsXn-?`qkL)xNFXk2m>o6WTU7IoB^ zfcHRU6z3xcz!b4~Kyg76{X2j|(XS2U7X`AgHLKkqZl~T;+CSn*$R#Igna04k0YU^7 zOXugsSIn~Yt7l!No=l@S7ekE@{4I{KZBCj=HIk}G1ZU!fT&O&Rs8rOclOq26&HAmv z$q{G4Ik0$Z>y=AeZ?1-0BM&xFcEm{jjtB4>O@38UTiE>%KP7|vg7XL4rT=9*H#2k6 z#9gI=#7#>DN}E1AEt4^8H>>a1I~D~7XhjTk@c&cyHM?qKZc9~mHw;Vz zk|nz|w&WU9ZUePxB*i3^O(v6_$+T>(W-)It+W~sxXVA(!zDYkxe_uqL|2XH~RJjV6 zMOCSoWZrYni4(tHd=W4^>}OqG8*X^dR(m~ax5+2)=Qa6Vs`&r`80oShs>6YGOa~G> zqx2gtsRGDJXY6p(odz(eMz+=8$2V2k@o;zY-Nnfhn7@-3F@di%p)}8J!u3p(bUYC0 zpGWQz6^R1XvA5uFw6&w?+#4qU#0mp>l9v~nd^29KTX(PvtRA`nC7LXt4_OYO%qhr+ z3`uH%x@EhwNV~2aLZo20ya`nK-Th;$F|6@fmzF&sLL9UTkUVl?D~=1~v7c@rpFJ&D z1{xuy&uAaPP7grA<@us;tP1Ip-7#JRIRoY!j+@S?@|}>}b|qKWfdU{8zBN>&w@Sxr zz1s-%3EEW-6mB0}UnWNAXeMd3EJ6zInU%>lL#w5PKZ#{0H#Utm5LL{%$SjGNkkFJ+ zmDLzt)<3p04r;eCd)2T=1>ivAK}l{R3JB{?w^oWShRyE|QF)e4To=b!k?oeqIW95r zXoN_?SbB$dc_+BSD&iJEo0w;PyZqx58^^Vjxpy$8D6~S`ly9xnF-&8omfEm!xR@~P zv~1HZJ=WZ){O3T5@S6j;BnU+Wg++D&%3#q1MHhwR?a{kF@8J$;GLq501ov;6B|n{i z%GJ(i&bS>#RjF}V$x0bIY*r)xFJJxnL?%W4a)YbF`SXIs z>luh9uF7G%{H}!E?S91otNVEutDBk*G`ys*E6DJzf=n4xzWQ^K85=>CU&PT?XS*Pw0&LFFC!2@-1 z5)&MC>S0^FhEe79by#W+HPLg4+ z05>Bb-1%bz3D@X2#VB_zf~=;I_kh!M$OFKWmn{Mjg+A9-b)tnE{P@XkyF7or+~0BX z2QFwBcHc!|gmy^q?QFQ|ys!TumHBS*6pQb=$o#Ce01SWjwV2VO+rX_&{&I!RS5$z3 z^>e&@Ih~#b1vn{@TOd2r#P6!kAl@%u z(v=^?<$^X>&A|gr-!zh-E_4NN;sL$gi<&>Ig1$@oi+mU1g3_#skRbIGf=f${=I@SE z(Y8)ZRK9=DeJ}@@t~!#$ijrrjgjkvQrs3!?c^R)IsinjiVK>Djx3K5%YD_*I_9tad zd3koB6!lYmnzF{WJR(BP9cPi<1}#=7VDfN|U7a zN7A}j@W5f~h7;HpFPbQ~#hg~zm@LE}?29DKAj+C>=Wsx8;VPvg1MWl(naqYjq& z6dI&|v%FoRs|Z!pSnt*33NwBZ(|PJ8PMsNmBxH3{M%bhy35KN(P;64#a&}|Ux8KJQ zMbfbV(T%Ppwf_O|8{>>dL5DmDJ0NOps+ewBe>{SG zZKGbsUrXW8E3lgQVt4d`5@7Q703WpkXE6zmbS5AX=;_;as?tdQ{25zB9KOAO{|1#G z@&YvXXmm9{|D*v=s0&KFmAhAPS0XC2FeR??lq(8W|H{e!*ld{zn}sg1h^EnF3=}HP z(zn1;QM%yZt3DpTHFDn_O{}$N=`MF1vWZ?s2v8Sp!p|nHQHm>BgxuL0Y|Ie}nw;tt~fsjH|MTm23zWIZJp@}rkK<*PdzS_zUQC$T?Q z@M4gmlo-ajCvcIh#x&l)MtvaK3W&uxGFkD!d16f^cg8ZR(7?J*C9kRK4O=K$513Ap z_0K`TifB#+^|q67;+UaH`K+m}i^4MAx)u=Nik=q?=DwWp0*O~Fl*P!eh0xSH)}RQo z{Cp>zP7Z4-nMxC!;XN-w@1*@|NZZ7*R_c#5FV5(RY!24Su*=&xSRFYg--mXMfn9J~ zIs7ZlG3nyeiVkHj;A+OITA*79_!b{2O9XHgm~MQvc(vvnz}4#m@L9hsK6?4;^yB`} z1c;==DrDA&A!JOM3Zx^riJ>zj&WV*?ZHAca=IP|HONXl%EcX-H+sN9*h-hwBr`rR8 zm-3irBt*24Y}lb+5LR!DGG0Uxb=<)61Qhz}AcLZrQ7jFnq$2a&jt0j85_AeM(%oTm z^6(_H+|a(9{QyUUT`ALLIC%rN^DYY-#M|=nl);&{kRg_k2>J3>cfMxD!;*49G0Fd9 z&WE>Sx4Ix8_?-p9Bh})u&)73%Lo6p5)}w?WMoz~~K`~!+wd#)$fcJL`(1ZfgY`%Hs zGK~`NpAJ84U5Nh)nUK-GDmm)x&fb0}omeBXYm+1FV^&NWB^K9i-&%$%NP;+e%YyT6fMbxrs}VGjdg0R#7tQT)xT(kesTO+_`Vq>2NVYT3YTZ3OuiI|Q=TY6 zy4By6>`wBQpyOHa&liU17o^Y?0KRCq8>IvLvrf5LPDCQU4lYp5r9%#xojqSA3v; zR+T90$mP+f`zqstqQ~WI#Fy9G!}%zU;PDVA_zsmj>FJ@v!A6&L^33_(PBl+QoH-oL zgc40XN{a+@c+TuGUiy~kMWYM(i}Iv?iSU>6eVH^5G^q9H2TeXORgzmfrEuCI7nE(Z zU{YZzS3ZNPEv-5KzZ@8R$7-1*NTuza(SfWDd25|ZYJ__L_;SuM8j1n7W!o-(FU>*D zdlAc;p0G&l5BT!vRPx2L9!E&KmKlu8hHqyH2U4r|`xEWu+`=L{%EIhXNfYmMvLhG5 z{A`@Gt3ErI0sOJkhMLLI!T#|`CrN%pdB zt_Qp@(x+$CRajQOwFNE2C0O<<+WdThH_Pi^IK+j>r#a(pY)MUAgF}tuatS3O$T9Ir z#~2O`!WpGJbxFN{&UJlD>TF@UrPi?O)o8;SKVJ}xm%ID-_y5V@NjD3j$iEA2#{%eg zqFcmS{~kr=&GHtvxT0QG4QF99QoxBt6c>*vlj0nt=xGf;Bm``O&Bl(THfdoJR6dVr zd*|5{w|K2{U0Rz0DvfLq+f3skcIb$urk>RSTFF+}to{^RD+&q3UspS*jEWHTk~Dgx zSU`rBHJk@F;Y1mmAaRA-QHtJ(xXKOHVZ&$?-*t_;YR6@=MYiyC0df__Nrov#YSKQ3 zu94++m7`fJka8!Dj6INs`5QC`gW*jCq$4tWoTRnz0$Y2hbZ;Uiv$QXr-1TelSIKZIHas|c?8QbRA8zemKXI@lRObIKP`*NW zh{%gJau(AlroK9Kh}zUx2H#nYoRT1#6J>`{*_C;&#aEhurnkZ~hh!O90{sH9ztLBN z3}<~r-R*Si%CenKRhdI28SsFY8k&u@idknF<*jB$D%U73W_qP?p|DZDj$W+cGu*8$ zTGSHZG47dztPUWmE3(#u_ybohz+$!Gz)F?Qt|!*?K_^5se zgAv*j!-%Fx?opTz-lEbmZp9kK(G|%nhL~X6rw?U#6CVq@iOmj0HW*dfGz>X(+%=AN z57TO^YB>@SbQMDh3$n6+MAh0RFJ09sO#O4p;f6}NmfxU!-c`kSA;FJ_L~(BtsukAx z;sl}Hd*mV_WEUJfL}I)y%u}@2`3>4buE|diw&;ph*LtBiAwj8uUp0N@;w=|_s}wFMDP$%$nz%kiz^d3ZJ+qHs>w%phZdD!gMZ?XQ{q1B# z^>IE_pxuXL*4K`coYFk=gFvUi2t~JAV6GT)T;fKejDt)Lv;{GXGIwn8El}Y=>8vj9 zqSBt71$9PIN4k+GD+H}l+8gGuqB~8if%KmdLopYc2Ec?86>7LNnD4esM^44W4$~dy zK?A`Ro@o^?_<=0sYUm;@g|9oh;)adj-FAVtSG1)viUk32Pm9tt~09+?;tlB_Lyu^JEVMm*jx|@#=m0Ni zSbIJ+i41#*2Y2!iXAP+~L3292qaVlwB>WUyw6u?6^s#SZ^c$~6gB}Jt*Z1$qH8>bo zXbWgF^5t#+hI~RY9w;9nM2)z<&@}1A`sXQlkv+@h`snJ3B4u!Tfck}YxLL8jvJfH| zL!N1+BoxDHgA({T2HdG18X@|mhw`o-e7u?a$Qv8#I zCG!P!UQ}Sana+%Zc&Dloks_rE2e@yg-R#=+hb~k^PtpO3MAxgAhqO&%!R4ijRv1S% zzwYhOoFro@QX9iH*-I@mK#!*^fK8~R*w!*CxHR)Pn4ZgYiS7xYKSHTNMb`R!U-W_5oGtr4vN7yN2mRFJ$I%%M;bY!-n zAY(VbCNbfsT{${xPeO!CRKH;+#<41eK9KeHoCOok&jD?lMsd*@G~JT<(=wGuWs1rq z#9sI(JwLz>rZaum#<6h_G{sP-iDy>^HFRZ(-{l(UGM zj(Z#Ir%?a|es?Q6BKShdgwqDG78!a$?)1f(6^#Ni8c0RSNGU5h%B82@{p0gzUoIZ~ z)2E+4d{87lKryns-d<{~yZ92!EC)19UM@cR@-y_!$g$z4a^o-!eThL8KPUGfp{}7_ z)&yAj!0YhpZd%Ye!5lG8yZ<%fzO4Kf6m=YYEq+DM*pf{Zf!V+d`a^r0m?5jYgG_oB zW$b{NJ)73Gk>XGYG80iyCpc*Wua0~s!6aU#3}Gm(h0zC|icM++#|VtW(J5cA&?^g$ z8rD!?h9oRAinhugp=>CaN6>_TOs#L0`sGfK-&soS3qARJ#E73t$4n@G1>HKK%-MfgQ!-O4J^xHdW)RrTX|{6&72alDG2FSpU2xIkI&w{{Y0*|W=E|0gDDnT#bZzZ4td)hq9UO0fWYJ2#CHc^$AjzGmvz4Ij=QR+ZT%PPcAm59BUr26zIcZne%P%Ff-B z2hhPHW6fVx5#lu1)G0F-vZl;+sW8$cRKy%0;9tJJI@}7Q4WLD#8sdmKY8}#oX7Cwy ztla+wn;`%I;{RtlgZ(O;N3Sl1#B!LzgV!^(IH0topNlJ@3=eX&%M!Y+$k7UzIZA^sb9Cr<0EysHVwa4|J1ElWJaSv<(U#dT)1>5lmv zF0%3M0ykv6zygx6`U#l^r8DBBpe@01m}jG)gFV6+%#wd2jMRFZp*jTi3IOW%bJ56^ zNU}-~ebgQ8sOG9)pnT|5DDz5%=!hg*2u>;XIZ`Mv{G33C${b}G%$Sz7_~4Iow~LQrU*%)m;GG}|UjVOvxJA7Z{Rk*|e|++4{rU>t zmk?(V;{y6u@~>F>ucEzC{6yEbWJ3<8vp-JRlg?B=34k%1U@2afQMQ+k-fsnD&-cjY zw=vbJY$Nmzn6u-~gqN0)L7`;sxqey1n4THXg(c*sZ@Kz~MQ^M?MwdTX7&IC|WifZE zL$V`y=WKM>j|`N{JhOmkn1g{Inx&Q&e}<;q0;9k9kHhl1fDx*m&DaaOJWVRiPHph% zGNWPCsYPJASbPIqFtSBBt4Xlg;^)ov7yH}g>(&4G2h7=lfd91mhkwb@5#Jr|_FI?} zhQ$8yGp)+st4u23^Ydu#?54KE>O;R|YrSZdd1 zgH*54@mfU5#OmYNdyyCQ$-KR7Eil)CI2Ij#5p1k3n6PT+{Qru3qISkj4_FBe_7d_T z%V|yJ#%0-!SQK;(IXe7tXz8?cd{+9ui82zJz98{Zvzt2K7u3Kb7ZAc z1d)b~N%NcO$@7wdBHw~Qg34m}nHHV#(bFJk4-8hEVs4`h2SWw|O8iFSVZeDHoe%XT z4`{#GVRX;c7R_7$yZf=JsQSM%kM?A>;eBrj481=$& zQh%P@VDj{;3qdP-*u8(%E%|MNy#)AG4yA^{V!T(;03N5<(buz+JNGF|e})&zEPPU##E=D7N15|JeLPM~Y6OzRL%g zJ;{1w^Pm`uLOK1X090JcPXm*|lQpy2=E0$R& z%(B~5bDK?wK01PydW{vYcDpkl23HQd0D!2<1`j>nLdkxF8-kkW1pSqk9c0HEMOC(K zcO^h+@UftDFV#SzK!~BoY`BPqgG-gTS}H`Im6;k_p1-?-7@_vihlt@T$U>^s?P{7% zaSN~S)V5G`;YHnXZ{v0gfdfEE^&?|JW+Yx>0IRHCK^;MTuOeh;s?-2f>O|CV{GiRb zoRZ|64MLw7C!dTOgJdTf*No*S>b+_!vP5;<5ioPzh&LO+aslHp+LuTMJ({+How^*(#3{?o(Y10JG{ZPfY?eToOr=RR zIHTXvEiT-X1EJJ6$SPm2ei9{t3K^%OivbSlQYORif5S}8N%3>abWfMC!tnCR*v@G# zCUBuXI}-cGOc-v2#XhF66ZTOdj;c93Va!L*PhXtEMYo}jBjfmaXE?RMX}DdrYaC3E zXl~L7__CvU_e9wdR6syJg?9OjFPNvO5T4M6w>w8S;5G{tmfMqAc4 zYV`MMB-jF|lo$@3Oa!pfX9}7)bmL>=mK)X(vttetgNR({u;;M_i4JNC(Gq3}i`W)9 zMluj#5hBwHWoqZGTtPdORNgR)g&+a!(+$KF97@RJS+N_@NqA?|t@`PVA0z}3Yq%-(n= z9$uE_p{cucXv{!@mL_lUhjg<13xJ8>Plc$^qfKfEW4hfN5}^Bl*li4?27L znACfx@dOl-h_%X ze93J&<0i|Fx<>#82c%$7H5-sdOZMF(Zih$BCfXB8x_pHs4N?ER%5W~QJN>7c4O475 zGg;Z`M+oVlA6NviMPazX|4T&fp}x|nH05K!O=KI7_T!ucu46h=BmYCS5`PO#B?grj zsYFbJx0lj4u$ZJq@;r^^ej?10;?pZ@QHx7} z%jgvdT39rCwrGQ{O|4mGwvo1T+F8L;-2n&AL!(y&mb#lXnd`~w;&3VLH#xLTBI4Pk ze7a|DBUXPQgn$%{v4McNWN|N$OUdR);b;&oVC&~r60nCeFNzdcoi_qDlvR7fFG?Jp zS88#I`zQ{+NQvP<)k+|5xFMRDD0KB67f7m7)+0Z3ukdPZFTPT*g_1``QDYK974Ezw zOA2$yc~lr&mti24*dsRkZzKzYV3xh(!lZI1*}caM+|W*i;!K7U3|xQ`{`&Xdpra_M z9yTm8USSCO$RWj!H9>kOW!l-N0)5d*enx&f9J;&qdFb&8@-spDs{MF~^D%zYTEI*0}tui0Pr26(E(4uf&tJIN9-6)2Ixq;jq zM;Mb7ngYJvab?h9iGb8Lv+vZR$=^rx#EdvA)?7s(I4OLUh+nKbXSlo)oDM5D;iW!E zBwl1LeYbpr(kz_h1`ZiEVgEpYYU~%;5_yuf`l-&S@`GxJb8y-mxT!Ox&Wy)Wd-sU)|QyYwjj=cmi`H~ zu!y=ASEXa^m}AJt2R2&y8OA{}QiBIo#*4?qeEqZO50H` zgemQThT}j&R2Vuy%Vm;Tod+**ehBcjxIfX>M^W1X&=seSuj5?4 zRQ+{WRo(Lk4AaseEe+BoARW?3cZUelaU>5V-5}lFEg=nu4(aYr=}rZKXCLnG?|I+n zpY7#bYp*pkpP5-Rvo`CHNcqx87qupenRs?dYXV`9%kN z$-1a@^Cs|$zO|LKz_D|UxtV$2ojal+I17K{XM%&aM>rD>1HR!lprGH4rDX7|KmT%m z8&I-sSifw5aqvDo`lDRzPyL+Iu{5?%){N{o{8Ut=v8+_g$?;q~dM-Hur0wv13lTWUfmmIH}PjP7sQCp0F` zDE$eQ6gSrV5naOX!mM;}KAX-dLG`P7#M@ zOn0(lQ67HG1{hU|sRr5eOW5X=D*n^E7~?)tmI^qA3*ag&ie?_3sV)+8h>R^XfzLih z<;~FhCRH={^Z{|D)}RIpHbdk%V9|pHcba@ep1RZReIj`x#CMr6CE%)A0Nzxc4dggo zP4cGUz63q*l~($`z=nZt5k|CZmDpjjWX8i=N*e{_!mU&XZwIT<@)AvF;Flfd;;UT}t zq>*dz*xomc{?V(R9at#^y*^!Wpk{t7omnK8n_%aHncMQy7zFWB_2@W|hRsEp}T z0kQ9&ExB%R}HJzZf5qiXpPe5BKmkVlY?;oK3a&ffkO+|KN@9A}U#oBgx?f#~k(nTq$Vuqg|d zlWt;<*u$NeR&I3GMU!Ndr?m|!dH=Q01Ko}kDpMZYy(TxZQqZ!(+jQ(k?|`vbR4*QW zj<>L{R-JZ!oi~NY*srk#QcBe3s)(3=NWG;IoXF-se9q7yXo{^^vydX7*k9nIOTMh! z!EHk^$0(5HS9H_xVi%BXr=TMI*3l3(`6+k-QO5HpB(`-*k>P5Ni!F`#x;HWI zPbw~*=|(#Y`49}$3{F-jHzsmk=^p}Qr4L2-9!}rYEx(w)A$;p^8Ce8lGNM9Yu;n!s zq5O)XS!XP*P)MRx^zCniN|a14q*kHJF6_+kEbBz_az)b)3{}O*ihQawcGf_R9IX)3 zGTuCit|f~E>?^^Oi%%edT%j}#nm2oBl*R(VA4p;1;5q$7Teopxvhiaj{+7%$bWm4) z^zq2ol;J^i9h&<|0#mi|ndMS{)Kj-p41t0x2*joiR;i-e{PiW^b+;W0c08)w@H@Wc z@^cCrea@k***?S~N(m~M5PPpSp=DyLH12}@BXcx`b5 z_~4i~{IDb;hZtqSuFK4}sRSRW+2~kOFJ>cVZ`>z@Q<;$&HOB07@G<_(xA;TiO;r9j|#fS^o*HtmY4<2ijAh2H(D)3O*OL zYucaZzRJq^7!Gzi2iqx_`N$xCrr{GITWd06E$S#C14@?dt*w9q!fyElwXf+5WOFdp zdD8HV4zTU-*Gj861irQzpZW`rbUC%7ki*k3R=_;dv$CY1XdG#MwI@kcVWcDLC4#t? z(7t9x6r390lr1`PN`!eQ?Fi$gd%8_c&aa_Sc$s^7p2br>T3uqSr5je4io4NhGAIn+%8H`Kf90IncQ+kpHMZQ&s$T5P!Xv=C^|e44dZ!omgXn20 z6wOlcCcxw;Ua6&BsoAurW!kGxdlh(*lSU5hA8ZE%Bi5UrS>0*i*E^}Sx42$$UA86f zI#Jon*<+|-+7T!#W%m;(b9bf?!%G!-WsOo#+UL?ahIdofPBEqCYVP+meRL=AlKJ&E zM51_uJTqi8)CE0*II5aRiT*lY%cA>iwpFL@E92i+KV|rzL#>z{mA*i>jX9$z-<&Wg zzLI!5XoX7gOmiM-o!}Hs5L|mQo)#42I=xdk+3{WQ-NS965!id@JYELw-$IB*wVGS| zE%7C-lhcKc+!q=-q3+?n+IYg0O;kB`H!>L~BpMI5Pm^$tAxDnSPg`(iS60s>j0n&6 z!{Wu5!5-gwZb8F4Xf=(_`g;X`(cwwvT9D8Vh!2j!x=Y8^NV4YHncO%x_SF~guQGeT zN(jA*LK>S@SCF9pnHTVWAN`>N#=n{brUO>G_2@^wgiQo~OI?HV!THeAn3m;9^MofA zZ0{v@HARX&ywMd7rNPK~j9}jsGLGm3ZJxK4&_lh`LA3N!FDyr+vCAuRai6ZWt_vq> z!QPnMSKf*_bqDWw;OSa@VeCGGAKcm7y4BW>u;_l8xdu1?{ui3jF(enR;eeImj!LdY zBv(FXCcGqLLv-#;M{z>>)OecZOgrjQ_S=OlTOccEuhiVj>7A7WH5vg(oM3cptG5Qx zO_9jOcCmsbAT~6JwORl}>=`zHA7B*8Q zZjeLr{L0-qpxZL!>!dTv113#H%Ip2!C05e5iim~kOv~_UrbLCzP>f?z45k6;qR{DL zb}SVg8Rfc@c*Dn?UzRmG^pX#%r3NOhqZ(qO4oh5^V{uKTL-d(M-w(_!^nH`<)-uX` z{@lh9-xABXaK9%KJHA;pNabV+Bh)Nejp=jM*OvW(;po!^gCJUSqhb9o(<193?{}d4 z@oS5c{=b*#N5LP0U#ET!$l1vsR9OpB6_J!^oue&qf()4ou3{^RI2;OZv_5QJb4>&? z78>@nY1fsG^Ll~;xv3Y2-7w@01^UcN7-3FelxFl{#xz%2-}3Y@8jT0c(bH9TU~p_y z3%XT{o*o&QOy@z>d!Z5ug65cY;xmoarGt~JHk6p zajLuH{{GXYoi4LI5}_VLd|3Q_Xf49udGZqj9sIy@<%CJ@Qc#wJhM`681_S8b019H6 z4q>rJYv8uIn0~ZKHdXQOtG}V$HJ1lY$c<~potXI?AvbLKgOLT*BgJy-$1uCxuQ?VL z7TYI}eUHfW+81gve(6N%Xbs>s$6AIw6QdlM_88A7XV+^MAJ4jyGQwqZ5RaTh4vmfxbC9N5w6H7XwY)bY&1U80)|4Pvx5q~8MZ`NPxJ?=*q~jZi zR+{~-BhUwv#5(0lDe^}@9|7LpnPb(pmL_wNo2jO0v>*Fa2>S*wy-G0$MqDQj~ z=%cUqR$4%-{|bx07unpp#;Yd&b&8-3&XAI+P22VW6l~~wm)ZMzj#1j-W0P#{1PLYlhqv;aLaqo z_^g($d7hrv+D#x+E0MtcKWDQLlL$MurTDib%HhU3SNFE&ck>IxB+7dnljZ!As<7rZ zGD3#~wn?xhDHwM!z_qS)Z%xI#LmEujyO=d7)62US>i)GYe-QI+Em8(sQv5}ib;@~# zuJ6nz{`F+Xjg-FNob1=xO!Ob&q@I~honyEC>2~w6yziV9M-qZ!nO+2#NUhO5tvQ$s zAS|Y@)05~)f;=4g{=((XI+8qpuTv$_Bx#$wRTHTB@*_48Hj80V$LS6>*Dz!M{ti4M z_`3fZ)84YSfCP^}Xuf$7uGPGv86uUEj|N7@G0&)q{Ym*Znt5i)-gdKfdrK{{4`b;#UeV@bY;0tMNnt7V&UzR}%A4)f#l+rYW?-lUu|Ht^_gdj=W zX_%1A*I|SjSL=l{RjS5*rjVr9lfoLx$nJ}o)~k7sjl7Y6Oh zW*8}vlyRadH8NrS3FMff2!g5 zjN{%WMaOjhs=#5>t8aeZGay88!e%OZpePjyHzmfG1o``#9S5}+)=Sn4X%XfbI*(m1z5XZ+JxRv zD3bI75%nscD^s}~5ucn}Nom%o;cd<7D(Z}>)*(L8=51)D=pvySMw@@7bS)SyCpCeXuomHJW3pjBraFJaB^)?rk%@X+_DVGFPAAt z9ShsiF<-Jxi*v5B#Zf0y>hT%7m-V)I?Kx2&JvvIiChrLo3PI)PCp%RT&Hg8N49fWO z{@1UTkl|+Frq7FIfu0A5eY(3dO=h8TQ=7Y8!|PVQw-MVl&h|+@_}bY;kGn6L`y%|s2I;p+)FUpw-cIE;mMW?)9mjY4F+RF9G^gu06sIZg2FY^^U; zYQ&IOAH{3f^5PZOpKnGi6+TAcbsFq)&9Y;PO&=sp5{HpaZqf zz|cM{V$?YK&;)mV$a<(qWbK*+E_ZXL8~@uNN^dI}9HN3;6m64{JI?C-T1}Ds-hd3W zKJG{1w;w60cg&hf8#3#6Dvykgy~&2RqfB(DKHD|kaJi%_8U9eg#{X_9*M}_}g$6JA zN5PzH)jEWYY5DMA$TjLRc@aNl8HN`3cP`1EF>?)_y-h<@=4x*44Z>$h#<-1Fk83Q+ zK{9Jt*R+ai@6&wZ>Ing3`M;WnZdXZH()y ze10=tbyX=91S!Xs&~tj@NO9Ihbw$U-ozgCyj+vFg1djO~%m2c(Abv>cM+)bvsI(C=q zqQ$%-==7hSftzeM+xuY?M|W?&ZhCmV2JfNGxK*}SZ$E6=`qZ=wcCqY#%>HoSGk6Qe za^(3Q_=%et)Ir_;@b6vfW8IV4ebw`$&tw7wl2=~-6I8r-9a#IJ!#6;yZA|3!&h`0n z9R>#G`57KYMIIgj4+aSa8TdaH46Ph??;9@|7|S_$7$Sh;X8X?dtD}vRrJ0$t)4P{{ zIN99nY%}7Qqn0VLgU^_6$guA?8n$)9@GUe?cn;SzHL>OqwuunGqwQ3e-Jg<$o=Apk z=#ucGBR#K=u=m^_(9=6`pr<@*5 zF=t_i*|51nMOoL-8|h>y7HWo}JtN(+&3Zhu#BjJVdmMIxUaX1DC_BYB7M7RSr!8(= z#O`c}_REM%kZG-jxz}EntoJL)E=@?rj26pb8TsacSTU*O?%Jd&kN%)Jg569{=;4mHa>f|_JbJ~|5lf(=Lp9~F5E7zGAYG& zE;q;<)w{vfX-Ckp_@?V?tA8;OWs>~Zx383_yS>@X3A9fcyA!h=@blxaveLVc-!{HV z5c+Uieq{BTyG$-IfS*SM$@kfKB%C%heNVdL%A!9oS@~BqZq&5Ei%C;W>`_#*_NmEi zq8HmL;hrcZX#-ojAh6^6M8Gx9@!!L*L6cGXjrin&uLbprXR+m#o2+v^#Lyb%*-pFD zkp0RKkr&A0Xd;ktQcA`>gcroJrQEannnlvXu>Wu(z&3;wEOMp+-;}(DN5mqkhDQp& z^Wi{2{QC-OK`&;Mka-q$-1KwDs4wN!g4JV1S;Pg*YUSY_yE(>ju_s}}CgkCEcxE!o zM3Q}K2+N6Gg|k#HY>=|>INST7|M`A-{ps(&Ba!F(hp#@*RnJe;>(Bp&uZOdrE;^p? zv!5-W?}|&iPj~q`lDav|GjAJZfe8mw>#P-!@)9OPmA?@XV5V>XVmd`k6Ysy-zx>(uOitxILX?(U_{x|1_hR~^6t~`&=PP|}j`GX8*A{;cxSS4i z6P>Vr#G~cXe5-K4>E^=Bbxq@krLT5G@}CV>!LAxFou^KPq`SBgdK9NRULzWgozXmU zgl(X#8Zr#5@6D8_2A@linNi*-p%rsDH`|kMqZlIN!)B@>+Rbem?q?DxneRJp+Wx|A z!DiwVC=^)w(Sz+#EH(A!N8FfpopV{J6_?VKJ4^9Kos7VpAsax%b19Pn8q4#k^Zt|l z;{yZ)nsvmQnM^grk@3v@1X}ibw6qUw+Oo3M?L8ryn;Ng@Ei(eyleF#i%zUO?n}^mA ze$WLr=T%QGgiQR%Pe3S6j5`g|B0gESbfMC~11sS-=!Q^TD>2iqqO}+>61GnsikC1P zXE52;VoL01YE4ZLIyb8peG72;{|qPjdXY06dFS@I{{MdxlH&Ky%?<(qfTmOz_%#>I z$$}>Y?c&BhCpw>2@C1f;kCk@w9I*$kS;adel@~aDt*64nyLAd?We_>GoHIslo2ENh z(RY>ITeFrZDY?ohb9!L{ENf9MCt#$y*PJtERB>UMiR;yx-ExseQE?U+B-O2^x?p(> zi1ASyCj+b`Tjwa}KZ_Au2#CywV*I0eqs~b#FHs%m2b2LeCCnH$Pg9vVU{?W?$`dd zMbbKhakixwJ&V$J{6qt_MBBN|#N$j*TwL1?8>71vZF0Dr^tP!9X*mtwDipP|xHxSM z$I@fte8AM)u+WrTWe3}bAq6{$!pC}0sU$4tCPm?j1&e9)_-VTi%@gbYU#Xlef~1(4 zS#<1>0Up$Y{q z{2v)(fT#cjHjlZv|Gw3bc^3}^;M|7Ixpw;tRU~>@aw(}fwqhX`hZLBu|CUg@9Qxo~ z!C=d!Bu>Q4!Y52a`%`{!kQoP}MZ-f(&+(l$DT9Xbr}E$sGc`m@5+I3vmjXzv0BM++ z6M}DgTh2|+N|GPV#-pUbnLe_@Wb!8Ran^Qjl1ou3Bh7So1)(=^fpcCPlGsI zdiu1#+P!m05xZ$IllSoQAHflHmKqK%e#w}PT^|n*D=u0{0JH#z~ znUpG)#UZ)h3D5g_-r$;-*P>t6GAhuDyTK)IlCO*N5Pk^4pN;%Am`PO5CNTP=#T0lu zuf@~Mi6qhsdsLtWcc072Bt8|FWCX-_g5MYQOBVY}pLB65Zu&^Z0+b^>Pi1_FZip*f zM$^gAbvWFQ1Bl0Hf%Yv$^tN(`wO`_65ae~0hLaWO23EGJXn(*!?16nWwU5 zP214=-r~7@Sd1{dPj$UQnoC6g5|gJ z=LU(q%Y;8!A80{yn=vr-r9OayVNd}D`yYC*_M3H|*t-Ta{W_2}S7-QF!eGI5D*>RR zjhk5z6*iLb`7>Di3edV`2Eq%Da{u871>z$V2*8MG>J-Wz9QeZqlS%>O0;#x|`1=Jf#ph+!|k#whZatV#4;`995!3e*oSLAL-v zFUuP`$AvSnk5d@DMl=`9U@Ci%fvTjZ)HO|n=I10!nAh*s2`YZJV)0Ai3?L5~=eyktp>Q#q@nV<#Z z(kgQH2PU|0bz|ZjBVl~9u8Zz>;j3e6ltEw$IjP{{XpN8_p?2oBWfo1fg%cJtHOsqP zjb68VnOVM(Z55A3UF*W?W!>lV}F#WNt!I(S*&V#vLW#MF`q>x~Uwyy#^x4j7WzE|0P%Z+!bdFNmdT-+q4 z+=9t1ITweGk?!th_<94lF$8x}%ApGsBBPRknp@zxHmI6~y#sjJ=KLxFqrEsVe?ikT z((TO1HUuu5SyKtuSx`O|cgc%^w(pU5g8riy93W&ST@9K!((#9cxUDCWKk@k@e#;{_ zDpg^}t*@aR7BoffaT(me?^*5UmGHdsqjuF)4W%rb$oN1{`JQp8ONGE>mJoPS3``Hvh4n${)P8k_RYDZN(=b*m~E2A*V?$#2;kwTY}19s5K!= zF0drurKaHhcLwM5!np90xTa)LRrTtW$_Rs~@bIxm4Z|*g)4K#$mrdp%}WzZAatjR7USxlvjA->XXn>CZ251< zwar|-ZBa4H#b99)S&|prA;si=BcMTg_6j1jBo0YX%jaGwY_a)8q-6NJ z##{c&EcF_IHTG#(HcHSCDbDZZkWz8K2?iE?S5CvWR9Jxe=*3V-<`@;1hAz((<(eyF zh`&th@D8@H=ra%gsa)lJFr!Pxj_{Sd%M0DFu*g@+5TlUx^v^s0s822HOz+}hWVu~6 zHJUKX*z<_l1+`b=sR{>dRSYT%Jd7K!6!8d^jy`(IIygYMW+d11f=^8ZR1U#SGS z6QMSZszCswch$8t>Q+&t#hjfKSUheV`;~ibW>l+T53Fi9^@I~;jk+~`b8s!GG$?@F zr23xFS~$A4wRpKw4Xt<@5F)vhl$HBU1E31&+LwE8YS5Xg-YpeSS2U8njyi>ef6jNR&Z8I#ProFo595l8_S<% z;Koi>MgAzJkscjDzIRKph9dq!L&r$6h;ldF^>Y_r%(M`kXS&xbJ%f!zLXV>vg$>6J z)Z)A3`z}r!_dgyEu&wusLnvqp30vr;<=(MaQfRBx0|F#_b(yrV@$$1+bJhWVWu)T~ zb!`Iq=8pLYh$Txum0hrQ4)~Eb{z_8Ut9?;{SJ^r6kmy31On$Jn_3niN+*H45DcER& zZ7K{*AulW7bU$Ny4p=kEmwSG}8k@^c@nbNOhCa6Dlp467i;_U}U~FamOMho@p?s4T zi$h5fsU-gH1tsjkHfJf1%tYm&r=oy7Um4?`DqzrPO|0cVJO`n33vLA5JA1`sY%mhX z`lR}j)!Wm~#Gfb$1gvTN;Sgy^q~`7P)oV&BeI%L~t87R9XseP^Ijk5JmWECbc&|Ea ze9kA^WV^RnbBq?%DX6(SSRNRx)^Hos-9jY7CQiCFiU?3!u^MvmOs{MNU{%waa%>ES zXK)Bl&U8a@8m~(T{FG`M1Q=Co8sHkuiglK-VRd&vR3=7OSz}|%$buk++|D46_3qOJ+<<)ErvXk=R^3 zei{M@&7#z-si$T0Q-&kkaG0?V+!K%koDF9Z9C+k@g@oC%2 zj-jx)m0m`!Nd2=I>-TUEB~w>rclbFCqLbz=;!iUOk|jZ5Dt4j1TaI3nyi1Ry8fpf; zB4L~v3XG~q_WDgTr9p7vBV5JM&68ENxQJ8`0M8lKf4ESI6|c@_>-Ikf?Yl^0mOZN{|8U<_xU)H8GI}nvZ2w5S+)@jg+0Q;nWdMkM$6hmN7XdJ9LeM zAi(O4t`&=2rmezExqma1vqww7w(Y7F6QC|hRbABaB*cB%6D=RauGn%*W*+%rottAg zMXqcEjUiF>Y3TDzQFpnapW^?IcoSBI(}n~$+nuN~9(Jr$1^?Q`3v-A{Gd@=X@Z^>u z@$}=GiC@!8M|x97q?&;H@i~Y^H_wztf&q~}0qj*-5BX^V*~8S)$?C z!6?jYdLL7Ql>41Icfu}Fj-kN`2yww`sw=;AhtGzHiv2+4c;Y`Z@sp2v5{7V3egzIo zyh&!uUmh}3d)IJvL{qb@!sM}<;^@xs#TUP&0=>jK_jIAiQ#DW zV}8FuDebn6ylN!DI@cFi!2R{gzWZOpH%Htp6>1WFU`5XfC+PS+QXc?)Q*@6Jw{o7& ziAt;J+jZ~9`LmA4`;QN2XU{k59nW)5e_uLbq^70A?~wCvWU8V+dCTn$;cF>3qzBy^ z!0LFBSKzjN_^b7g3uRTSG{*$8&wc*WfXrnZT`P&4|A|R}1oL&bw(M41CgD zLtuM@bXgrH*}@~h=}n3BOOYF?Sk)J}cFy{Rpoo*2iT1#bH2FW}`7U|$NIpTJ@&vn| z&~5q2nr*WxYEG9yx(e2(-cfZP4Puzec%umB?Uegd{!3BuRZ5pp?(z_=F>6Bma$>AH zD_-@oikt@q5%cO(hBJ#UHoz?Ym-mabCzBuv#*->P6K>?bl1&6t9sh&7n<18L5dz}>)&m-18EjFiJKPbnM7`(1JuWFlW*s{Dq7kVzE*@h*yI>h7^vK4 z44x((-~%6`qZ2WcozRoX7pX%RMF#|vfeI!mcm9Jv#3IPOsR6N3lj&FWa$?8Dytv=q z0Z+oz)j4U_tmP0L-h_TB5n2ZuNs7#@cyqygS0S*-_@-`TgRQvV<9i>Mb9`?v1|XZ= z&~-x0y1}mq35#%ME+rBiyYz;e_L{@Wp3*$mW_57t6F$%ZLUf86NAPMT@VM=J^y)Rp zvmmR8pAE>h$X#Zl{bHL;|3!3M&Vd#dkk2b= zyx3~<$u#`^WnJ_A?@^j6{=M!38;j|^!JI`xVQ64nOOq!BY>#Jc)Exg@yBzPUaU*k2 zt{#JScq8$Bo3r+1a#!#dAhX@WUnp<`%vD$FTN1GMEspYQ)o$waUAXRo)LQ$%qXur& zfR)*4k;GUx?INno()H;_CSv_;>aB<=`CvgQcVK>lpgDMq2}&pU8f$2Zt9(>x6ZU2H z&%XoIPWvAdcGFv|`(WT9RDn@gr#s4_Roey34yv=cAXubzcnR`5yLjcdx&A*neV2>+ z^i7j{`=*yvfpHz^Jpany{LxH5uUe=KLwopqM^p>=veQ4!ln`ap zE~rQ~@>~8ua*FzR=!6uWs8mc(Dvw0eWQX1lr2Hg4*ykkBEdJBp@sGvoT43|K)oYak z%X(HnsGxd0&VHcc{FDhtY=i5p_2=d%Un)~>?Jj915MwRR8k?58Nnww{07LauaQdd{ zO|*TZgSsa+40L!Z2CQrTAYLj9sgBirG!nT|H|AFsqevO}{SU9HHIq$~Ervhe<+lOF z6K}cKUEd1+gw4wftZQ)4!gJoYgIJ-s$bk5N>a6PmlJS!m<+3D}1K+fI2bVb~I><6r za*3{!(kSYcJtkbEBA_$2a5S)|A@jtK@i!Yf0+LEaNepaFc6#1`JO)sC!XLPKo#)P} zP$}zq#6UqtyeRxTa|Yrdz}r3sBQ*yBcA)~RW&_o5en&@Tp)gzZPb7)nmq|pWz`9HU z&|22O)aYW}a}25ZMHo+m8el_KTglNiT;I-8U`@sL3#)esnyK{)M=^2mT<|D2dZ92VY9$TBkvZy4 zL^El~biTK(uD^n^v3)nbls2C%MTbON25|l8-vbye zRT7(YPnPZedT}6XY&2NG;xBT$K1|;~sKHuzjnco7*B~7DpST_8Z0_>=<@_Iwg4|15 zHX2awQ6Z~;hCSCUmDy}%!A`fcwhP)0t&mDR04Tt>zbw{FZO9p}hh{i43oII$=cwBm zPyx{f`Rm<@ut6H4PTBbvg$wqLQl1K5YKW(TMz?l-^m(DWUzc|7auGi8B?RzDKG$@L z$*-)!b^501%%k){MXACUu<8om?&%gnWZG}D8QbOELYRf~%ZAK3Im?+M(et~nCv1TI zj5qczZS;He_A)PypCri;EdZIMR_JtyMmO$tN?FO7&dj=(aBbFmaHT-~=jvRJTZ{07 z3AfZftTT|9UynsQk`EgUg3KuY%%tF)v>Ju6S+`>eiknlGvVbWak{3k{-~yCf_q2gOkT$rmRj3OBp~9pMRf=xsv+4!veF#c+{*ur3`(l_ab|b z+sqzaWpmabkBA3`D7UT^0&$Es(Hp8Ck{5P^lqGCbA_QG4S!<#HmGW_!b+#FB8yA6Llzr z1E4B|3sToH7_HLy`B9BA z&%?~E!~BrtIIPCxqJ60EG8?x-fAqezpa_{X#M7-Y0Y>BFktyvL7>)e~c?{fT_w;a} zw7+GtjbSA+&ffX>r$AKr9i%?tA+gJJDP4O zIXiKL!ISWWjnok}aT&6T+9PW&Tx=DH29#g}z|j!{jGm395RoD>u*?_gBI| zjXy4n)#2u!#AR4%17{`$nwgQPf&h@&e;VT4;fPx^QWd-;TMn>PQ1-zPG;!1uux}!^ zntW6Y5axXSmf4U2bO{6TUOIWgZ&dS|I^C9mpRvAI($!sDWwnk-2gpg68_R5?R zwVuG$Q#il>T63dRDktg7(AexJ3dFuwgBI|U(6FjTGHTT%k2o|9X!t~b^<00IjT>1u zh$`+(4da&;EIO2Ko7{Iw`(6EE!<8}N`ph}6_QEp6uxy4MfV|Bk2C7afATV}v9H{** z5V~;ML|g&?wWVB^a)^cdJ(o<2JQF98(=F7>ywQM$09XSeToBk(TMoN~HbgYYofK7w zFbS0bkP8_qSK(eaKY}#}HcEDLb20qbOOW6hD4VzQ-Zi0h zrXacY9XoW{B|{em9?-6l2L?m27{hKUXVZxqOnnRh{LuO=TNkLM{dxdaZF12~0I@CU zzIgj%>y_SN_QdI#-0w5zBwTFTa&H)+6NB}cUCISG*LB2RdMsL)nK*c;$d!P|Fo4Lv zdweV#=eY+I=0lL}Go0(P-564pfaMR1gN`rlQ7=?M0u>Ya?Mb*;v=RvCDuUX)K#)&Y z78Jt6h?Sc?kK4}f23pAHWt!*83ny#%yqTOX7|(SGDW&Yvmx`ydAyXW1=?0aN9#AKY z6f&(qzh=;${Zka(kl46wRjDL6COWxYZ0j!4Wqc@G{eeFM@A$7UC(Ho zyBJ0o+4>4hh|$^eTQxqznj^flO=A3~_E1$w$H%5+}sJT?G zlr|>z43HkI6i`>X71*809V~KoW+1_jw2mS+rbC1I^phH*Mi^}U4tfbY)-?GFsN1(2 z^wrRBra7`}x&@+UEb7HdzZ3SHMH6)ge2@`g>gqw}TQKaST$7PPrz-?we(>uh&UqhS zVj|s@iOIBlXoOdm?LP{$ihCq$THSf;fwo9{b6$5#myE|-%*PtMh1dTuJmix$29_0u z=BEWs{C!p&c*T5cA=JttgKRctQ0lca-~SC(N!jWJyAK2w*F$@^|D!@w0s*S30d#Ej zupRCemh3D)a>Gvp%Gq7Yx@8LWDTNJ2j9tq7)D7@7Dg!jNnHm9fJjkeIOm0orv|0xT z%_ZFQT(#x!ifN1apx!G}rX?!Y__8emxp24*gA$rb8c5v11fsqIybHS$7X_AZ5N~{e zGCZQVe!l*Nd#l|GY}me8REGUqV6%m`jeyQ`_%wjLLu>kSJ+M+*Q+0gF!T+DM zo`&+{1y27P2|0#ZhU|+D>m9wa1!LBAp71aaC&NF`v^6S5xMyMNUfIHL4cxY z%gT@e-+y`!j)qRL4fmX;^c6I9p@tNYL$y@qJM>pMVp9a@HkA$cFao{lEnueyGWZMS zh%SK2hSwzm?XyGWVPsQ*TK|l)-?HLSF_2~h80O;P-Pu^7ml*%$s?G&k)tV`3X%TreKk6L>7y9hiiX)$bgaK$~WRGlz@-;Irz`)bqB9U(lN4xPSaj-IM`QZVgHf0mYCo7w7{E>A7ObEtX zHY-JcVoRv+jsmuZeE$9Y-+TIZg4$Zbi=f*ko3JP6y4$Mz9w9jcX9(J3*vXG3%SO%5 zHZYlN9Rrbb+i1%+hna{!40Y<#`-g0DlG*mwCIukXUnV6RAqh%9Go7%28n>ck*8?ug z?KgQpB+Ne|e46AKqwxT~jXoxNa!571$G-)zS0QLo%$d@p4YalxL1!O*bEq}gK= zz!zCu?_K4-M_icXW$C)8-No)z>8l>sCYlmLNU(CM78tm?R)~yp^3SX+%tYx(36#*WFb|;^0!oa@rN-AkVNZDeE6HT0-T1e z4@G-SoHBUYg!MYtjUgSo^@oC7sW^bXZ`Q@z_2PPof|@S|ekEKfxRLh$%Z7(B)yt4? zicw0?MkpOjDpD@dDng@RGGm)o&2Sk$U|glgMDrQjc)JdjzSeU1P(?)HX3hnvZShsW zXiPy&_>}g+$xL(&@=MT8aUy*y^UEwiAckmg7&p3>n&d$%@VIoR46PoA@a@cSl>V?2 z>gNBt(5OO1U4|U#n)VQRj2StgtbGZc^Ypv2*TnlOu56ATm8P!czeO1g=Z`YB>xiR( z-6#Zk9-|i6`{nSbi31D887MRU!LSLCC>8rUw8-O6U%XwDk5;@U{&zB!FX^WT+s{RG zB3;#W!ltRPaAH`NvR?ECUka&=UHgOnL)`l z_a$TQ1bcT!fCW3{@JhIg0e??n25cJ@@EqWgIfqe=ig;)v%%RMg2}gD~CIwB7i>fiN z0++KzX$&c-`TMQ7Nr6q^k)YJXJi#!<)kh8s}FsrfwLUGje(#WXspDxuRYb01ms9okFX>nZeN0&^x92UI#s=DD{+( ze6p3(ZijBr*(JVU-LmT}e$@0Hst{dbDee`G1Ong$eSi}Pj!Z{$@WM7~H3D0zidb=)tOp3tfAzq zhXD&j`3_CIWMHq-E=!pc<;52V1m2N2usmBOSL<{B7n&`59rJD@cNH@h^#cIqUlkx{ zclEHu$6d_a()y#E%?zZ2;zAcHj)q+)xta>5$usc4Q995DP>R;W5C-}|`I+y!fUZ|R zq7T5k!|QDtWoL9@YsAJ7Xu*#|_;P+v{YzGYBODEcmHV***dGyJj_*Sqrc_1*P3=7` zAMqB=LeQZFl7o}S%+g3t5KohEAUV*bWV2ejd!Z`}B`6i=G#MD)7{FrP?0<*}8D9i) zMSM}kfPxAj zTj?vXQGvP`9}v1srZ^mNvLqb=@%q$FlULw9apYy4{C2oP&HhPc;jfVE2}yw`4XT0G zp(O7snF=IIpkvLi45Mb7yn^^llQb3o8}~JBJT+w&xt^yKIK36fN#CfHLwDV$?jZ=! zfVsSV0@{%%7MOl|7zh9$KL@lDkJDP)d~oCs79EuUDk7lApO!a3gTdVsn6g{z&W4)^ zs4$*&=KpKr}kSTrfah1_=70)L=nM0#>}K8RW}I2va*c6Y2*gf zFRf9?s&&xLjQ2?Nt4_`eSnGo>DW#MC>oW}s!&uzP8~;4#M>cpT+4?g{?y#tUWr^~X z0k(sHVi))ZNk=`WIKaN)2>`MCB*C%m@-)TVl(IpPsSXmd75v(D1e|FJ8KwScHxUM$ zINYU^@>E|2z^1a#iQ}eG3yMNwfPA2VS zw#Q!}>AjLBkWs*@@S}zl31`f$B~D#!X6)1v#{ogE2>e2REaa`hk5gAis?|rFnF@%= zNaOU~1xqQFpyLw&4yQm%MonKPn*jSCv(TJ}gqk*PIxRk!Z(c)SlB zfK5>}XO%#c+ZT0=Cmx^9DtwNr9H-`wu;OMZ;#(`s(&C6UR6E0ou)-KorAjbxz=$~D z8`M|*tq%s8+^xwv3O1jkfQDzdjgCUUY>SF%G3t-Pens3nwOI$1xJr@s_bf&DI`UY? z96whd{cOYf>ULR**rP38FIZXQ<2pY~FwqHBWJ<}Up(qq~t$?!50b6XBZj6IktvR3; z_N6P=vf!OMxUd7LqrEgAAZpb775syYBR#N4AS^0=<3_B%No3Fp;a)KN|Fo4LW|K3( zrkuhSn=$800~~rPX~Z+I05&i>AL4TCU7CT}LQYEyvP7@E~G(e2+-t=9;8 z?{qxZ4(8Cjgat|N!FwDP01^{wARsTCkT?F%9{ODovoLJ_Ul|lv;vKvOK@)z(6Gz=SC&Uu(FVqMrWE)ctLMIY2yc}9qUS`cp3)zH@Z9_HgIWKhcj#ev zm=}BDT^YT-YzRu(&u_yZ+8A~1AO8F-nhe7Sq zA<`u&-Car}-HphK(ntxY7{9ytdjCG(f98+bnS0MY@to(JxjTc2VOPnU`Y>_vZ5;1- z5p2xuOi041C)V6$v*yUanjbVWEQdPv{a$%JaO&BQCV0x5x-&-IlWJQ+xqX@|lLsdi z^n6EB$}4=*t2ghDhpFf1Ftk7BrZdY#APTP!z4PYG&sRVXfkFQp>Ix7SBtAL5nx}1zkS!SoydJT zWejzs`JdmpPlzPG=RT66C<{E0&(bXqr?6BnbD>?PUXAIxjko4a9 z9xUB3Iae_nuqB~AZ@suD`kG9VRH&|3&#%rzBNFhWjOVu{o+-get~j2uI$MUbm3t&a zuHw@H$WXq|tT8LCLlF$F{;st)5}8a2c{u;=en^=|gva4j`Js&nz098Ji(AD3_r}~z z2frmllKVWYC8W}@bxkxf0F#^FVswyE^L!Uu#+$QzTUW;_LdvuJd~tlsGKj!+E9xMp z@9xmcGG0NTy30NjjZ7d8#k#C&0T3pK&1EyZT=K<+*Q8#?aBsen|D)~i{k>@d^U~1S z>7LuVD|qfKDk?jS>v-O5^8z&2p7RT`Nb@%N*i|oMy^P4Ev~^7K!QVB>ebeFHEumf= zZy$~ZYMTfohRcvaE%ikEO43OYkcSz`xH|)76GVVj|1~LDR-uZ*mAmsWW7b^M;jt^| z7zvd1>bQ|55LFkWq)fT&Lr^uNlR3|*qc4{x)_jWLZ#%o?KUNRuy@fHU758zF=Q~rq zi+BQ;qb~*wilB?mm2h9Ne(mv`dMrdgl~@wA(-drMGct5dKQ9!@;^h((>A)0r`=Juw9+FrXYmPqi{cFLs2$;C9T)g zM7iHSfp3tmY$s9cR+_K#JTZD^gCX%TT}j78BN=3?;w0)PPn#{ZD%$ZYvF1cji|%LP zRJo1Iz89Z{<(jV*?te#6OXb>XQ=9-Y+U6I?*qUv7UnGe$0-_8}YoZv@XowV)E{|V# zYYKE{#2U^pyd_y z;ERR3!`C=<*Q6f{V6K}s;WZCpL7h5tHu8K{Ql9TKZtbOaS?EN6GS#g}r=-Zo1S3Z^ zfl$N3Y1I2f9Zhu;Vg+buLTcYlo5VeZW0K8soRJ0O`FTDA)0*WtK*PBxOtyo$amqaoq zT7N2@x{Z_&F?+Emep?E72OaBoNcvd&YI6yMp=7zod@VV7yR38~KM#;4ExN+u^$^_j zHR*Ppj4mw2at{ZslYlK-OHBadPI0OotGT_;+b2=eALg=28AGaGu@5ST&yJAkr#zZk z3JZmhELk;M*8CEiHt18JtrjTZH8Cz$Q@__#=GYse)G87jFlEB~BqqC+m=`z`mW`mK z#+e_imiMH!#j-3^11(*!D=hBkI@<5z{zE2}5nj30%cS^lB!nN`5+hxJ`SW}lV`-mc zPS%X;&!kf0b!mgy!z!#^{(=dp~jMBQ;$i56OnDGWIZ~34Cs~HQmDI)w`e3G#w@W zCy8(lG;VuXFPNVG`VHh}9S)YRh)~cbk!XAm4WWLI8G>>eGPIs5pM|IV4Ys$WTb*8V zp@}5npiwVd;&O!49u?b;oRdYs)IaPHPqDOscPAsi4+s^W)I^JjUsXpcWFy>N@f*s;Mgao%?tE;pdO{RR%nQIMJJ1Xv)a8 zk!6alP9(HnAcaNgNya8P<-ScCbS2G`L%o|CL9a+5+XibnD!2ebz!pQNVv`XQCya&F zY1dg?J~w*2JypYMt|*J9dMGw|fZY1dEtwd5BPd?5!Q+^r05xwwj1a)4x`W!o%@f1TSTiVuvV5^N=H zw}1H7_08Ul&U7ripy=u35H>59o~F+FY#%8)|{Sq|=+3V9kQ<3N|#+ zI`j&#PpkDio>^bvhQoWZC9I(>!t~YzkeI-{c(+%J2u}=cD@V&pY>u+(DS{;9a7#5O ziVk&Ssv!c~`vibEFcVB^gBg4WJt;04$lpNl&z)bvK8D|UQ;Za=g2A>=KgUo_+BtB+ z%R}FId;~eJLItB{(J~`5R}c)73WlL11b)YCxs-;{2^#4FyTVTTR4AvT`fjN*)#z=z zWS?Z_*)>I3t+E9IT^i$_nsPt-WJ&*_ZBR6#XsuY^XeXc zH$fUA^Y9!#4m6+arZ@4_yO`6*TYzJcq4D*6Z_k&BbOjQsQwwJ_zd0fnci|}LPgopj z6TFM{?|0z|9Zp#MGZ_)s zbc-Hr&t3&z8w0p=Th|c%=@Egh@Txi3jL?zQ?s&vTFdp6}WoemydlW^kw)|&53%@vF z$fH)$rxHF{YAHkpClKPD2jqt!rgTyt|DGI&UJrql#UPF&u!~3u0rLn*d#I{Ubs+%` zC^9Gb^p2X5@c2+?fLC@2yE+wc#F-N*Eo*p=^1*CT<7qB>Yv3o5)#2Izi{i`?Th|P; znUiizItdhA`^A(8wrK++=%gYDe(_cwe)7K+r#u5Sg_4MBggkZhjq=4l) zLTF4{s9lU`j+Z!efSVMv6Hud0qZKBeVtVLIe1AER@Na^DMs~tVlAH3wkc!>N3Y~a29pCn z#T2f|ojJ+63DmH9%Fz+px7i@PWU;E8US}7az=e120iGJ)tQs7adk9l-TMl85+HLu@ zh$Mu)S5^dQteDz!eTcei?xfI2wosoK(nQ{4lyGwHv2Aca?6p`+PT1b8{}3_^5>*^Z zr86_CoApvjmT-yi7ts^3VXsslu*I#{12GdUW=iVxN~|zmIH*YMZ*2HnzR$zbr8`n~Z&Kv@Sc1f;a?;sOJ zhEmR^+b{w@A(vW-SQg`jt15dA;g}5h4^2OIVefm5EGi{4%FE4g zHplNvZjKJ1k=86L@e1b2m5mTqUR2OY(I;j0v*7(lS5}g?x1Je zw+8ZUP+p~Pu%|mZNN591^9Q5M#vk`H7w!iFGndUNKtp1U;D|G!KX-<7=uvpuDDPqK zZQWUqhy+ieFMwU=^uC)+9;vD1G zk2dkg0fvC~5Agq!g+ieaxh^e8g92)*ytzp~If>XUqBu3QdFg{u6dpI-nfiC>=|hTY zjx9(-ROCP0{ZB{tDgIEqqL|7zpbfxOR##B^pb2|Ph9)wNvk5p7P&0U&ZpLsUrI$ui z4gR$mI8c3;02GbhN6iOl-_JVL$&6BHx`W^G{~e?2p1tvtp&JesTRT1Z_L9Wm!Bh?Q z;~}`s6e#pIC=>38sdhC;?WBTj`}@(tZ&Iz+K~+e#97;@Icc7`{WxnDTVCP9wQ{^Zs zLPT&Q_S^}H(gO^vKpVXD=TiR8)2YvAq(Nn=L9<5S$(eAqWB}`I3uU@52<(;LXK@`( zItPp89~(3|TGheGj$o!$_?AAt$fBcWu3WIzH)v9uOYKN(K08C~=`s~`C(htDCe1R1%P; zjDGz@>(Sxo%EM+AE!wg(P|urq8+Si{(a-8#?4q9xU@`0i^|im{V@9N9ikHFEe-j%7 z43o(a^@l9#%$ZDedr=kTSAUAgY5A`A{wAie{!Fc{si{lDX^x7_fp#E zOPIArbi?d3UTdrg6TOR~gzi5Zs@3?Tfbj!f*gDs>?Mu62F@MDKh9W-E@Q^ao`o(1D z_h+70pFeY#6`Z_jW_czv*jAaZH}s9`fW24xNV&Dl%00s0b1Oz_ujkjNUsaCM96I0) zv8@-*-#>+UZhguU@anDd3=a(wT1S8J?Cr~sgYg^#M6pt0gX~n(aisV$L$1~AFt_D3 zjh!M~=leT`Sez6)hM_V@byYQ($FfOC|F7?&mfp$wg87tO6r>wXerYhTWs{`-U!nnW z)T%Qf{Q*@n!E-W^&$@YpDd2n!y?Nj4lz6cJl<~UtzS|J`HKtig`zXItbb_5qiy~ZR zrj1Lide6dL=I`0obW@WA4Sv)gxDXik^S4jIo=;?&i{0hkV!Vavdaa@dJbQb0UV-t? z;8kHeE;QJy5C|cP8D8jV;^j8@OM>CV8-^0h{Ox!h@#WyN3~NXlN@P zO6vSQ9fKstsr$If$k4sF?`&%mUtP5beZ-1aYqDwnB+SfHvA5agS4fd>ie>)%w3yEM z8iUZpK3Js;`a+U-THOZA4ks4ILJJpPm6L(HOe4^!wxdoAglEzSSBTZY*f?sQEejJj zYk@kpThxJ#$^*M7i`~JPV=T-5qGc{n1f%4s=Opps^-u7whU$sj6=T85IpdxE>%H+z ztwRMdRa+vsAO-f>={8M;6VmIzCE087?BH{(qk%2Gj}L67O5>oy)jLa{^^zeASf;AT zl76kFsLw>b@oX+o5uNP0_M&##m4aZUC4KH**@?ki)i0l~_+=+xfPxM3nX0f*pEpH) z*)vsV=64vbW7;a*c|;ut5AN#)z)s7+*h@R?G%?+*?os%kvIHsKw;Yw7Y=5g5&3qau zLK>{Sp(U8#RRD%|Dmz)Sm#pY23Q>A%ZJh*^Mem0Yc92)sT)GjEmSE6aK7}E?tf*JI z*)^86c|o4-QEmdO;h{pH91!Gg2}+PxB272vB`^ZzcozG zSJ|OXUA&EACBrWk;3BJu*2$(<`Elx5Tw2A*A4Rf`Z2B8X;5 zFq@f%i&r?0kS_;Qy_YWc_@4+@L56tmSPxj|uM7X_uB1;$+nEGNM@Y+D1201VCs`wO zBZ-D=sqeY?3;wd+lt$A1XWElGyh)Qyf;4qnm_#2j6GsyhH4$EE??dDQoVnJK+Rt3c zJ=onGet5R6CB6Qu4q=awkT0Ji=+&Cn=HAq!_`O#u7iDelAt~2-{awz|$K&%bt4dCP&;)D96=qWDW?f^Wc+WDYgUn)WUfElx)U#6YI}6(i zxZFm!v{wu|ASzK~lg1B3BjRx4yezC`LIhcSOC7Mx&r^$3yl6J-Vbig~)aYhi7{QaB z;~;apThfA(X)YlQh`J9{cUPMoxRPr%{4Tx%?U!2`Gby)XyLTlbO?dOwN>LVc3YaKb zJ@olw>%pZa$<8BsS#^(h+rosC7wOHV(nC zHP26#Pf!A-{uycUxoHpT#OLx^!;GYR8S)oLSjd&KbQO)TtS87UMX<20r6OG2

t6 z7bW%ctwZrs*zICxRPr=_$r6&9vvlPFiewo}<$$IM@urati;Yjrm zT%Uuv-~oXSkP3t;`kLEzJz2$u)bC9R zQfR`NM3CdrLqat9Mg|Njw0y{snrc5RYvF;T!E>6NXihx-O?1mD8HqXL$R)wb35^{L zG?s!WbHPqc=YNAd^{_7)=l$O( z%E=q}>|cIIy@^pOGPc=YY9+_?ANaW23QgQ^;x@0tqtjBv zT&WDyGdH5@GjxeBw?L&#*W!zC*?<_uX0hFJq*^udzxCo;eb%ndp%ezHp!qiM0a+X? z{`ZpyLZClMvDwRhnKaSads-Km!p86MVF_cR^Ox~DN9q65-atm~-2;yS_3CfA{pZ|6 zio+N^DTvkpJ(G!|v$-E=XvE!K=9G(_#EG~(oT+^>n(-{U$0c}l3y8Mz)br6W^qo|7 zU?Ub8p`7w3r#E8lDhw1cV9a`;8SJsl84ofV#MpqDZR%4SXA9Bqpy^hAhfX+GIvG3{ zkEi5p@iH(L%tyD3v2XTuG_Y{XovcZE+&t9Oczn)pqo_;mNf?uLd=ZsenBax1aO9zl zt~jyZx*w!K&goQFy=KrsmY!ye8&v` z_pb7Nd_m6Nw!r5b>x5C+X)7iSJkz4!q@x$=C+rqlIpWK?4+`_?H~h6auHbxL1jnst`;Q zHEO&ELRV0WeO=bdRR|Yk>2A8%>WDtvi<*c&S&R=YTx5^)$^1#{sT08HDzT8_K1<+v zK$MxA7}tV}aS$AsfkDjAYri=;7_-L-az5v`W{&@VFF!&o5!C>{)`SRUG|mFa8)tif zThE?k^)}-`((m2dQOrpNO6DNIZxSFN_`AwI1ie$kI?H!-xQ3VT72nB0^pRK4!mnRt z_KvP$1z(1d_Pgzw1gjt&G0Mljj?)5@d6^pt(vv|jKt#h~eoGIQ&7RZbsYNut zLhqgqqe2N#Gh>!5?f=8m192NoaI;FV48*w(5^rKKoFm3XO`@?^h~n2`2>YR0)zBvB za9G%KL%H>=eoi70wl%45y`vx?U2N7=L;Qd2`FxE=nK%|g`p*a_gGYr4Ve2)iZDuzn zMEX5*i~3lIoYB~Ejb*2)H-919&EbIPh5LflwY_=n8us(c@bF!@K>zhnDOVDLbmuGTV((&i2Gt2v|EJA)f3l#d~N5i`=hDcy3ve@a$!IGl~wX&tI(TG5is^60i#31AEgFd_+KQ=upmkC>dJ)VN)Oh{H|yL$6gquFVvj3A!Eq{)7kp0v zTl*qm?{2geM)WT7kc;Bb|8}4dRqIo}!_+Ud)BS3K#G+D#8ZkI#jCiwrcI0C*o#4PSGTSl>E+r=;P01XIA(v#dd~!e0o^iw z!74aa#+#9Dadof=s2wqTE`G;~RF=UX9`sTED~hwFB`togF-z+FB`PQx$xEe$&@Yn_ zpPQWlUfWIQEBHq1*>TjbpfQ|sn|dmnXYD*)c$a{ducdhvzo)NJ3J-N&BMd(9Rvd!D zPvF~yL_^l@qb~vR1M5YJ&2IXi*eAB1Drx!Y$?||wxV+L$9GsRMxcXD*!T5?83SU=E zKG)237+zs}JptySVdJN##qvtWw^Fp8i1bkZx_aazzGzb~@ob|1;-IpKSz3fq`8t|*`=CvDsW$hl= z%f}hj4F{To2E)h?xgHUUkloj{9)4-m(o zQRu(R)iv+a;Ik^?!loyi{{OQN#pT3wY^Cqt5EypT##X=H4G^hnPbE|#f-eyOT?okj ztP+H#YAg}O+r7Su?;|6y#cnld#O`H4c5E68)(%@=GMnLAr5OE`MG^|_0@h{^yIka6 zHhE4Xj*BvE8VQO=l=I3qeILOl8?wGEe-gycIybPfTDok~X;W{{GP`&%n8)AOd`MC{ zf1qu@u!D02l{#qRj!>O$l&u%B6MKoS4lms`3XaY5HGVP~C1n@kw(>;WMll+s3f*s2 z-3n9UAbba|^&@On6uCwyQ=CR$_Th~Y`Ef4%I;(%p9{E4`bCo z<8vAw2`GQYM+Hr1ANDJ22l+f=Xk#MNO9A@E%a!{#_kavTsn=<#1?s3O76=*Tv>pX4 zX;M&cd8p{Mx(!{TmVym*u9ckT17$--pW(+@?GUk<(g;79mwr&tQ!Q{3v z+alPR4VuYG0w-sSZ!w668Ovn2(IoIIYJZ2RX=5|WjXs>aTT0q%sTA5r2yYhWWg_o-)q~&uR`+&WNqF>axDhb;@6*>U?rL~irTCILWkN!wK86)K$@f! zD4PnEkZ?PZ1Fd3UToQ%*aT%;zmBaN9smh4_r01S0%H)tVAHky;Xa}tkq=~N71WJm% z(ygusA6(R5u3{;Giqc!NP)Px!P^kbAu4ZTrn@(r0h8#sKC3$upKDTfCk|t2auz*kp zWf`--KtUgNG{1+iSU5Y4ZrPu_)*tRYvzl*8`XJsaA14^FMxz!;`&j2N6mj*J(N*JH zs;^S8ZaXWEze2t&ch!d5B&0MSIp(jmfC~7wGdT_GqlX9&TZ7;C!|CU?#|^{%-W2o+ zFaCYcnRvn4$Y*wN!>Yt|3W`u@^X~>ik$xEp{4is~HH~U}6PmK_ZE3(b0tT#y!s5Fh zQeo2mi6u{?9Yj|@zaJ;cLPf`;Mp_PZ)xjRCrdEW zs9f>9-n(*KrrbTZ%~5hTNmmNv~$SwElML9n9Uyl}BLvZ-(|Y!wDgd99HO%oWWo>?TOhoM$a_MCg>2Xe}?U zt=X=nT|8hozUlfIpWRcf=x6Z8_HWq|h2&LOGAPquksKfrn7V0b+$t z4`1!bDrna#5~mal7X~PVedtepGDU_#{Yr|})B~h3cS0cZ4 zci%&;kKf_VVn3mivnYnwNO)zE6_X6*)2N)#Ac9@Ft(o~6pID~mB_`0x8OD!lIt_ZC zY1xC(Gw%FzH>vpTy7=0xIPAxVV-bi3h3UwqNS~F5lrd-7obkJ+^Esn6gf%1;$5r)) zqs1#m&gH%d{_SKY_6iUwdm?f#i0x_}d%=9PfU?%uTkvLq z+>4X@hFZ^`Cf(YK(yF}!v6gz;WT;i@yP)kwMmQKZA>)e2?jnl6&nm$F)JIDTK+PAm zKW?I=0vT9h80;<~*k1OJ;fYYC{id3nk-x3fF_e$Oa?r_y88E~Iiuxi+@~O78%lpiY z==xY2?gm}#bj8YWFhuV2Q0)?Zt%Bc?DLC7*!R7&)m4^vwO7A}fv7lnQ_ycQjFlCGr}T)>j9Gq9 zg!0#8wn@Wf6&4a-i=+|2Q+A((2MS4E^?L3ZaBi#i{M6>zDXa(^SlLP#vCMxUky)O)T!E zgA2d0`aMWxyVfGAr#Mk?Hs^#5AacjX=K+-#b~u2kMwVyuG(Zy);q26zMxcDSeAmU= z?_qVM1`|4*uPDqm%V5{R<+Oj%S;P{~PWP(q51keO7jT>%A*ZuVVhjH@1qi*xUqK`p+s&XcruY<_XVq$a#kDk%9<7%g(CNffUFNUU}}90 zNIr^bc`AZpfn1vEqHV1od%s5V-#@lb1O5hjbdb?Z!pQw|=?&7sad>%QMz8gyVvOjb zB51};gN*+}W!lrK!qGzkcY*Fz-P>+@pQex4!(WO>^0#j%Q3?52j} z$*{eVd|cg_)Fny5NS`;&m7Jn_x4p_Z8HF^8i$Xhcp^^J&G^D?UCNxW3V+Z|4>u@iO zjcrZQtWh1*1S&%IXA5yOY-7%GAX%j(v?%G^W+-q>ur57sQJ^iMDc7nk+0b5_{H#RF zl|1ic##w`<45&+7H$_BLR)eXKm;D2iAC51J*Ts)nSyTAn``2CLCk)Qg>d1&nx#XXc zNfdz69OByWsU8=$C@{w}RlEzZYWJM^q(zIJV(l=nX2fZaqxl(s-w{(kQ$V+~kBe|2 zRFu{4ag}}jvIfXS=3~1B=8rD?7Vm1KxX3?M+|!$$_1Yc5#2`dw(v zC7ni~IS5(2Pht4{DNT)NKReY48ZT%WK^B)hWoiOE6bQEQIf^Y;IBH)^K}wNaF$>zd z;K2as-HmUg4BmiODXW2EtTiY+4uoXt0d|oQ170zXW1tIkq)_j5;M0vrVh^q+))xgG z5jX9sge+?SKM7$BV?Xo_YmdGTBk$t-oEhWU_|hlFY{UG-uORxu46T16f?WG^x+q~F zZ|?DaDqE&5=rfZ5kIikv*(_)p;d&7 zvJ*jrIOhA&#Quq-l*bs!H;>s;nSBc?l%6Mf*qLMsR^(?9a#l{aq0(X@P$pd@Yg!I7 z{9-kMW)Nu@?zRq%+b7}$F@FiqxP74x*+0_2d+a+8&g2SnLmRo?h;qtfWX*(uhh)_v zO+xYeM1t&(2wgQjDF|2zd-K8Lzp`piy~rMI5V_eII2V!lN*V=-zU;+EFYr0Pm_-w} z5{deHywMZXdS&b&Gg0&WEul;b0IHyGX+l)*MO~^n?-D4SaYpIfhBm?<4Bp?Ty;~xS z>gRhIl9c?r^cxMLH>BTVpR2McZ##Vi8}W&SaihVS&xC2_l}vryy)W0nmIP-bO-)VP z+O%PcpdZ81->xwe(nLy-BEUtrpnYEU%csK3aQw~I>4-drae5(WRHu5Ho|h4#`sOFL zj%ZO3rU6vne9vQ|NF4R-B3wWaP5wVDOSZyPok6oKJ$FO!k7w!_)~Yvu`b7eOvAWxC zK&4*5T03^orB9wOymBKRf`-DaS&wj)l1k|TecHQEE}qF_lpwii7D7$g+)PdpD520Qf*J`=3r9B6w%YP)|!#`g6|&Ymq{6`*m}H*hTWF3t{1W@Dsf^DRPBW zlk@HYJbGkDYmCvOL&p2|tY@dOFJ9cKlJRXM9N9l;)6#ER3Sp{Xe4z6zxVOHDAX=|& zY1&$wRw#B9JTJtGU6CeQ6Q)YSEeds61Kg6cLaq)Z!zRvh55at*#~6ER2QMClDfrSm zk9H`mr^G<^UpyiV%(~N;rQnMVO+~dN4E1cK#bboP6N@7PiS~*B76wB-U_Fyk^F)}_ zWMdx{&`dQFPk4|Kx581axZy4{MVaj|RDEBXlT;lSQ=OeuLR1&`KuT2CIp%>KS! z!zvkWmKQ`7#p*`YKd9Hv2aYLR zT4^j+8sGsAFhuT`qr||K(I2-&NKGHI2FGw&o8FEsOqKZL(wycJcit5Rug`BM4VTb! zh4OWTDDsXPxJb}dal}t7)yZuni z-SXOz+#IS^J3xE;&X<#3jHL>IIluU1~X z#dd)R+twl8*s5tVVnRw8lWLYXZni*KpRDf$o~8_ijVY=v@|Q;d!C7`J!GO9i9BlRX z-FM)sHZq-7c{y?m_Al}8c<+Cdv3Mr+kh_iSPG8TP2I`mMg6c8&GIrU>r z<8G0CE+T`1{15z*BEVoY8@i+%oqC$xu!IF8vklMu{13d5{!N=FdDccNQr{Lgl&U}7 zJt#CAOc#5!L|L4i+_fCmPt9G^--$8sv*}=?s+-5!;1h98_ug1|!Ty))PeN`&X2<`f=ZY@(T zLR52zNIrRdVgBkQPuG1%)7P{^+Z}zhLHO~-n?t@9rM}>*qFqs`iy9{*KMR%ag3U7- zF|*Q;ifFC~8%( ztE^(XC;BjdR!8pB&yvO-0Vr?R?7ka2*x_~B5+HjEYodgy%kxO%wN%q()|%KceY;Dy zr%bD1cW8%QYfgm7{&kWXbdh?p%UQ`xeX+sBV4nc%DD4$k@<#H_k`4YXd70lryPM5D zj?1vSAb|l2yriy*37Qfl*ZU>BVR)R`G*|bhVcj%$v$WZrwUx3~63hw?Qo(dllm}a0 zpgcG)2+utI1OL}5lDb%~;-Jtd6elkp%kLSdk)zq}A)X?o2M8oY+3; z?Sl4xJog5^TH_JAmlb)GpObTRx=kL7YsSst+zP0ND-H4Y=lxv7uWjsj>P3K6o%-rT z{-Wet!|UMRt*Q)v-`o3jSD#aT@ikz1DtpSDu{4#7e=RP5jtfoIl=@v0ZSH4O@=|;uWpTVCsDUR1cwQqU6$TeS~eP~`b*-8?0_Qxc4%l`70vrn*GVW%O;UHIKm z*RD8yZHpn{NLqojcg)Tbh_pE0j=i|}sF`ryI-0KgqP?-Z z8W%WpywAL>Z5Y4Dn%rnu%gsbyYXjVyU(vD25(g4nkr_;7>fKp&P(~(5YD%a4)u_pm z01`V|xJn>f~eY)0(Cd!|^0S-hOs?9-~EAdPstrpW$86&7R&yLv=T<1R1B3s(7b995p* zod}=Yg)a>FSm}z%Ay6*Eh~7fSZD_^V*B{%oEg`<}ux*le{Rn^&ax|RmuY+(l$s0JV zc@OjM4<5>lbGIbnY|=WXUu?&Y4R%x38ILh4-;afQWv$D)uW)_nl82sDYfZal3XxU_ z<1K1+wV7f|ELZRmE~0UFdS4Jzf*?8P6fMFOS!~@=Bga!QiWpRiCKt(GYZj<)#i-soh&;FjArt3TjSRmRw0~CQ6ubuR`2k#aeliq_ zVNtIn>LXei+o*IR2Wpt0^SBfs?KB4co51Z$UJ&C2ho^G62#BZTlOg7BSrJz`K@#{? z=P7Q)Jy_o39R$t-GQ-Otr-@zoF&Pe*WRvpC&^1yIEqEr&LP0u0#2zFpnLJ$j&ewVV z>(SCqwC8{d5NQ943}%DY@X3?my4znpYA1C&Rxrp(`8#P%%~;rMXBa5yw&&l;F*GvI z4^nN(P-s~#4&|WHaee-i5#B*nZHh5?n3ftOC(~(Xa13&r6c$-y@NT((Jefr0*p+C0 ze*3_ybJTe_6r6VrS@NiF6h{&}`zOmn^m!7Q;4Zkl_E*!of2sKV3|LIVFi#XwzhtX| z43NRs8JYK!ktc59@2!`opXq?D8-FU|8NBFfn@@#SjvH@2{(aOHpi=fHf&))Kdv4@} zxAYGoNjB~2Q=&gc*(~9_6~StJjp?KzT#Y7aCNQqA84JOUKe*o80EAXT*`jfC0$A@W zfbPe*hQxTzM}#2X2728C+RD>CCJY~6{Q92QCY@V}5^N4a;aCxXCv($>C4|G{)<}j_ zPfj$)aktEm7K(U3{;cv@#N#N(Gd7wSz}#6KTgUfl0Zx`C+4|i9jdd?rfSlc9% zNgIGd;>nk2OG`I|mdA~isy`F}Jt1kiM7v5i?NOK4oZ371w$IDRc(dWSn|89WIqF6U zbVhEh(i+(*59C)!e+V^B>zZsm zFWl;#?3w}p!@`Spg5=0NA z`vopjs)N+KXokyo$P8vBsPmEAk8s*@$%)u^@2`I}ZCUmX{=p?P$>e11>L1h}uE!t9 zQ}w;o{sb8E>QmaiNp37WoxkViFV=KB=XG9;)p7m}+yvyH&aX92(vQthD)z>ueNPZ1?r!|SaUgo`*)vzU5GYBb8T6X^3Sn+8FA$Z@~n=#N%%)e=7J4Fk9zG4 zGudYr$tQGNxL{`2v!`3hTJD^V+|0=MeW}mQW;oP_AYn(fOITVZOLyB6>6tOUMIdOmO@WQT*QvLPu^;~S8CuFmQCPmNF3W5lJkoaaK#vWEx#fV zo$&gZs`}sD3H_UbP1D@IJx;HMTRxUuVHtpc?{&s=n6O%Sa7?qIrHG;x?me(OSmx&> zC-?y%QbfCUdSHok0Y`$h#j_P-HaPYFuD?tP@OlK)_(-P-5lMZL1$;u*)!}3{kfr~G z*LLCev04COm;H;u-FBZwzbBi`=i*xg=bz~^+=TCLH%l0j*3X-CT38BgWXZX#5;yLv zJt>5nc1lcE@wsCDq&(hReW9*5EaSReCB`F8i1w{o!`s>IXal2m<+a7WSXwT5eaPyB zk+)&9Zw^z}&f-_8ldRvt+e6GHf3VF>L}7%LEke-R4=4^pwg1;{%KX>PxMtjk2lj)3 zoS1m+&5IbNEBC_o4O-3vhh;cd`!)ruR*f?kf(dgjJ#vf~yF#C*MWD2UgJV4hoy-C{ zrLezUxB7Sg)_j44#+@$vzo8w0Dk|M~D_cAkX$)L7qx*xwYX9~*cQ>^6I9K6e8<OB?MkG-Dfozwun=E^5ib>L^H=|%`7Hh?JL=l{)W98@8E3rkxw-_v{$cKx z>2~2|Iu@9vTsar^e=Eax28`TMK4ud9F=P(-vJ$N`5AfKT`U5`T7)`2D9^idFIomtl z=|r($0n`Sr*&S6I-kVL47*kY?(36?u1pm+l!|uCPEz`FpUHwU(>`2sh_Z9}IbYE?Y zYzkfD6$h!bxlbB-o0E#uRbJ5q93godL1qbbujzs9_#*BmHg3NMHG?;}mf9XBTi640 zklNykWQ$c-`lV6?&&jz0P6fQ?H90cgy<6;npwb*V86+1AI4A6w`fJwj8NK$1{YfKt zbJ9Fn;tg+@`*4A;HS+OqGQXqHE7zv8~kKmgGTPO(w!+9K0 z-pf}uYf6H-muC2iPfo0w++8~SxJ>j^dC|COv-yVdngnAAam8YlY($v^pY1%nH}k)u z>X_Pct$%Wdgcu}`S5>W!0M$U|SFD~pb(=RiU8Q>u3w~haK68`#zam%Zq|L^}^Nc$g zYmPE)yA|;Aasber21)G1EMC@;6kYOH$8&!E+@%N$UY}n5^^^|py*0QWHUkPMP9Kgd z@OQyGWv!WHRRnn4Q%o=dD_7L)s$ykAC2Xp>jERj zfaSufhl7IA8n_NbRk~kZ08d*iR3P3c3W6m!gjyT--I8w^XGv{Au(moRw*Y4Swzu%C zyw(4?TyQY!YW8c2>!9RTphdKM2W3z9)zLym(xg~~(4{lhUU|9??a9;zKEDHnYf5co zp9aWBF-{zfbcyibYN{Xt60hvh@`ET#0^AKf0v}|;-UkPRqop<|4f@?7C@fL@1_j3_nkHS`6}a6(iQ@|)z`#gkI3qQ3x|Slh`gpc@CfFr zZF7BYjjy%c@)EA5b>z7g_t|%DTqWY==%pI}bRm`^tD)Y+Ith~60~K`05W^OSv@9 z_)o*=3LY_xg-e9Zz=`QYZ&zEl# zp0>2e31M-Q|HJ++cAJiTJzx;&ZqH1==47-VYqKqKk_>o!nbr7jV)oqpyErZ@uh{fO;w; zxqAmMbe%_Pk?8Ju$w?NRZC!L$l3wZ3&n@`WC(Oc7e6F^hT(0ytp=6iv`S~ZdQ1N#R z2NPzvP%GT8;ATMTn49k2bvGqeb>wu^Wb4ZCPM7}he>d;H6D_Z%IURT?3I&A@5`Fvj zosB(gu=wWrkMxNm+|f*efUV6$JTPSP`03$!q{D$T@i4BYn0P_zdB(+B2Z1qurmv{0 zY0z%dT-UxRZY}~V{mHoeC6o}}Ugcv-4ekT2Z5 zw|*z3j&~J?#8Iw`%JkhB_1-_?Y|`LdFKg9LuN2{3N(0gW zR&kM#>Hl>W;CMpS)@*zbhfmf^o%>LRx066qlJ{lYvJ>EWK^T8I@!U%`ur-3E0%eI& zcxl{8ozi@j0)W3@Y4QNSawr3PR}<&S)k~HgT6aLtGrj``PMrOO#TutMxM$5w*<~je zUt@S&(%%X2Be`12w3aj#xOsorWAm*G+`biaKJO{hzSuECubh>qmqq9=;WhN&18F2! z>Q4#>-M`;9+bfuhqY9oIbv{biZMspU{7uR0_GM%BHze1-O8qXL*0eZbtw#mAYQOw1LD0l^xr(iV7VnCDa@tlyF?}MgZx0RcblanCXCr0GACU^SF?aV3fNlbR zbpQWj&q>VZn#_xRL&4ykWh+NB2xMbj_< zd!B{#M$^|XJv>)N!TI0y=R?fR-if=-cSBfM>=)U{&G`7{OBs427m>o#|_Q8Dg$6c?i za0Xw)74R~5-P@l^rK9Y|tb)H=wI4P(q!D1IIANfnR2_!S{4L3)jMXa7e zqv67-zSW1k8x8o!gyItqNI~rQAZ060BX0FN@o4Y>Yq6o4caFeiP-DgNfwu|eigixM zCeZGH<|%40P>KXi*uzGdO^v+03dph2|CfCsVaAK6^Q+V|FdoQfu9>ia40o{dcBEca zGLX@`;rj{<6;ef+2!ycakhdXt$8Z%0Rq?-m-*O}Jl3Mh|7oJC z{ECDs8+wuV9CQwDyWnU`Z?#qGoa0-fK5oa{w&$_$6;+nEqMKQWQtSco`9;uo>WZ&N z%Z1-%Bs$ooKUP!=sA9_z*=x5t+_ijwVD=7YOe_)}Y*HlqdddF7MAd4bxgnK@bj#R- znWMU-!AyM)j-MI?I!j!eDlXN|w?o98YFk1qQF%EC6Yq|Bw`xdrde0Fvy9w0b5t5im zHI`jB-0S=}^PI#n;GoU|2NkZJy%s9(yJlGANIo2<;z=ECDvB~xp7P1;hI6s!l_(Se zv<~w}#n&i>b9uARWcGfkJEL5XQ8>i@68!kfi;|;Il)SC zZZe4wF`uhCHBX7XG6>AA~x3R*t^pnL6Zy$x0vhqiDNPdFAiDV$K=X zxnYMM7f@}jZZf;S?Gmu^+BS`%%mVHcz`(I4-ZyUdOaS_w1^qjE9=4#T1JUF&$MBP+ zKel~wVGk$hSlGs%y0P$U;Rt`!)*!$O8$$4z9fW$se4i@aa8jmo0lUmcL#xJ6FRL{@ z;*oV1#OuDdJP2@qn95QTG3mvpcaiJXXeEKO9KIzAdh?ZW1sJgp>ZOZ=I@vP7acIic z^7XbwaMb5wHAS{^7ySLyl7Z;X4d9@=ljQv^if5d_9!yW>(>8Zhn#G%Dm8&Bp`T{g2 zmXAkP2ZF2Nc6UVGeKj5ZPXIs(EHR zL&-#zgEscAubppe+@}wCoM!}t%W#2eebiQ=e)wW1m#*>R;W6r&X4Z(mGaB&Vg*8k? zHWkHd-mW;y{Cvnn7!v`9ocz-sk(U-jC=o9wcKCPmN&i({P;9Lp%eFsovpQ}-BZpcN zu)TlM8141w9W0~ovguT$7Ac;|eGLajrSpWU>MNk!66^iDQomFFD*TJD##60h z)MUq1U1qj+eOu}%dtpNcp4Mn_D&WGmDHZ)W9b0PhlT~AyPOji+FW)zoen6*NX_*+Y zH6o)CGH#<<-!_@}YY{h_zxwT-MIQ>&L%79DorAV4!H?)@m!)Gym~$G!q4iJm7UC*O zG`VEHZTj0@ihQEZS}pWSCai2iLeDEiGIaK^h1#%M9%Q@Z&s&D>!<**kbL5nWTZW?- z9OVj#HJ)hhmCu_So13fPy-mZzn`_`B2wI;1w`+Bw^N1Ve&51bob*1-$!iNkJnQa}Ef?f@(U0&e>M zK1dH*!}{eo16Kp9?{!!^^d+F0-yapf0fnlfjyrP?(pknzK#>Xwv8NwY`^5hY6LAvZ8LX8-k}K@Y7yI_wCxDZ#$6e+YjwD64v~;WS{{D=R z)RH6KE6GOye?N3{b8V?>54*=(R<+njO(!|=mMxAg@g|qd1ms4-*$gV=^g;qg(P>9V zzMW&+==$@5>#HY9quRe|&bDPWUOQ4#PeGh1Gf5c1q?voAJ?3oSGbc0ZVww&mAkK1x z^|~)N37j6*lCwV9c)Z3MET83!u`u zG8^#E)8o%PL}E%cO;ww9wK~f)=7^rIm3faL(CMrhQsHSh6*a2m)R>8%`rKooUG(gO zntxK0Xnh#_d07#0{aVZ9<3`E4MwE$@3&&IQi)wnc%*5eY7e~yrq^;;AL-{6ad>alM z96i)5i~%{-)#LFUZL1&O;1ds3BtX}>od`1H-8c7z{$i+sjRiopI}HTFu?zY*57fWF z|L0+kh_x}SljHnjn7&4**(c?O-vA4iVG2siP%9ONlP~WNGv9)!>pBU`e6p>Utm9zkHJ6_SNkER_~&= z1Oeiwj8p22QeHqOS_oeof{u{=lqIL6aZoM}dk8X))-P zp0nj;!*sLIQO?QqdX=QJqLuvYlslwW;+p zpfNR$?AkBK5;RAFrL$5Gf5S#UUaGAuX z`%_$VG4W$}rn@D>Lzj7sdo}DVbSU86`VT9$+1a-0aOs$pr#HxTR>y=wPb@Eo57>s> zaTG!g)MgjwgpNv4;+|)AIFnJ7cq!Yg(EDW+ohz2KrDPH-;jL`gs6sI9UD-^v@a!P_ zFJ)7ceklp$CEw4^HzQbHe)NiH<2Bw$oFenGNSZxRM?0ton*FB922E|rR%lK|%E?%% z=4wxLW)1Mpj0By_F{q$Z@Vn6D)Ba=qG}Yd;FzX6K5RFsw&kyw0AzySQCdoaIJJH1w z&@ZSlyO3)}0aI*N)5maS0TB$z2^^Miu3)$IR;7~RE)RA$Iqnr!z2hfaF5OHZywAU$ z6{8_!W75nJ6ysCxzCwRWAl-Q01!j!6(8O4S3~x_K*EsTC{7t4Be7Ul*y&=g%Z}aYI z_HzDb`Pte$al#_%(Sv>~kq0j0&83&Mhl<1|*Tt2KSA1Z@N}F8k-^+b=I9E@UtEY|G zEjJYY+7{;bGB|8qjiLbzhQX4}yo>%Ncxr4sP%e1clUwJ#ghNa}U|WP;;5Ob}gu_4= zf{W~5v^Q}c7<(KJvn6|9J{4+Ji5){a6PGqEx!KzNyNula&3 z+r*w|6c#1BeU{(P{Hy+^*@?h{l!Fim>n`afhqf8uJ#V?7@cWUz_q&0f0g9u5e4bsT z1g`%njz^vpEbK<-<^7V0dc`Tk?`IL y-5o*fWbg^OlfmEd#9s2|6czu8q$Ng+nRV*h%o@cRXc!Z$bSIpO?pQF literal 0 HcmV?d00001 diff --git a/tools/bsi/bs-it-gs-2023-orp-organisation-und-personal.xlsx b/tools/bsi/bs-it-gs-2023-orp-organisation-und-personal.xlsx new file mode 100644 index 0000000000000000000000000000000000000000..269bb855e59bf8cdf68779d5466fce6a2d9dbe22 GIT binary patch literal 30626 zcmeFXgO4xK*Y4T2ZQHhO+qP}nr)~4w=4spZY1{78_MG2)XL9f4z4I5`*~#9ON_Hhx zJI`mWXRVZyEGQTn5Cjku5D*YC&>r<~eOF*0AbbcQAXFeI5M5D62RCyEH$ydVCv#VQ z1}}R%qGB)*szM-;fBXOc@qh3MOsDGG4lRB5*rkMT;s^M-O z@cV_D_x+J4fp6*-LuJPaZ|}16axVQBVT`t~P_D#HsT+2wPp3P8+qP?+~vVBCdbXyMax$%Sf#B57VK6nkzG?z}b_7 z*RdTK?!%f*!@?b~P2)VXuinBbyfjceUDqz1U5^Y!_a6YtFR8c1NkWFV)uO`576{zq z`xqvyTQ@7q0M5159wpn5{DoV+a$ zs|SS;zSS-rBexT?k9fIAZpD3pcQ7EJpC3>lrT-VJs0O{}Apcn1{f8p#KUNK0%zn=~Ygc8ua@@@8Ma%voPXoLNbwonJ2! z!fr)v1U|X-p84KcPZmujUL{Dr9w_PJ&>^`NOI;d+vS01(kjN=667g43gTW+rfXnJ9 z)_9uZqO~W1n3{v)Fb49UAS`!Djgb)k4n1owtuz-boktl&0J&b;F@D4@j?xU<$gC6; zuPbP=z-#wgHwUMDz4erj<3t%LZBn_|Y?AhC(z?jS1ADPXQ5o4lL%`&D)Z_<=DJTJ@ z&R4`v4Bzf<_{$m~FWQT+#*Wl$g>93UuQFFVHnL5-)Qi>-;HqwRkZ-2X!m@V_kgZ}0!v zqdR5JW{3%H^ft67biv;_*}*)OrzcLhUiSrvLiu2Rm?Qm}(orx)v{Pt;p$IdS?9*Rx zzT#`Y;&vDl!X{5WiJTg$rL0@t-vQDd>OIPN}-S;|3F&e?iL+(i^|K98sCFsJZ}v*dBFb^%)s^45>Og zZykXU@V@JrhXiw6W=q;&YUt;8({pN2=h!BGQ`^BIG6D807RXzVB@L!SX8x;yw=a>; zv`Wspj!bbr0oRT7_5IkVm{J7i=jO)Zq+PTg1JLAO*D*{HrOGVLEPOy4o$D$j`A~P!5y&Py1S#Uwn8A zx|fDg8NmQKZSak9dgM%C6{IP$9$;IW(GTeK#%L(4cy@lf>Pn?qwS zCP7ztw&r=ypXVDv`c3{%5($z>XZ>E)lrUF@+?d(7pL9gZ0{!{NkTK`uP$lo*dJ5y+ zzT7xzH}rTPW3B*TOE)xDaoU{g=G#Kl<#4rvtbloYTVi3o=*P5C*M>kp&OU6N%~;p9 zrw+&g&J%S?hjV+vaJdx+s7dw4vyA0t?E??@%& z1lZg0-`Un}!}!snIti~}wwQZMEiFOsh! z-FmVK_AgM`^aBoOlQo$byefU03}nv^B5K}F^od5H;9~0q+29=?stpLKAcMsU=bU2s z;BJw~BN-hXH9Ja(cT9Xc`j^AcIj4wDpKIaCd1B<`zcuJ;jG7=~O-Yh$vAP3!0k?}j zL8XJ*Vc2t0w3$fQdYgVfJ=I>K>cHldt8bc(J z>%~9_fwxm@Ycy!$)6kaags>HYuder#BEX*5CyZQWx~KM-RaF?n3w`|CAvT5HuI9fdFq4g3FW=;kR54d5n?aAMr`(9THAjNmE_ zT5;$I*+xG5fInfIjjtzQ_9EOp$p9CW5aC!Xlxf3xm#2^D#N4_rfCfRZ)L2C$Qd;y24>ISG-)jz0~ImivOG30k2oD`-)?U z1o(oV3yUrsH+yspj(%^~mVp6Z%v@I^(6D2hk!QsUFz9+auT91 zTKxd^uMx>0OC2q`7Y{{TiGx__<8=qU&~EaQqfw=%!SCB9=?jwZVp77HoXiInmz+c% zXa(2$X*Su(HN+z*5wsHiI=?&p8;hs_2*EwOs;*m=gZ7U{5vRz}1gQt01;^3i$_<4t zdF$s+lW8ioL(dT}A0GRGg(KPMJXCTo>>EQZuiy7vo1{pWv5<3JogZ~K5I=97U33|9 zI`*gF7}-bOhIXAtZq_M$rE&O`(4?GY=PBfP7|Mtk@}Q38?d$WYly|LEHwX+EYgfV{ z)rpld2q?LtiTdoMhIFutjbhvxOq*HetbWO;Ei+uwMKc^J#`<$`Z3I#^9^Pgde|DP5>J0#aSw+l^m+re(jYwbh9%aFr zFeua3SJE4Dd~WT#+3+1s4Hmt9N$|Bb6co~nN;Kwc>Q_P04!Y6djBCQ{tq}||I`4<* zBD#u{pmCooD4L=Fba3W;H`ENuhqr!&3@YG{hpTOBQE;$LSCfEgSwuLI{@CD8`zXV# zNd)|sYLwp0D)5wFOy+owphWXYtYtwlz3dzf@c4dfPx4)CP-Sj-lawK^QvZu7j+CFSWejg~4AY zPWp%<-}`2`Wrs@H<@{|5Mx~Uv64gkc)w@9^+aRfel{i;QsX!q-S-!VUNkSnS9bCSv@)G4w9@-!~c^l}{w*yBFN;PQS%SsB* z`9I_o*=Zr`x!2~rmp5Ws3-4{drX}qWG6bZ4f*%rNlGX_+AA>heKa_NlKUa-5X~C5J zCpZYCFr{<}Am_Q(#c}1bQ|+~4Zk`7>soH-r@N8onjxTbayUkf&X}g{@xw_mxZJ)ly z>1(Yux_2x+W#S}1o5fr_Tk(uzjb$3PP73nf5BNJha_HSBW+gw{`~d6S52P9gk_8?8 zo@LkN{Q2j-{(D+dF))El|Cg|GV1R(&|3_MKb@R3}cl}R7YSFMy%;7@%4p{txjJ>5} z1jZpL+~_7!zsOVA;IA^oXNp!gB{gj;t@wUPfG4|h|GmDw<1fv3n03$kFpWid`;lD) zNuo>RW#i3R7Y@ZJCjCa-`rSKsT^6nr?j4=AN7kxP+PY)e_mkdoF+9Hg3n`ok%u)5S zQmxq~w~Z?q=Qn3DF`fqvv2Be|DrAK{*?@UkEip;ZAI6q7OH|NsC~v>XJx|hS~+h0Z%c&N;n`4 zm$xxAR+cR4vrWq2to^%W%lB9X46BbPyq^CUUh#SgEZ?^!a5XZXH&85KH0cJOxrcok@jSN?~zG`G_uvjc9H&0AAkZr~^WM=u$aBBvhO4`nUf_o6-`&7>I2MMcCUg5&UUIUFn;( z5a{YC-f5{JCEsP{lBiZ*QU6F+0( z43~mZ(p@|Px?kdiVJyTdmrdW5j>?RSmO!e6y6x|Kgzm{8uiNkX-P^~#@Y;0OM#3Vz z2!C{W;W#d@ITH1ExBYT@$O889jR^#p6b%||u)8^qGOscZw#74aSdD`mFCZIE*GvUn z97X3^AHpx!g~KwQS#-iY2z_qZ0L zB6r{0^)P9`%r<%1Lu1dmW-``+57L6B-f|8zDb;%GzG*F@g?1+_PGxapavE`>#LRO3 zmXL8$->kV{1w@*H&BgQW?`DWmFYI>6NWE1?w-{&viA ztigu<{g6r_o{y23(iw%3Qlrp3!KUBOG*$9GG{%?3@X+TaU<-EDP!EH>qw&g2bBUJn zW;Z>DIPmhUPWZK|<8Qv~sGb|_NjR6biu<$AIvyd^qUUlF8bZa!Yv4*v`-%1z^@Ahs zM@TlVe(3&F{2Pz-YrPP?wR`n%g_RzpC1irakZxz%P3%tKfyp*^=1iemL0%I#L%TVW z4ioCIL4-B5oEHiC-d(V*IHGBnAZaYoI*hnYpMM{lmQa_if@} z7FrAMspp>G7&ccVk}qZ+`=L37sU$bKlRM~MRV{Ug^SPgI=L@hOmWgC_eBtV=rCXwQ zH}Ge^o&A~_{DY&%c-E`gSnk9y77iJFqX=lTbZ7>)$hi9AXXBnrM=9reH<>_nx={Ws& zKK{8sHp+ip;Cs0LPd@&u_$p0VPx!}2#4YU;KHV;AKUo%7c$`I3rK_fUryi~=lm=6I zTXXA0*Gr}yX&L5%nh7(<_xBH7KHrVHe4A0tvb@BhffzKK2xgPE`QzpvbEe{9o*lIA zRd};UpmYHR!GO%G7VS-#eq=H>j*>K2dz=UjwZiu6a||3k>Q?2g{R-{yHunBlhZKM) zhWL<@^ZGm~G5ZUXo3;$FD?JAcj%OHFWryfbTXHS`QffP7MZ31+hLF_?2}wq)TO@)^ zG|KrDU?Jj^eY7X>LocakAa*}5*Szx$mz+F&K_jCs^62jDjpNgq3!$Su$>FdM7WG9G zRQDX#OT6(#I|dRHqiZnPb1(ukQ!zuDvuXV7)+=?o;N+f8tH~TKPP+j7aNvPXi|!pU zHmWf)68S^4B1Oa`++S^2C~KjDD{ll8M}blw)IX!4*>QCE{uA8>2|=eVI z^P3n}vk06|8a&lcwTsc`1^Ni!!o@o*_o^WiJA_x$Par|de_|e1_bXblxKuE9EyQoP z$CL7?ol{0Db=YnX@wg~9J{hk@R|c^{%&unX!fs!T|1T3H{@m%oux#-Uut|0TMC3$e zVEA{+dGp%H3+Dd>Cr#fWlnE)UKEy95WJr++q?AJWHkeAqAX!al>G^rP6?qht>;%4O zE??Wja-vIi>G2d$KiS>$<7H1=de>QhvAVECjJ8uB2YA1G^K|I!?05=?+VLo!ww2h; zq90c9dh9Lvoyel_((yy(+DDLCVsTdfOFG2O%ufZs?3~2X+Cq6lulfp~9hJt^MLXG# zTb3m@8C$J7%evJWgHBcww=@g#Z6S2!K0fe?#wi~~9y2O#yUEnf>|9ti81wI0RvvL*P%>0-7BIo7sE znenFox>4x1xbmxy%Y);vqFuvK1j&5^Zd!>KwLLg0pW!gHmkv6tbD#@TJtCvyteCD6 zeT8>AfE=fGM|sBY^1|kIhtkiKJHKWXQW!|l)hGy2#xLO%ddADVqK>T?$s)d|J&dq+V^|dnF$DJzZM7x?ca`nJxy0DV;6HXRW}!F z2h0C5(cSt}4tSF3+lWj*N%NBsQaY)2>-O#2g*B1v4ih-a4xl?&+BI}6U4W*wEbZbE zb;c7!3){Hh;9gF^VddWp)b`L{aX+?G_rF*EImRTsSN*au z(0|4}M9gu)|7xhk5L|tDo$G3D>%C%ryVrbrcTumcE@ynZPCUJ~@Li7&e6;s9;BcoD zjPCV)`g`W}xt{{K)LeOM<7V8k%RXRK*X8(HDZkcyS|4cwd;kVmreif%yjutB0sqYN z-$qHwg_J;=z;m(QOblQ&5PdGYuKt7mRGY8w?d|dLKDJn|7EoNPv4RVS z6w0&CFgulny`5s;d{lowcMPzL^=_@q>9q01=B0=@6*0RzbMY|9`>pP}jfpS7hlBXn z*kk!+beHdDYmcbDxiiak24GYbGcr?;C8uvJLF12Q`sZHr8hmv%P%&7rtFqdAgnJs$ zTU(vQhroKxP;G9A&e=B$z%Z@HMCULIjvq=_JN0)~Z+-2uqVX_IxJi`!h9ZR_2bZka zX853AEj#1TeC6OI{*5~WV`-$J??{Bq)6|rwtmlDvdbsT5@EyBJ3c|7G0wuJaBYB9a zmt(%p<{xZd)Bcq;@zc-)xJWRW(f={teB!*#_V%wM$y-0Nik(5(kODk0%j+ix4R2U4_ZBNH`Ub?cl+)`z~L(gqmU0>hKO=*NR zR*Kgg7v8hs?}0*z|K2yy7+H}x>I>xqA3AeVG6SvypeIgs>m8Cg4bHQYeBW3-FxF4T zwpB3{z8*B|q-}yLsv5?EY&umFYMj!J7pYq*ZrJem4WAdgjNAFT2~4-`Dq7Q2WOafQ z>Z3Ex4E3-SuHwL4KVg`xWo}o%O<{TFr+wVF-JK;6%xYJ#Q9KXYELhdBBlxVivD0aV zl834cXgC=Kh(F*Q2k4ZYF7kB6{iIP z-<|x`|6^a+tXr~gXz#SPJPVONo!{mF8Y%hY>a=*0d13VU?XI?W=dDwj%n86q&nb7j zNBQJ`R8a?W9EgbRGOta{u%weST&dQF`8w2+Dp2B%pvCRI<8H;i?*5o}lr>sDbDQRr zwVEpTT$(+vPc)6@ThG^@&l^a8;UZFS-|sVZ4w@UA36hq!#%3PHZ&5R>MToy~aNK!9 z*EoX_fe)U9nzrniGYv-e|7b}*o#Z6|pc?J?5;+W;Qf;kZ;Lhpi+|e@RS`HKHJL*#6 zkp$8Dxco&42#@@0rK5WuFR7{0!`qApV=qh}ptQz{;I87pTO#hIQ=rLpcSp6q61}4E zu2ZqTBK@ZG&an0c5O8d$7?H&)3g1S|hH3<1%Y$8m%cbnjPYLDpqc;!=aKBf3Md3bw zr%SJkmISvw7?r`N6^51clsAW^#LtfTfTBc5_pYFSy`owa*sUD_@QsyN*h_m?!2VR0 zriZf(S2Hxos>62KVJMaX8`e1N3?PnRe7&9UqY=Lt)KDVCQEA!=%uY)nL@_+U%| z0pze3bn<($bOpWY88Pnhfgz~=S!}Dp;%5U_t8}-q{G%x;4o%oG><}%mvF}c4=Q&x{ zv{?L&_5!H_`{(8aUt9~ntbBNNb{i~&h>ENF^6yDTd1(Qfk2x9&J12iw{K?GWNEthO>U%HuS4^@6n4 zAp8j$O78`*PU) zw{ovUf@fpzo4On#KHWoQ3(f$rt5@jS2i@Qu5xwOAN@kk2od#DHTsG92(1GQ{g`GBg z!Ra4v6{VlokDrM5_f7~Xmh`O9&j%9P$y0r6ByDCNyUUT{Y%ifw!PlVRYR4__h*m_} zY&;)rYkl_ne5vOn{$B`eHo}PVC}t>Plzl`634I5?XHrZcxX>pU7%kQBw(FuWNJp1G z)xr24?9`H|DySV}aoHwS`|A~uD|-!pXC56k4sgR<_}vZ}$i@MskdlE|bB}^zzd2XZ zaUBZ?-esQgO|;@Q5!|o+j*V(uWH3Q;{!W89gqSK1JY}mtiWW_ceRp0wn-?)g(A#68 z+PeFB^1WM)N3}*?Qr@h;pKQ-C-Z>BFN6|X(>~#0Ni6<2!d4yhS4%k747T_p^y(B!> zg+7fz_wCfdcA{0s+&E|)0?SrG#^iF@139>0U*4ct_K?odo zg5Ou@L4^Z}Ip|JCwluvS>v;IECV3zAJ|}V_FoF8|smpZKeNAEc24BA0Ck0cT3K)u_ z_IMycR%)--D}z7_w}&Dm6RE_CtYVxQ51~Y0Hi`PxI&n(A2(y*!J3$8mKA%vRi`==_ zg*JCGAVlPZKz&t@P3TRf$}AHQIYd)AX=Jn|rxo5AtO}En3sf@Ti|!Uie|pMNK}1U& z;Ylc^cY;E%2XfL(x+)c1fwqrfU!^#Mhh|8+b<%>|iTk+;X^4Y<`L@m}m9!vEft90; zZm8eyCVNH`gNz#SZk<&Hv|%)(w*D-47IlN|AGI5Jm)Q3+CmUA%&i`HQ@O}SMAV?Q= zCrc!qcv5Vj%qwJe?mXF5Q?Nn`%84H9eJ^^2tx&LGrtfE%N2*&MU0+l*1!c-27(^~} z1bHU{P8wZfP0k>I*Zztk|7GWJw7W1%IdYK`KP83TCbqJYFIJy1_5f9j(Nasj4{>|@=xAGW8CKGH{ z<>-JmYU>Q1=@p`)VF(@jl_!({r&g3_OgKVo7=Bi)tWT+H`qzphU=1Yh$`?$91gkjY zj_DWN%*b`N0XhP2%6acPX@80>TS z0}_jhnMtCUR_zbv;RK|#$_M59J1L}MB08ljh{Yo}_>enP+ZyM0`L^AD`9xrX$$;`KT^wFjkQ7sPteHJ+Z_o?X++S%? z*pz%#kJ`hUX#B~IebQ@~u}MPy=R()lcfzI*?Uk*pRKI8N;UP8b{)|R$87rw&ZK~+W zE7!yb?<rZRw61dmz$zv>)!-680&>k zI&WrXd?k)XUb4NJwGM`D#L|-u;53I`>2hySbM+6KONm@A28`6{yo7Iz_%+M`k0#Z|7fC7}MrtkE=?5H6hWbp9 zN0tT5r3!7){{rM3>xDwW-c;CZQv#CTt)L2Oc1Uzj4dFHYLo_hRYZ9C?e3Tm&rGzJT zjo?KDuM{r5SX6V)XG|C>4#m`y8(T2>=36WuO*$}*v{iU14vYQ!EX61JHRH7!B?ebc zSAkQSI-vv1cCS6aI%JaJlv)_3P@qIHY`P3ztNo@SJ9LI4d)5)uUCshCOj#87rse*7 ze`Bn16!kqMhSX4y$1-2kcvjP@%+0;xo-DN3&krpUl!6;hJ(3=eA(AB1_|9gl6;(RL z1L_=*W!5Hch23*$Q~PD?E^S)IDq|p;bi~PZtLCX@Ij&8mkGR&4s0(p^7zGJ+H&bsp zg-<7>jW52B709foJf>Tcw(GZ*!YzjPA_j9`G}s4d;p>pFB$q_`naCB5!$Dv*xTYwt!W$8diICYW-z4-y*JXgj|4pjZ9`T)&=>gpJRDns&Oy` z6&QR4tAOjW8fPPtKbvC7tQpq3k6BdBCaKxTuu})<_QJ19)LDcj>vqck3XaujXr38ft@@abY2f+E1su?bThG#PK;z6m?j6gzk9Cn4Acl6Q2w zGWDHCd8`P3UrTDb;&vrdbA%@qpHb~vroPfuTI0i>Qaio)$oHYkz#c;osnFY$77YX- z%gfcm%omf^llF(VJAwQx)~DGi;pnHqL|sjGC?5p?Z%U5=UiThPPAdpSMD}-$ov>tX z_KccU(LsQvJ9z&sWK_t_iV!5%8`0I)=)&{ zK1qs`=U+9mR8a-t9QsGM@6z{{nde_VbOh{ioYXq_te@2g;h2qQ)D0x=@3AENvdM-BTaEK zxI6{LV)vEaPBmK^=W6ibJZMkoM<}pDPHagO!Ib{mu9`R zLW`*$wN-wqvT^5_R<9|#1u`UxTgAV!AY<0rb&RrV>R3ME+7}Fasgc}wTQSk~&?mTP z&o{*4xFz0at>l|XG7!ebWH5Oa+_g*%M}NEN|JdTh;*Bj9d1br)0oG9>YK2BIF|;eE zEiltJRSb4^5N1j-l;Ftws-b;AayDv42>L2cTH zLS_)=*6nBZyrS$TLjoP`(cx~XFJH zKJ^Ub7c;3CdquI*4;sB%nrSMwSQ?lk;!2ZH9-QA#f1_r+%fQe0n~TXv@L2% zlc}0eyx@s+IWAA>$b{B)A40-SNWUZs1z;DrEnPrLtg4w73WLp|rqA->WGFhO0NZ8V zs|~?@=~xJKSBB8H^g`O8VPcqz6!esnK4uLI0SGpVFbN|y^}0LX7^7~J=?OO4E|F~L z_BJ^5EZYQnF`rV=nUTcInr?fMqRhf8poo;d8LwV@V>vYHrC2ED;tbq4SVD6`zd(Jk zuAWvi#U#p9-8GwpQJ33#(ys{I$$M_^v+z5dUr*`%PfAkE_EF2z zD}80KrK*8MDphlXly@B`1qr7|!FRCPd7;pUu|eOhrBXu*29@~84{ER+ zB&;bO__adBdMy#Dmg}IlQ93<`i02EN^o&SiQaL3x-aqKE0FO9&eqd|qX=LEi(LLbh z_~&uu6jVh72?z7^c!Nr7<@ySr70eEBimI^sBAcu4do#vR_V@OoG@BQ9IrgyWlr2j` zOO_x`@fsF$ZiLMK+Qm|w?+%!SI|t0)j9l65WuT(6xhJQ?MV zLVV%#WO=+L%$hWjp3zT6fi6w7v*P8%nA7{*5l@nbdRN5WeN%XG*(2ebx;Aw zcLbHVk)+rdcJW_Xp(LFDm~AEc$NvT5VlIq=JxhPkN6Et=*k-vmcbysDhk!6#35?N^ z-A7+6_~&2BTv8Qo^WioM;H|qW%YOAD+AJW9qm6)u7uN@uN5fygAR2qdztIA|ug*lL zGLAUt$@12%mf$LZ{X;+ozzjPiqwah^6RBsd@D*!$uUhH1Q!gmPIw<4;T0PEcAaE4h zCD0Y5#bvnRKapA;g+j78O2MyJJ7>|H8h@>vFJ-v;95S&G%^+^Lb?fQN4hB@nY3Qh% z9x!V?o>*G3d$FPUu<5TGp47J#o36ERkwL7VJr@A{sG&2R%FTPrQEk7`^XCgS!e*RQ zZe+|J>GB+fI+Ip0G`S9kU^&yLtb2|7D9;T-0xhG7SyH7Mo9;MsOT5cS!o3#o!W(2%-PpV|Dm2a_ zLPM7P57@jNLlm!VGPmj2?U-xC=C?BmKtmu%UUHN(@YU?^m-M$Kk5;VBTwXXZ6CDBq zp1|z84E$au&%)|D#gGxIpH6Kb#f5)Uv~rhE>l4v#W6oSM2alDrq!=W_vHVRokP?O5 zV;)=?rByXSPS3ESocC~u%^e!p8&B7tTh$!K9)^bKR8xX?h)w`<)KDK3+a_xB-nCpLU)xdt(2WDwuthgd@7 zAUN`zlx|%VnrzK1&hR(*Mcmqo5~~r4$_AYOyc&!R`_+_|-(Ay4M=j$qG}l`tVhT&@ z{*f~I5Cj1d&TG~h+oMNFZVFOqeIOp#lgLr`as@=-OEKUi^6SKD-LCH7Tcib}$!5VP z8Kp*DI>Dy?%SsJAT&jawy@o+&aVM>+HpvZBOIU|#c%t0DcJh-B!HOW9XgcI(C^IUX7L=t9v zUT;jyz{DzMQN+#9mTtuGM2XjK*esqyNIMBkjD1o%vY)6VSc61$g^MMZ>uXYO#ws#m z#q#%pFE*KpRs!I0e45x_To+N`zyi2q4r|kF17u0Il)k1B|IQ$HU}ZMP`q&0`4r1~T zj`2mvfYbz~R`_p~#FO`!ecrPck2hw!B%YNEFBujWN z7_HpX#tYnp)>7O?#p`bJm7iKmcFACLDf(rwac0mat9f_A@(5U+OhXV%yhghe;+=T< zKxPQMFCA-x=xE#yD^e6yrAga`*t7W8V%`{`UHhvOcu5Mw%pPTv)22FgT|!>Gs3T1> z3lsd?O7WBVOuw2zD1VC^4QLHBZK78QiHwaH;~bR~3YU;ou^5Y>*;-|Tixg-H5xZty zXEVDn&5(n|bM#c`V@^%)%TpLL4aq$y(FYTH5V+dcj)0DGah(Ytswn3Odnzua-VzV7 z7l$p*o6Uc`i59@6_Y&2-uW_OU2gyjT)VzzUkwJ!}NN3bpV$e#j44RN<>S!#9!#C=V3UX2GtVjQ6J z!49F9wdP4YOL8HXX^s0bGlOW)QM`Xa;1fiOX{(;Fku@`~&A4Im{EDtxN&-~;`*%G; ztb!}0o73FDn%NUFWEpbqbRw@PY$>JL0@1{A6Awze?5E)2j>wZBg4cEP5Gl^&&OaDlG}*q+TB%5Idta0JnC+6+|^368zMHD0Dl}_1p|1d}miU_pF8xb-{Q;Fz4R0*RWZy-5^ z-sMON7W?FCz7OA{E{KBM6kOad)fSAq&3*a|`4XUC{G(XL_9A-Aj2PSg$ZQ2p$IY=% z4t5BKFr0s8O%jPVyBVyt=;R157vb;r)wl@^Mdren+-dRK@U<_UtK9V@GQbjFs-|_O zZOEDE;Ww7}(J6#0TYrPS%M@L4%X2y`o7qz49?66vl)Hvs89DCLPa(+Gp}}U%(u9f-4U9w5x7xjaD1@#Mqfpg=AKa*T&>(_s(s(8UYNJ2%7!w*vG_zDo(v4NG z7@Pni5q8Kk5o@p?Rr5Z}nyky`ll&cm*SJ0`o(?gXlq)rNimYkNm^qvnHQ&BXAJ^Eg z?WxzQ2{M*cagylixIXY|FQ2rSGw2b&sxnktB!;u-yJ{#Y8glT|!0BIXbUlBh{X!PB zzy-mkp_#_q3tgBfm)nrh%Gf@D8-(i!ilG-Xr|Ee(rDU5`39=zW{HF51OzQ{4_CmA$p@7lRyPh&vyicM_Fg^lerC8NT?3WPvoBhGV3SF^GWF~(H`!%`BhDM zcdr_tzLR;UeB~K7hA77&9X5s*0Qi{+o}c$k{=VzYEat{_*zdu1pua$T^rYuLguLTZ z3eONXp2T8VNeF3wtNfy9qfKj%QH1vE2dXecPpU7QDo1{qJ#)7L!ZQ!8L0~-GtPaLG zdVckqo2nnyZyqVRU=5F0V~b&ywaD!HKFJ0ab)Q><6qWUm>1y{zgvzdcDdh|zHi=k3 zl3sJ6PjCC+HK)Pv3D44Nz{Jo=tJ4RLJQq03*_fETW=`(WSF>u6KSb4ZhIJ;^}9Rm;(*rJ``Y6uv8>u7MQ zl@7Rjb7RjQ4SJI%F{9pz!e_}X1v6^n4oZN0UTpeBw9`hFC)4ujJS+YO*eTbhYO3BSOXYPuL(F==!>$TaU=#)1v%`V{^&NP zw0SWt<1g}s14J2Seu)IG`nX1S-Jo1?`$ZDCbsxn|PA0<|;USCnWdz>lVaa*Wuk)Mu z+Jry!8`qVYn7JoNXtB&g37&g3rmyCsf@?Kn;V-ZXQfOwl+iu;z zL3v;P)?S7jO56lCb{F2F`}2io4|rUqFKWC5A2pMQSy}tSI!mk0AEsjJ zXU(u!RFe83g%0T;n_*XsIZ^A7>6T;Ykl6zOoKx@)T8^SP^h4HfMiaOAVjY# zq6uPTYf{`$vCJE`(G$ziw5eLfobi@+C#4;4+)i0qs}LCG=F6A5KBQ!fu@@wCV@S87 zW!fGOp0wBQkd6vD{zeh&Rrw9GAdHS1KTgTyn8p=x= zib2%vzW7jB>Hh`RvMirv;KGTD5yV*uWw^$s5#wrd)p~sCYQ+`GBJFS^>-z7h>mPkK zZI7MtYaf!xO=I%$vR8%)6h8?2v0F=Pk#ChB!8WL|Af)1dm8<5X zN_O0`-YjXA&Lc$!sE)Af``R1$O;@CYVK5s}hg^iIYVhj9U`S8wTDRwCKh%kh{;bBU z!69P8X*5;DYzXE`!eA9pkVT@&fmgrK7CfcM@HjFa=sjLZJ~v$mVJ#pBnP%nZ1Gn07 zWs&~xRy);(3eJvtKttKNHX&<<8oz>>da!bx{+vmCzXLbIsU{Tta+vkO&6{p1Jt|h$ zIiLfTe*&?|a|%|46LbZ?XZ3o7ZxPr8iHY~Xy{!a6U5CW@;|yb&y!mt1bU;~g8EOc5 z5!Q~`TmxFh6|RjAK1U8}aI6#lGl~`Om&{Za2i?YbQ5i~C<}VccJ-!E?THPBPE!|r5 z`e%l%Y5egGJo35C;ifT%OGiVGTb_kevkKV`|G5TCiXx^Xwo=jGGQ7(;4QSN;gm2{# zR&&P%iLTIRhhh*ooMA}H4UApj$_Pj-IGT-bc3Lr)`O63ImES%ZGmv}1dziX(D->SYa;HNWlV~;0FwC^r}@~+rpFbs$gIu@Y$@E?Y9^va z`WFE9S@#3IQnI;-7TTtE1l7-(2@5rJ2{3GepTN}YLty(3Jkb#g@>sN*n4ZyXkhN+@ zcF}m_uOBjeqZe`htuDdgyI{#RENI9)BNIZK-L$FQ{#w(hiAAKKUx!9Lj`A%X5Pywb zeZjNKSu!ckq5X$71~kSU>JM3Z_j~kq4h%>f_y2Go1izwK0LYk8d=BB>U}wqXGf;F$ z&v3bmMbQ@HYlfUHVWYru*cr!RclDa3IK6qBk0-YBlF~8Rie*ccTG}G6j62lExnmn@ zhEu%a{)BQ9GxQ$kqBRm%7#dS=p^V=6FRG!;&0*AS#pBB+C0vE8fkuG}WFTXJI?_5V zGUwv2rn@~u4pf4P9;%OSXezQ){3bTsoPli<=wL>ruFj1*L6LYt`FAL52=%i@O+WR~ zEN!gVLwmf?^a=T+eF^Ob9cAOIyX1cn`a={f7Tu?o$C2llDPC}@{+6{zf*SrYx$;;a zoK{!rV%VlSHvze}Y@Rt^byLcGN!Er{Ok%1P=XBA8t;6LMvAQKx2^-t4zpj+*z%Y3q z72}t^lQ_;>`%pg4c3q;M;z&0;VG~M;6a2PZ=Fbt)B0%hN9c=6`fAGNmYi)Ifp=r0p z+&|V5*`&mL$SPQq+)H1=NXgQ1)ZZhPm5#W1jh}@F07%--Xhqwy&R-tDzk~i??S1uM zRbA6J-QAMX9n#%-=o0B}kT?hm(k&r%=#r2|BoCcZ(j_S%NQZ!Qy&JCkey{8Hxu5^w z@rV79*?Y~IHQ$+8vp;*SnQ;nSFB8&_Z(S;j(eb@8$cXIJ&~Dg1?clu$)RQ)Q>dt9T zpF4&kyoVk%arp{!>+LZS=$&kyE}4=f!>8XZEthhYPiSb&Df~0;Lg;hD6-c@XX%ug% zW2XZ2m>QC54!Egm&B)#KQdf=D?&J}$12#%Op=8v+C|(_O%wy?&<*C3Bk{2fMlfgpe zrnbY|OdduG$s_CvRyUyH&`gRFQWH%kA9t?iXA3+vtd$R0{1s2`s94NeMVlO~84!Xb zLczf+Maw_Dq-&Q3)kEW7Cg#wWBq>{I3>IOciwz>1L~1?N#1saFrH?Em(Jl9P;?mbi z74jV|?(+^3*9G2wU3nCuak9WPurnri>NR;8yhU(N_S**U>#nMkhp z4#$x2;Cm=jhvH{`>fNyLzNo=Hw51>?MMyFY97RfHaq2?HgsUg*l6f-5`H{m6LLOX1gi)l2X3-!Y%}fGmlT zuI|+I&8FSMV@{aY-#ZVYtrEb0ptJc!EF1SUU{#QE9toLdE1&4e9Ye_5;Bce*Ba@xB z2y^7vUq@K@X6i3hSGqS5UQKgzYTt5snJ19Q}LLXEKf{NuP`{%Zg#$ak$!p;O!L#JQoT3H z;kD?&r0kbnxWT|^r2xJS3aS+rTdnba(QZQWAFTXs-QSDj!LO%%CYDlw4W>q*NInYO zHgv*Q#eqlVq~UO@Izdtlb@g%bjW1s=AgM;wxN$qqe17H~!ZrJZOYyb9xP}5nf4dwA zUq!+Etu&#B+(a}z*f!O50=&BU43=t)W6FA>-QqF&!Jz;ewF*l(d4fU<%t}2W zDR+i_e>r0ucUu8B_)q>nsD}z2TUq(7y~0hX=wb{5)LxBP)iP8Q2()%q&e~QtMMN4A zkgh|2TnPIn|Ln32a4s<38dkPb94K@1t#^Wcp=-KsKxk4dKqQ0TC_bii?Ld^ER+G&q z#X-Sez+BeskPw7Se<7_?+`CA1vrWttE7uOHw&i?Ayh4GMyI34)9_qZhy4vOAI>-2y zY|+nnq_QDTIasH4;^0+_M#V>P`%JiFF?|*DNEz!Jo)p#XiufI>Hfg>^cX;>W_UkD% zKkke8$PEbaB_;bx7sH|L=PVsDX^nasGOd54V~4zbc1NRb1+~Gvto!e6t>)cGTeJ}) z4h{DvpPd0vPt{9gPxP=w9WtSN%Po$R7?mWf1ERVos(r}tuk<)i(qXu*L?-svCu-{Z zJf9C_t!+`Idw9wssZuHH@NjuoeIvG%a&gW~Y$1vklX84A^Yx;ze9=9XfZhW~o6Fvq z^@z-mn%sK3I1H&}o=-`tVeISXdw4JBxN36^+Vi;!`JNl0yHGV#J9OqZRTtcgQc>Xw z?@d2Y+&o)%#ad#(S}EJX#Cpm(uatOf?aUB6w{_6oGu)Z_b|RP61#20}XeG0Zuxenk ze^MqcgeH6_@7nVA5^Ak#fUQS8BpmBsS2~`b?|Z#gA45=e`%aK*hT}Y?Z1_pP-kQti zIOCa{bKS+~?9J?%q}@H!ALN;Jb&DT(?!X`JF<*Mdl|fdxrd?_EZB@i5P59UfnGUJ- zR7b1Ayl4;&DrbdwHkO?3FX~`J(z99aa2K)(FV}434 z!&_%VTCj>C_uWg69JrG>`8Z&=*S)-at+9#T)*9;!0~mdRx_RGMTmvHvGRx!cF6DnZq}G zE~MiMC~j>xf1UmMv)0v@*sy723K*Elx&QV26Zc=|166_Zfk43{$eF~8He`4uCMoJN zT|Le7=eoCoWR^jM(ecjwk)@9(eOcv7XXRF4u}_9XhN^r;zaq7|JBK)cACCxHmlEt# z_euEg5i`s8PSh8~IJ}AFTwLi}>Mq(>+RiT#YCu7$7;tlTPQkT!F-*@Fxbqr48)UD< zF1iE%ENi3ow^TK?8wrD~*7%RWxNTtniEhx5?HBI>LlH?{mtw@*k3?B%b_v6sN~Q08 z8_YnS0Zg*AdtYRpC9wGj)q*DT0-Hw1-*J1)xc0iT7xDVtb0iX|u;#On!2tU^55F$Q zVLqG?{Nzu>V1PSp8tS-$N$9VlRohnmgUsnt>V-OGLt5}v&`AF1YUid>&9qT)ib&e*TZ05E=jb9=szN_$4+p0< zW<)Td(&`;638VMf8SnannU1UFc~>BpMeApfnt^;54tmV5&t`qIr)2s()MGH%up-jp zE~n3s!|L&jhI?|bAt*?Rg_$9^pjx{9 z?fvFq`@P%!SziNZ`^|Ox-KNX^U7z}XQM>Q`q09Z1xZmyV&E)c3L&dV+^|k-q^6mLy z`|aH)iMyl8ZHX&&Q@_jMcYbx%&0nB*zDBnvU$;|$UG~RcN84LLZ|x$(=>4YgD3llL zdV=UF4J^Lksk48+WjZ?fbrXJl3%#bA!S(ku50}T3Xj)UL9Gd;o9$4rK|J4tE%CtR} z)Nio^^3tsLz7Bs(d*XL+S^eV#YgwY3mb>UNro0FFyypfBEu$m?4X17xpRQ z9zH4h)u$|$@@Hs$4HBi*`j8?_$JM1ya_jDuIrRcARM|B!wOSqUb+7;3c&jp{1idO`V zceR8u;gj)`oLYs>8w@(bze4VIs#R2kW1)T%vTP8z0!XpW{Ps9!h^1zng&MUugpQX) zEEG=4uT~u|=|~hj$8wD!8N9GX__3zTO&x2B48yFJdy;xkC45VS$TdoP?#F4`gq0s< z@otw>t=5=W?jS_|8h^Y$6ixXoi5_{UiHod)zyp{>{`eh&M~qQ%m6f`_du}Cq&3LaN zd$IdkD^czTbj0MFtsK#QY9Wqx8LKsY#BndSmDiO{SKdv#WW@`KHRJM9=K(ANG`Wnq z=IYO1R2Q)cX?zQvvrCLa(2;hRmmy|ho6}Ave-uJVab!#XFXBSS!6AI#&-2&f+JItw z``}_X2cK6J`E&+0i3yQqF>g_7{7h4ysOk)$PeD^QSWN{4ZiJDy#Zr0$r-xb7!a3yNm{9veo}aFWv8G`>aSXHU8o?-6Wa*O zrftK-*n|~UQ`L4wqTl)9M01cQM7S%$kv3_V571i=1U9X`;ct3`LMZad@72fI*gf&xC zCuhGuVw4SaLq<6Sp0OTnS$}mlGSGXH;K@-GLeQluTvt3kVef)gFIn*}0;$_u%`9>= z6a_UMPe?|48F@+(a!=o&S5Pp_0?UwfXd?A04>2j9pRxj1d@ufLu>h;cSN0`+tSJh- zR5x0ERutv$gCEK>&`zA0PcWxm!9}MdFm~Z(!YHWcb@>_&`oh1;g2`v-jI2Un?1;yQ z-2O~H;6&aLhLz9UIqnb^Y2T3%bkD2qUYwxVkThoOP&_uT8sP}^UHAR@+}xNob4X2m zH%~LABTTp%;Vix-8yxzo!ga4lvXwDV-gsgncZ4I-9tOF4+vwq8!POcLQYAIaPV(8u z`J``p6bWgZD+R<`O`ByUJeR4;G4QVBswY&-4jG-bqkF@L05-!X7u1|{&c0pRfQnu+ zr12pjm+)<(?E;ZTz;{NDcA$d#MbHV#ZZ>PVV<4g6ZZg$+LoVpX&b8Ucw17!-*9X+<^0KFnbcMPsSqG#3c`x5e1k547{NCC(jD5B0{yyUupO;9})6KU!imk zWx|B3>7<^db8kv6F~Z6dW2u!VYWrmWO$Cf(t7|ComAm^W{>oS+9N5q3*1sV7>m*aN zqALwKqHXAHCG$1r)V?ZL6W6tQR%XEo!Ud6#<{a2$Qf%|V#v&3!0c{m+i^5`M6>|a3 zIuh8V7BH?Ggl}%6X2GwnQnuF$2X;REQQfxkb%at*+u?N9k)Gv=SvT?CRPLBY>zYJ-5P zgfz`Z3ab`eC0M7f(H zxe#suF%n-K9Hc36)J~0>yb{8YPyKIxeWy-S>UfzbJYb7N!0E&`*_XgTNVeeLVMJ96 zxvVA1z{s>KLfbzmT!Xc)+C)x2#pmH%Q)!)Y+5&~XU0}904ffTusqsr_7m=yErSpH? zYa^q_Vh`G1cf6cE^}6s<(y1W^Ac4n-Ht>|7F8hyR?U?kEt z_8b0PRYVaSy@6QTHwybYLeWdgwjVaB`ttNs7HNC=e#f>TI~SqV9Tf8D!IdC5T9HbT zdPg{JQLKLREXCO~5eC!8sZ_~-uT-SOd%i%A8<~!2StwnzpLAT_=~oT|0r5YODFCu@ zNu0Atp_60PAsSBUI-Pl)aY91zTtDR9;@H^E(de7~E770}w#XwhrA3vQO{fKB1Wd{I zVdWPQ&$Z86fROayzWr=FU65QS%0*AG2i<+lWG~^dE1)G zbn#r#DPnV@j{LQ)=ZOqg=+1et*ZCAAx^=#}^Bmg>*Q$3YH?t7DwYyMxO*$^{nl+D25$`ATUnY^_r1@XOTT$SszX-fp> zWo)&u*v8BQlyyeu{buJS0s1NBbmjFmm1Fovvk;JlmJc)efCn14oUvBo(946frvfEu zI%7xMyn5W#gExMms^#m9`vONMMpas4Ti@oy557%Mo)_vD+zL~nda21Y3E(j7Xj9@T zs`27uvHW&y>+@A2R@w>_)=Y8Azh(I72N{FEhMFozXY7*INv`x)s(0(U$C42DiWRs| zsWcY<(wR81EE}TQ?|>$}sa@{*tz-2b{TOtl&HU_TrPmZ(CvCI17~zPTHy1}V`q^hz z`d&m-+NF*bt9ah$0dDlcB~o=+e38B6ybFDmIwoK0Q-l*nq$JZai+MMm_T(43DW{Ya+>QaFGWLZN=8X3-?j)!o4k2o0Hn z`%Kp?ex8BE@q-k~Ls|HdS6fP$6iW4c{tEIF=gi=H(!jP#zGu7FCkj*0 z_XH&4LFT5vXHgT+O0S=vyi59IuL;h^xH`3JexylC-GSeuuqUmtO_L080N0P}+-XbX zY+Y%yfHOz(fV1+6P$=e3x1ZDJN4l-5H~|mWD*G~%4xr(B#0fKUERn6Q4kvk*Je4kR zj8CbGFK_8ASN7AQHG(6~z%*udv#Io(LfU)pxgtAa?wz_M8WO_u8L<5c4n9382lz8% z*uf-G#+nS{@eZ-y3^PgZViU=?Nso#$O)QjzJ8Zg)=@tO&zAC|=E4FEu^)ve}DKm0H zOx=}t231a?)>5>+AiAr1 z-in=YrVGhIfAR4HWF_X8oVpD9$brd|T_u`p=+AhlIoUxUxcCaY>_$gJ;g1TD5>%s# zIiGPvMAqXw{Q3?N`gv&4Jd%HA?UVw zvs$yC3cX4iv$e>oB%)xf9nSD{nt@sJlQnAL={hu)CUjP^n$<^C;yrJUsKR@Y(qhrb zump3~3z0;x{RPrANBXsgqG?H5!1&RN0m9^R?qxzVqha452jW}LIciAZ^LYKMs)>Uu zyq-8BwUB{-}?rpPoZKD39>=|#pk^W%-DcKlXh6O>;4G?!o;9PUl?7$KA+ z$<$^D0_1E$X$2_(WLNK+Hy!LYv-!~`-;ZxNe@zB~FkyXdk#mkdO|8=@9vjNnr7ui% z^eecG-uz=SE6ypV^-gak5hb+2>9hO@Dp@g?#<78uvqshpw21in2MIrV)iqJE+m1GiPz9bK{N!fzy~A}GKok)| zQG@WspqCn70wsuFV=&W)*Ayt&H&CR%yc5}?x8D=;&y zLQ(>f%AGr%a6gpEL#xCd4Bq0}$g&iXM%&ZZk0n7`9!gI5z=Xbj6!OvFDWCN>TRpn- zL|4pfnZr2Mk!?Y_4R39BoXqOoL{^%NFVL`C>UsgW;iOr5fD`#FgT7v{cSYcx4u}{+xnf>ft;A1w#n-Qk zv|1#m-H(DT^QkAT_?Ry9G9eak1fk}E_H8V~Yt{|e=*6R#0t7D^Y(Z`9{@i)%!7@L3 zG#FrQ{V@d0{lUBby77}C6ZQ2TD3C{DURfDri+gd6wHXnkk8s3fzkra2R-@R~he?-D zS}b0XjvxOpuUYot&G60iP#NH)lu z!5MO?Zq08fC+^rDxm{wn66AZK!xFt9B|3;|l;bw;1R>z=O>;xVHZIxI3imS+@3`Ty z=LH^*ax-DUr)<)iE5s_1IA^ai&e?c6!qv<}$p-O}EMQ4GN+=`4U0~ z)+f&M3H|n~#=*aY$Meo*A;gZyTMN2MREyx$WTpU82busr530?VIqp5;UfLnyG6g-* zr+4d6JT49gc_lP`MkDxhoV8@$qOch&;RfV%ZGaWpleI4Bn3HG+C_2MY?NkyxSgGy? zs5lyZEzei*pVUf4;91f$GpdIe3(U#oo5(w9x7gWKwZQnI7B<1(yY$n=tsdN2NTr$p ztN*GZSqJn{o6E4s=kkVpMB`Z~HC`}%B<9YHO@y7T$;jLbT*O3+DVzhoButr zKgtcrw*c0BNr9~SzDZ{ZtLFyak*zaHU)hSzucez!9_iER#q0z+BpK(};12j&7!ftw zQ4Q~Z+|+TUm(cZ#1P$b2$mT!C?bre00u5kpz#<1O1ps^qL7Ce_P^5zoVlM$vibas~ zDVQ|de%pH1aCVwTg$sJvN2~)LUNAuom&u%Sz2NeLqVc#@qKB6KlZjUOys|C6g)0Zf zJMA(n&IetdVguPQ-rB}HT^Zg5Q`4Y1mLG;T0x`K|NC(k?zY&y)hdIG#ZL<8PfaMw@04arR>r7togCKZ2+J@k9dk!2RhSY6#bzx z31<1dtK!!r{T7%O8(f|y@XMG_j^AMP3*6$oziSy+9VuA>jidp78=flz;4{ZD5;Yk%@q)iWnQ3M6m}zHb zM6e@Cd-OFKhq`A#%J+NZQvoTT)#BvInIs?DFh6d`gR;YQ@|(7W2<3g!udN`L;A^LP zrGrU7e2F}Bd|0-g?s1ce%$>%Kq{m#t{s4cqdiKFkl+(3+wyiXQEf*i=J~pc7GS}H3 zOi~Y*P}iG2F=M);>r;N518>0kYt+&u-t+Cajj0O`$pJ{_C-~u#*7ycinw&4t5HXOk z98cJ8hVMI1^5)tO9ibp7I2=EyjVS zzO9Yw*>6^Fzd^7{dZuu4G$=#KZpx^$KK6fO;@VZD)uyxytgaOd%-6? zdhgz1oZ}K!-$DBu=W&&41Qa)+#AUL{egG(1W1k@htJZtDElk$ZT`g3fZgWTyTpDaM z1>6IYMoIuIdO*J()q$wIMPp8ri;RHD$cjg$V=DMCpEHkT?mR+;zdAmg#9P$MXfcr( zE(r#V;UO&)xV)fxOm>Iq5zAZf@1i+&BFK=|0 z6Q}5hx^4hga8#H*=z%t`3AzV>`{2*Dzzcro`tXth;I`)`aiyF9GBFG&nCdOj^s33A zQtp8QLSy~VP-{nuMz_h>5XY?y^kF(5SkH{*d08nmjl9R<+3AEo%v_VvYz$94Ql77O z3q&y>KqO-E775$QJLd^~c?bkfYe0}xIAWZ0eT?t`%sR~jMeyU|D!Ket3y+n7RmhKK7{tnn!Bw zdD033pgwnubOTQpQx?lVCQ`t}P>nh)^?)U$O#W1o4~VCgRSpEe!eU0%tR<{FqMPrX zOZuR*b#|_Y_{&|S5(nhHm+irD)5S-vJg#zDl&HjQNTPl$h;5YMxO)nOW^pf(ih@4! zkk?6VniIY|jR%RHcZ=dY8-Uyz`@kij@76$=7|EB>c%s$ngH_32E>IbWo~GM^b#-|y z;eUVo{<=Y;&G*v(u@Kwi<-Zq?6wv*vdL$ThjP3-%fDj}cD}#=~okP)6JxNnEaSpjZ zYHx1vNEDVw;w&*whQw%EeN{-NhBmY55B5 z;o|)8-4tjT^ndM60Oi#tDMu{;^<~dP?~p&V_9n1PSnXlpi@?KYamUq0y$oU-zz=4B zqO3#)y7z&!Nuw=6U%!bLygFFjA~-hD%HMqP>8Hjdp&#LZFwlnMs23t}hJSU&(*w2!fxhvqC?8u@j`qokF%&6ns zNZqUSG0?@~ zLc>*=iI8KH6YLf=3ZJI+nSC2<)?$Q3J@)ojnS@J@$=TuS{3|hPY54@rB-cS4h*EHB zKj~C8bU<2-theh{{^Xb51?Bp816-{7I4}KkIPd)g}kMCp+d1XG5?f^QX4|+OGnq@Ws9! zVES%AZDCxX;m_Zu@8WL#e})fO{J;K1CzvXCa}j)5Mr@ZE@X7G>Uqo?6-a&##?qb1O zws3DC%;2RPuU!6KyW|iqev#^<<|nk7@Y)S8^c-=1y--DiAfz9D0F?bzCdi~3BB7A| zS;yTV2@g*vSSsrG8H3HcDy{As4nn((;3IM+(k`8#*cq0f&*lm^QwSr}Sy0Zp+!=~f zSk^)DE!ba77>89b%0hJn0+ObuvL5p8Gqlr190oA9BxpEKD>^lCR;fNAvJd4D8(6Op zG*&=%Jz_(d|H^pR7YemT0eG07r*51F{S zH4r^G7-@@Qi$5#$?Cdrmr;cPjJ&js4iwLlywqEQiswm-TUS&D_~*h*j_Weyc_4`dp0u^R}NN^eZ&FOu%Bgeeq*ni07D)%$(MZm;;~ zEwrlhb&KKvstk=vVj8#H*uncy|U7#V+$mz+r`hrB^ zu2;jn^~+Q4IIdj8XPEL&IfgX7l3&k$a>$Ptr#4j^Kn{!d>2W(l<=4oRjA$CCq_%N5Dsv0u5`P&uEF3#fHTJ(Z5d9m{ zzy9}M+KFl?|0je0>}vQ=2IYX){G-R=p9BB1x7$AlE(1m7ftt4eOQ*L#`TW`8>u*lf zsE>U9+3)Mm!GHEg`g`zGpmH}L#Gl=g{$%iHCyT!sG~hil_`9#gpF{twq5t>L*F^tc z@c&U!|4%M|RvQ1COX`#V%H^@{_@7+>tZDD&m7gIYIeH9M}Q)gW|cUv2R z0uUgIJOH47@&9N2Z+rq%$-3493@D+u;GgiMt%WgM7{(giYoo_xQ{VnooX!2-3CKA= zpE+W<#x9W*HtevrPCKvXk`HjB)P;?tASyGdRr*gFU@cBc>zd;`CGzjIlMGPQA#P|= zEnp^x^T)#u9WVZvs@gP~$c4R!IF(@0eFGkKEXth*B1NkVhk7c`jKF+n&vx#|HXzuK zYgTphcYs#)bBta(^QW+q05LS3yEHc4Qe<7L6-WsZ?+X+7bnh$qc@s@w*vI#g3>ddA z7UsU}Yb)If)`5xfvLfNL0|;RHmOuLgU)${-_4-9Y3(L(F0v%R{Wx${x076E<2r+aE z8W{Okv0ib0TG2eP-^@WxziGj7M;Kqov6uV@;VwS`rKjiGi6(G103*#{JgN}a*IMdVpXa7Hp z{%;KC|M2NmiL%nbj0mB(fxm=P-Q1g0L<=_bqGz%u-++u6-v;a%@kJfquVR8O`7L;! z*|mTEdSpDCH59rRB6ztWrHVoZW}7W`strhgx3z&ICOL`4TuBTB5ZP2*Rz5SwP#x#5 zJ@Z9Y9TWu9k^cH)xQeR{2lBS-SaN8jIALf#Nx@f;>ZBawhVEi1OtTEnNI-Bq0~heU zb-j17vCGz4PI}sp7ZX#*mx#>7Yre&=3tc?27O3SHll0g5PMn8Nd=eQ0aey{;6^S|{`)y^2d7mSa#Z6o-&OwvCdsRR$wQ1WLufOmi>)NC}UFs9je#}MnI z{`!nU<}2uR*n+rS^^cmH&A_OyYEuTXGN)Rn5IG^{`QpPa{GQU`ex1UXjy!t0QfghQe{&kN873~NM47~WdKboVN2rDOhauhFl259GLnPd zh$u#r9z(H0M0mi5>d|?Oka1O#DAxco$|!(8+4f6s7K~rL8|-bL(76Jc;&%NlTXNSvA%Nh)G^(IYYu}~y`e^nGf8^Fi70Bfc4mp^47 zQ6MaJY-V$(mYyM{dJf95$*9Is(e+6c;GGll@Qitw834BTBF18h;$mAL3s`ww` z@Y1n_bG!}zsBJNn;l?Ah0TWLnb<{CmMCLIOiN5Uw`lZu3nbmC_+r+dxp}LbXsvJXA zpqOu6#A{9ZWN_7*YEsr3mp0eA8*=g`Qt{SC{UT6Ldsi_GmEPxj_+e8!43kt7n9qRR z@#T1j6@8UhOCUlJ?yBD{o#t_?XGo5HwQt6W7pA)mo;mSAjJL5viWgeoB({lx71 z>(YAyn#*LHWUAGynePghmVuY^F@NW6t_T$r9lTS=oLc+_`}#6BwV>bD-8#c(+g?@5 zeKD=^Ii+06Ms@^YWN$Q2)-j)n)zz0z$MO6Tjr;)7((8PUxmN|ue&r92yxUT88L(V% z=m;Wz8iXYG7OA)?7pVCQthySo2Q55p_m}k}gzg5rHtr8PDA|2lhNWDW*XXDWvDB_^ zej46Pd?9mAt9cs@=p*?B8;?Gw?z@;b2Tb*YgJCP0f;2}VQC3Eu{9jEK>`lMaeg1#i z{-5*bc?oHo*+1ngWBHlkI{7?40(ww%#W=H5jKjTL5lBZcuG{Q^( zmQFojb2M6$io_|`wMs+$(@sFi-GMq@FAz{*IWHZs<4LgrCgHEQQ0kafAREvn6m}$~ zrKMs+4)%eLYeV~b_%-Vg+TnREI59_vnD|hIszR?0B+?Ks&Jv~FpW}PG;OSp9pc#xg zD?y!(fT^?T{o7sXE=)>73h`p@1l$@ZQtoYRDjHfBeQf$S31$bjU7|iv9I;je2p@1e zxw=Y?DkcSGkwyShF5v2VKRy)XnRVR2S*mMtk5O5PK3E3FVqs|Aux`Gr0?~n!bMD>V|fX++aU;{4hJ(T{rc#*z_>A!hi*vmVkBG ziznzarpefPEP4;z-Ln*6ZXp4d*?h4kj7Lf8uvX-)^E|LW7*mx+=n@IJFpdz)9|tZ3 z6l*Z|puGj`PLzod(rM^%g*lz(KzL^uOvcjJi}%;szx<;AE>7RKtG9jm(KtL@{;&B3 zC$^hC8ajLL_iJ-M-*3i`!*h0ee82tCNv5Awe7^VN)7fu`X29x%|>$io{y*3 zTRg8lZ6NrGJ3iS6k=8N9jZ?}qGnhjuIj{q7?hnY48Mtf!Tln)DDV)7(NHad2thSL( z>OA*1|JBh~Tupc+Mzy8EcdD*roGuCR2#*MNil5v;w<{i}nU(>UyoW4U!i`AqB+v(^=_{Oio#GT#$0kwNot8 z6Kn8C5JD)0yfxl;x;JLwzF_=&HszhSN(XJ9PeKl1Be4>X0Q2@E1!Ws@-?El39Y#|W zDu;iD-95Q%`{$3OBXW>Q-7#cjLD4dg zJoIfkj$AC0c#5KN%OHu_i_eotanKau(PV+`OWM}wlF9FyDQ@8C(AKU511saoq~MUU zh2wNtiS=oq7wSbg(-<~0OqsnCk(;JDB=e`)k_>fcVOsDcs@yzG(pD!L_oJgTP>h-V zWo)RjXB`r%x)>SPL?gPRrPoF}>T$uxMtgAax-EcR;JQ{1J60;Tj>$ zNEX~$ogbHIGoM2`B*-|3LgJcsqWCJX$YqU9vBdE3&pB^V@Kf4YS=U?l+|bBV)|XT3 zvOI5XyI64TPW2W%yohi$)#T(-^9$AHs%lq&Q4YFLVGOH6YAxaP(mL)3X+k^m6(F%+ zO34}_SKHaMe(I_QWJ8)i0|(@A$3j##HOSalrYea*G|WOBh<~kcr#uy*)+GFZDOXkq zF@D%6`(kUX#~mbuRNdSxhqn|l1Qey-H4q)+MZ_)oMvU--K3&TK`4CeaxDBZSef=w0 zY;7MWXlFzhQt0boW@?O6$=fJexkO7dZ1&0G%$d^3sjCs;T^=XwlDT`S$d2hH{`JSd zvnunakUHp9q8q@3TSrjQEg}9<%5&mmPaa#qJGkp;Q@8y_^orD|K8g$T&Urs&HYwT?=(x5q^~V<2&s}CMuQZ)c8l0W(pSMrnqjfdb>RsCx zpVP4tUrZt|UM#rAFhlULM-q9ae(xaIXeA`w754!r!Nsi_26qoooaTe+kKpr9MLtWMW+U%dkqDqcxr*;@!c zC2*)Imx>Yy8G)hzp2Cb3Yt5vwWgzw^(W((@H5nJYxfV6_dcLMa!K>PZB^Ge{3di{O zH>YvY0`K^#0Y%P8Xsb zmfMnYjR$Vg*3*)v9&^VjE2c~X$cQJxyr9GfuFkWMLLXniB@!Q0B$^hmOlIhHWoxpn zh{a9vD*E>kugOyZjEnFuy1%{`$p@LEv%Ke^Ki=prs?6*8qR$Jwlzwi*xzgF>`VdcM znldu6k8sI~`FDg_quPdRGUbH4?Ryh&U=2=(d~3drE6T|2Edkt0)MbqQsbEjbcb0+e z=?_=KwtM4xO>N;F+k_v6o17w`#d@yz#&V~W-{5pzZl3V4l+u1|`RAgURnBUzgk&cd zpQcYfyif*0xvQSvQfnFdIkSIx9IcMeT^yGr;Fqm0uDxArPq)isF)odS#i(IV{oo!M z_*?yDCp*6xeT3hAECW1#Iyt>YGmIX#lZ>0p{Y{m0bp}Hp`!n#G^Hn{5`{kVT_4UB> z6~TbC7bdNc7q;gQ8Pvn31NKZ^n7y}sTkI(;JvuC(4y6{d*!$4((3}o5Nx)kcNp=L} z=~u;+@Bb3ubjFVOn}1JC|Miv_|F5fZwlFnyai;&T8}oly&Q6k!+ay2cpc6C$DwGMQQ1{wiOv}IV^D91T*lAg@X)p><#i zXGEf9PqA4A{rRbmCd1&I-H4=Ij0D0D8H{U;!!PkNX0JgUASP(4>5F;Ql?y+NnVW)@ zA=gSTk6E4?tkgwb)$FhMA+LsrIYgY7X?YVFyXJ*aUQLWD-q)tp@(a|+PY3_4NyzD( zW9bDi&Dgf-49DIEG$KuT8pVrDIC-D!U`?$?S@MwxjV=rdi5ke!Gx@m3CZ%m>omuh) zFmZbD*8TzZAc)qNY<=DhkqjM*%z?pvi!8WpOg2$R^9d=w4UVa)tJ7iIov7&Zn{dib z)|4!C=ktqI;>s3Ja!(LFEWLm8$e0;L?s$tbUz8ev3#*7nbq&Z(^ky6~VY_~O6prln zS`_b%nb+rp))r;H!#ikaGDGI`23*Gom!s$xRzL_cBS#Y|2bxVnxYzHNI12)4x9Ymq zf12Q1$fea{Bu5kbPEN7kyXu=S7nyFE@MHXx7plRAFT_m7Ye-TbEq1^Wf;IzV8FMJ~ zhm`J@n0S!Ibj}ZfB+*z-}DWDGiQ!1du}5t98$MByZRi45t;Ji&52w-rH_Rd^S8h!o4HEpF;hH`aPl<)jT;$lUTKSF>=~RY&a8 zueYE)rMK+K;U#$Qf4$&;Z4HzXGV;%|G*Yuu)M{grvefmeOmocYN)!_^v;Otc572!D zB~nn5@1&&f?F@QiRz^}*h~ef{Me(V*`ap+go9kz3r|72W=0zo`YyTNK{m(^iJu=Xg z;NKt^?q7xb|6%063|LXpdhEu3=JM3fxHP+ARR{vXit9`5m0Y?txTgX%SLqvO)~vTX zhjlR`^m8ifIOIP+zchHfxXC2k3~Fa3d5+`-AXqij^HoqE-RAjEepuB;_ z@`rKwVqUf@Enp5HkTJ9t*IQ;7p{c8R>DOnlEN`aeF-CCu(^O5^z*Sc0l$d0SOVFsu zu)K(&Cy4)M51?TgC)%Jf+=4I?Cv&~k!y|eYk^F(mQ&p{5{?^TcB9uiAqi9kQ2ZN`o zg|O75BR=8GBjf#h8G9*uCL8bEq@->0YV^9`e!j=GEh_y|2;{%O%Afz^6lnBcA>SoXVsa3jh28`X> z;uY)OJ50X_g@G36E|5dHD+4GcG?zfT>smFGFbWJk)ZJM6i>Q{tUJNBBXk}Wz$cbeO zz&}c$(k&@Bl{5*Eg{Ti6C*mvK{WNX;$~AF zsQ(qXr+YPIs)4C{)pSE{u3w;S87A@0UunrF{7|j`Aky@}P5=7NAWz3jdrri>KQq!a zGZAM^;3lAP%WscJNT*(=i{Jo^sMQvitF_x{cvgd8t&5^vYfz>t91=J`#bX@Z&R|;h zsO`aWx14oqC^MZQ-kNChZPLFK?gns}>7Evm9pOA6N8cNputtLl&gB5+C~{Ef^_FM| zb#ln^6+1kfehIGu!WEX;W8)WD^vO1e3m8Dr@Kl;RPq(zSN@NWHXuLBIaw%$!cWs2N zpIyS};t}i+ZAxD|SEN<`DVyfh2_2=J+@c;fDJkf$s0|GFjwMb3? z)ZyWC=M&YHe+`yg$TYIzOQ3kWl?}JPU-`P!j0>!rh8AInVeuS#xd|~!by}l-t`PUh zZXPOW#l}bJ7vmg?wxb~K zn9RKLr~Od09)-f3=bfpUGSi+;mV6ur#i_pT$?yKm{@%;3RzrQ+E`Hzl z+cbCl3?`9pzgKA`Zyz4JF7L6UPr51A+~r;$C*5>ZPgt^7RxBI+nEW=*{^iw7c74p_ z(67l_#>e-5A7#c&+12y;xxPLxsmL}QcU@r>DcNjwX%*}V1BYW+2Br8*_`wSBnn`8STn!SAi}3aIoLrc;}J7@Mcp%FdC5 zR=xCdd&fuXFgfxV1)qxCeb7U9``cLQfcb>@4U=zKXCM6dh0|J!g~XDRJcEx3J;Qa}08V|xVuwy0wWe|G~H z(<^Saurc*g0cYp?ds;etef&P^b{CBl&tp!m0_&55UcGfodM9VHBH+pXF`K@{bA}e= zr7TBXxy#vE(_4dW7%=v)64jsU>uqw02h^1S{JoW(JAv!NKPJ-j+By?(xt%$O8m5Kr zOHl`)AXS>ze|?75>F*xx)O(yFuXA{Fw2n;WTrUnA=02fE83=NsxXf)fIfWraD%T( zNTe!)Uhu65O`d zI^zIpmFUTX6VEgxD){Gfl{!*ZrfT}Qcw6Wpf6lcQ!74| zUrc(JMvzv(U$tY@;2<}e*2AzH;x2}dkh#S_y^*!^8<&aQ1qnc|f)T`fRuK%>$Dix(c@Bs~MfJYRS37u~2%Q99la1Dvj+J z#5_gRe=CvKU5#)FOFX@_DrMw`auT^=)c3?Wvgbyd7}8!>ux9bZ`M_B=O+2oHOI%$enazGwshbMd=4CD}-g5h( zm{GUhX%WO%qQ2^O1J|;su=We~XfnfulRQ8Sz^uy3Y|69RB#kh1mR>(J(4xDHoTu6~ zROy@3KdnYsb7#yqEwPkALo{{DI=LgYVk87<4a}a+tWaNG9D>iBIH8wqoy*MEc#cA8 z3Ap?MdA0;=9!4n?J&R`V^n~KJ--*{}qclKvevGcVAsYq7EEahprqnBf`{C}o86#~6 z{@D`k(PC4#1-Mq?A8N>Raj_&Du}P)oid_?4!|{xKdSkh&qzFZtf2z5yfp%~q z-wX61*Q>u;yn&wt75cX9)^pj^(;FMJ@(A&n4b)UPh-uG*~7^{Vu&PMNq)00^~k@X4u;4MbHI=`g=*XVUXk3THkUcgxdWamFV)O&lO5uy{H)e zJS&bEg;m0PNWCnM;_;{BRX-@+iUU@L6eA&Q?`rkUJ~h}Uhl@WZ8NoVW@Rkg@$__x9 z`f1!K%&ISr*jNbx-5x5hh28Z|AEP!wh7+j)y)q17G~1n5Y zldM47pCbaAw;|U)^P~D`K5|QNXN$yuecm0TFPC8=FM9SKA4z2M_$RCIrI;H2NL_aX z;N6uH_^<14o417f;~P=FIvjQ;C^F`~`(Xxv3vPFX5NsKK6mb)U7-5zGrBh)9drW$@ ze7ghGsD=PLbCV9@3XBiU9M*b|89RomWQ%@xXomyuu{LEK{J-T}aTW$N3`)E}hfhIf z&H5u$7|$EJvr=y(bPH^R)uPDkAZr3B89>TQy`5w|BN}_Wc9*QE+VdpDcQ8lznJR+l zr2L6tsINvcOM#4D@`ng#9-=%EjJfW$QBZV*b$GxaP&$BKH;3595F}oxZ7jHna!aC- zn{RPxb)^U3d)lCeBGLC9HuaF7TDk&Bzn>?Y7TJ&2L0RHJEOrWh} zDe4IL%Y0T;)PA06zrR*&u*BmjM4oc)91}&F+3?1vW|nZrXQ#*W<-qBuTf!-$<7*!ihul%IXz!r5tTHr7y#s7!;J)|7)68j3D=~{tt zA9G0DU%p((L6g10O%i75TEZ9ogz&*90W#kCaYey~fPn4xdAtILxbOG~W_1Lw%oIkY znjpzwN5Wg520*N{ixy8f7f9ejst@F~I-dT_&uBK)RirlZQ>>1(A?M3be|oXST{~OG zC2VcS+asii@nH0!LQ7Xb*o;zJAoGDUvRfn(h-=)5<%x1%I9n%N2toWBwqC018TFCJ z|1hJ5z=Cn?Fb}W+<~+>qeI^&Hf}Mz z1u)44L@$JYoDWu3roHF!N{&G~FFo|4R#t8^wKzf8Bfn{q8X64)A&9zV^#Q-K?dI13 zz$!%qVZkuO>JwG_Fu`+B@YZgIp~dFRak1*GlSOcldiRY2`GZ}AXPCpHzqM!+SUz>@ zEBxYQw;-OU3L#mGm9H&%pgc7TD^nF>p$A;8L#rLHkE*Zu zKv-I`pgUYa*9?hD`vC{XmMh$^O5@%;!^4Tb85I4-vI>$Fb1Wq?6n2G6=9iFuj3;w! z`cKgf6vW|B_Bt+3c(d24&>`J<4%6ZpP8>`!VTMcY+H%(nnK0&KAZ=vxuSc}evr3;N zBA9Ad$PN+11Cd)CG}43qQprbploq}U#J&WmAFTj*q4<3(Yfn84R`x?_cQ+&`PKlHcJ~|wHOZmWqNn7hA^-j&4~~UT`ia5 zUD`JQ3a*8-1WkpRqDV#{Y#)7pZ$R=^Jp<-(V2j`xu|1R;UMb=_;T=CgktP%-)*o>c zG?rXWXNn+b94Z~7Glq@IICUAl7oy)!kVS-AiI=_}7s$Hw(ZR`FJ~;Cu);o388tx?z zRIn7MVIw3G356S@wa?h}lzd@J6xlTf*hr9ge~=jV=ta=XL==C$feYYRJ6WYz6v{mc%nL*Ea`Fs3 z@XEu*;sLePMXSfLwhG}3y)A_a^#|d+wT}+qDsJ-^o!zd=gx`k0Yr8ZTxNN7ZnsHt@MN$F<-^&aegh(Jz52+3W~Csr}LOo_25O;_I(N!q)O z1cZ(h8Kx5IV*eq{%0Rl8vkN6X<^`etf@n1er!{a6krT$e(GL&Wxf`qC^gw0A7Itjg zqGVJ;5)mmxBK>L!G>we7u`JxCkQE`EYrE_Bf7SkkfAoOSaGe*p&!K=IRFH*pInidS%ig z?yVBq@`{7y*u1Mn29}|HZqQgktGuaCNrAEuBYi1^=2g-0T?D>vt`pww_%u9w$$Zv| z^l5}oiv(n_4!}v&#_t=;#_;~&+x1<7w}yy5Loq@riLs24=TyWpVN8M*Rg030B4^!}y4XP^3gDgb## zyu+sO73=KtctPk3d&-b9LmGt&?@)?H^za2jOj+`dkt;x?W4-yzA8+J;ICrKV?v7(-Xcv5fltscX~)?(a8o zU}9L+UowKqL(qDq>T|pY1F!e8I*uWoD3j*c@{tHMn~3_OROz|ZpbRYa8b-aY2z3d9 zx9;$ve#NRVwACQK)|GF8(e=_!a;#IRI&sePVvM_}H(G>oOc2wpIfMLp!QgqgBktKb zRE)677Y!LJTG)9|u5Dgl0QqU9c3>Vtd}f34_i!*;WD6JDrBiC!f#U90r&}ntaam)n z7_vw^uq6^t1dwIz`M@znh6tEuYOp6{`=XURks(YG8cMFm&qG4fZXPBl7&!tUgqflIMUNiV*w-{L0Tdc z&F(WJ0Nqi5Z#D)B6$JYtdhlfKIarL6oI^}S@|li_FZn1D%&cM^JIX-xm3zY{ZBz<| ze(6{H0(`Y*6elb$T;GBQJ358V4>^;tqv4ygDN)-fapy~Dv)b`;~UTyDaw~}1jiwHVLW94VW~BV zp;VDQvbZH=H0vPxnfgayH89=C+|bre{g2R|9yCBTiK&xC;_f^Vy0q7PjqvyoTtCTu zht6t9YlEkC+in@nmk#ywPqv!n*T=|)utxwC<4H03B8~)4RCT#=?$Os&4Whg&qKfX9 z(z{q5RIbR8lacNa&n#@q#-sr?1@16xPx?ik>qnY6fRk~tVo%3t#}{RC$t+5~X5NwP z3dyKGheJF05q4eOf^n7dWKNRoOt-zpRYS0l+n*|`6Ot}8awTPe0C7yz@`=$DKcuK3 zX)-p%Yo1zDanxBl%Hv!61fPKV5B4=(W8LN441!?;(4)P}kqMhQACT|eOLw-7stYXC z!mS^VS<0pcFCRI=alk_S#;_qm0O%2xvZBa$cIT;=wi?g@r>yxHCWQUvkr4YnphR2R#oC_?G;mq7l~ zA!i1rAweumA<1x?&`HqRcH0jNi^*yj{?RSW31#!cY6(riAayw4=?Gr*Qdu%sh3_iX zE0}nZHgr3ag4=dkx<8UwF^clV=QkyFvKZ4U4D_Z>ha2t6*Mfc-WXF_(G?Ir~gw4c&-UuZlzveA6*uebl0eF!p=7J*6tO*Ply1T&k1j9 zQiLNjUnf)(vw1gW{%xBKS*EIdzf26f`o}wWe(nB`hu($(DjN!ltvGkOjvST=1sufa*xqR4+x9NAE!fWi1BRShW~QAiHUzHxBgtrKxg5-sD%efftRkFCx1}XHppg1n zEbp1|No3fQ4VUyB8twgIdDE2FSMmJE-`_`xOleB-M7ueEv{;lT(ldb@&-!ShL^fng zrCAOvb*3mWhy|f=ml!;oUcxe21f1Q5@(hFl7AXNgkaGo)&qeS$P4X@QIM9eg5ayWU zrr5lx*5uz0nEf|DH{`cEOMEAvGlAj zW8anmRzo@-dC)w?P~ccANO%O6;l74pWgtA@&sT-F5+uWLWOf9lX22{4ZVcm*O&wuK zlR*EBiy$fhYRxyQ{#4rKdCla}#0~uCFX6p6u|^D8QVT^ETV>SOd2WU=zKe~Jnx-eW z&_JDL4KgVDZwH@!+SOt}D0L>|`6H}OXS7XG5|v2jujmW{*D)<}w48uf%j+S$_$aw} z%^@5j()9Z#o_?x+`FHCOwF7M%Su1LOm;7{elCOObNZy>-GVHT>Hqot#-W(rwW0 zsAwMS{F6O0;@BG6kW;0t*#;8>ACEm{42~sWDy81{3)=cz*U6Kx@UnY#?WPMB^JV(> z_THN@gM|k%NCi*f_M)@kU;O7pv+j9Ff=z}h!e&MP!g>@V1qdA|R~*qruOjumj2_2c7f>(km-2BJ4>q7uGVtz!k)Lrw#GP zOqG?*^iz~3TDz=xb@gGy#HhKl6>z+UbBOw^f*<0QyxgDw5(ByJ4~?!fR7K}^1e;ez zHWUA#0Dkuv2RwC~uF*Q%FUp+k`RXl~kwnmKc}7zQvxL7Ob5$ZT`+Xil)g`n@v#h4V zGR*P1b<{EIe*}q56PA#+lSBL}Nmx|&B5=}I@}ZA@9d=^tZ=`Ob>nf-xDWo~WVAG+Bv20wW5fD3l z`TM5?Iv>~|ZC*LvzlXEFeNP73ii5~3@3hq=*bZOjgCL&Zo(MckQGdTKf8S?P@C7aA z2imND-&cF>oBSc8SE>Z6+DI!LI`sf(LHE~2SG81c)ka8vp)bQ@cX>9sF3ukvvsO0= zt|>;BDL8~^SAEN76O1|2C?Pj(Wfyw6d3{Vbl%>31tUTbnzd<|4^4$S{d4d#FhbtR_ z(^R*X8rd1-%QK$|LUVnGSir^so6$Z({Am9Ts#5YCyW0nm*_hf*1@&*hDv%J$6RZ3o zk2Od$!QMrBm??69==zg8dPewkLEXl$BMcZz7+KHQEaWu`;U`X_aFJOdlXj71$K(I9 ztjO$95;9q285FSgT>7>Pipkn1ivsNANZn$eX})-}7CR`#(=dFiA$kEh1k@ASYDH~~ zl?j!I=Rp&BfZ-a;mIvdB_}b(nGm|a6N2Y1sBg`feyw(XTVdxV@+_A+`aPSpA zt(|(|t!Rv8U#y*+Gax3-$A^o(=SwMF1LLl+7fA+#hb40lxdIi3&#Ww%i`OXJ-`yQ! zVik3l>;29DbuC8`kLKF*hn~Lbe+hDTQ0)?GfS2u2`0<#@6uckKSNpT8)^_^VKd3&d z|MNEHO0M`v5UN?B2Q4|%?o7A_C?|YZpXr^3E~%t1#~Wp~pMp2H+dsa~c)O_oN+XDb zFr-y)RQ;}oTTb#)l9V{o%${a#U0Q@&qVM^gp(F*3S(gqHZOI=VDbcMQ{_+IsRMdpF zKTvQ6Y8916gLx*vL=cmvZhf{tQ~VTo?L=TMq+6(*Czm+bUwI!^kwK8{TNaI8=url+ zK6nlfL`6=U&<|7G*aN-<6HQ0_dUx_JPkrB%3om`5QIBvBLG7Takl)|WIhIl)9WY2K z8h$y*9vq6094(pAo2-UsmXRj_lVBhZFI`9+q&Ds*y_3H|wG7%7A1%gBToW zSMcnRBo5wR8|N0_WE*HA1&^VGz?fP^T@6eB;aXuO;ShH-6Qqwy-~^4r41o5x5`t`p zCqH3#pjH42+MvS{zAUJUOU*7`K>&K8mz+2&9`yO{3Zx8tTT(;CN+BN8bnJDbI2ruC_UP)ea*sYj0UEKiX2y+pLU40Dlf_2H+l;bnX#^y-eMs z5~RSq;?A>NEs43Ue3SZ3&oBz`$pDbXzi!zCk>vR*NdRZPzz0&n-+!LB!C~Y<=_vZg zkQnvvmab}NOJ~xZwIScM33zqe!A@rxx7d--7F;a9A;x3?=8E#`8$Gd6Vsri497^69 zH#3X_NI))xJ2ykjPY8qeXOS&VCz_)lMc>U@FEpq_Uk%cUULZ~gg_cFc1fHj}I~Nh4rUiso_5~eebD!JP zoT!vh1A-&Javy=NmmzC5KQZmcwrrzluOa=F!TPJsW8mL;9ZRMp`##i~5!Xxg&0r~2 ze)TC;k#t{`Fx5ZJT6&wd-r=}Srj;cG@f-KwnQ2-O-}~-;dx{;xJ)Qj}BKcio7%doT zc_kYPrg@(`MM zzO(Q4qqkG?6Okkw)reBEf#o})B)BDGB%9M?>1L5EGLIzTfM*&L>Xw5KN=V@E471m( zS6XvL%y|P>o&G^OX24ytEW4Hv{G#1x+mBWgl$dn^ALJve#pNyIhpVCf@(oa-l-ZZL zbamz!r`ro^Jy!L!XT!E(#rTyOw0X=KkKO&6@y8;n4}s%k&VaJR{ziG34o!+w)E_39-Ksf>8$jFU`oOeqqQ{UnbTSg53U29EpeLoy`lmMs=zj~ zyVQUOXsU@c1_{sC(%-h$4g%?jI~M=oOwj}W)XoL)?x`H^#!kP`qwr>kj_{5K@g)$_ zQkN6fqb+7E#8fLog%q~d>+19GHVpf>?IqryRmr*zl=B4Kf)FZ38Pz{p<6fQi^DIvjyh*W$NZ zT&D)T^xZwDHzkdX!Box(<*T!C_tZOz2lm!Op&}#0?lZcp4oq3?XUo|ARj}Bn;v7l0 zK{Mkvu=`p}&pmOGNe{HVhvM>_cBDv*X2V!%5fSuoDoWcO{J2-joL*&$TLP^g$Qons zvzoei51HYAW6lD?W1W0Ho|2DI^qd*w$HxU&E>=~}Oudywk^v-Lotc@&E4=kk-C}f{ zvcjFd$h!7;TU@^sCtl^sn(7xL<=AXFo>z-|&PvHNvVvi~Vj%aaYbkdZ4-V1LqtO#nGn>u=C>1whC6&xXGnlfB}hi#_UV1Yj29^>mPR7h#5<4{mu8 zj%SD1gP=S#2yL3ppsTJa3??O8zXMaU8yY9hcrIuN?n!vfa(V?Yhf~LL2DD=B#0hkk z1Y{kds-AXpd%+=5c$Q?8d(*>pl85md+Jh)v8Lq!xzOpIK6tTwB@UPVV zEkhsjf_Zs9_jO3QUg9sGud$0bUxi2-FgX6K=vui9l0UE@;n~8(8Ar2g!)g?icZSU3LzMaG!>m7~35>B|nF4i~oBEdq9#cCO^3t@vLO#CKreg2qIJXIHLT20VP1% zzb3BYO=(YXrxAM4s%S!jnjRQ>gCPSSkO#jsl>lllpf!-_yGnKN5}grtE6a;(YL0f; z8_q3^a+iBeWh{YmVfx|7>(OekJ%F@8kp@`?4@rSRTQlb693pM-Gm;BRJx}iZ3SCGw z1t6Q^)6`U=wi6m-Sy$`iqMGg7aLdY~+kaqY67giy-OBsxX2m+fEz~Oxo0IeYwkR3K zL>Q)k*jYUmrtz7*vcyQhg>&wZg|JkKW7(Li_6^W<2cQZBD>d6GW`xE;{h}Sj+zKo8I z>}R7Tr#2qyLDG_yBnvih&35!Zx>g*TI52k-oDG>Id;|CijIMR!D7^82Gr<$JrCAm{El|o;2e`P* z^By$OXOK?5R$blwLvrWg8zDz}_Py3>QfF_Vgz-%iEsUhcj#QS1Kp1B@5~Q=0J7@)| z(;+0~*;@n~%S};}hQ~{O)CTP*MgYD+2y{T z90Vm!1zTzF9AE~ftqaPMm?Iq9G#r@LzFYBzha(dt`QJ9BGV1kY#VUdR*_*eQXeJjj zZNut&`{K4W5DENKSlOv577C)`pxIvBJj3Q4_&o>L*9YwaWfl@8pB+i$n@ci4qOjgX zS1iy6p>@%*V)vbyJ7y8(;?-YXm~QijLi;6BOr4bz(ZVk{24RB%jI|rrsHH znkb{kbaAtQV52a!2JH)27Po7Ow2thSY!x<;m`=vTW1Jy$0?Xhe-x8#LG+XHVuZr`l zKlJfSUWW2cdW!o-z!k#kF^FCk$}eR=>oNHh*Gz)hM+cy)vzylXCLoqfpMM)=a=@c< z0WkYV-Tk9K>1M1zmLiv+$!TeaG>0}ER^Cv>RXIPS`k@p~yGYNw%j6@ES#dG^$4yV_fLQV<|2xX=&yMVxU zBN!K<43&<}KPSKpcCZ(QuuQ>Zms#3`O{bYjCEI8#c@gQ z90Pg)fw+a4#pPcVfb<+GCG7+gT*#KTbDB*XH?ciIOOZ0@uM`h_VE`m9**F9ts!X+@ zGvhIj5z4`Iyop^+#m{Y3P%Y!C#Odn8bsNQyDg* zh@5~wGpJFDW-wo_8)`BJt`5rH{csdZ@WtHWzN!%3O0H5`-XTdN zG58?rR|sBezlC8zv6zzN``OxISuJc0+&?I3`p|fk8=tHp-!vqIJsPK@+b)~*2A+=(1Q zWW-T+X+{@GIIYcTT^|J8WbsWMxhV*)Gp{`^w zo@8u060IF&6|Sj{svGrReJjjhLeRJaCvP3yK{-Kb4jX8?UU3;;E#qiWlZ1_gdn|97 zn9alVEP~$WNKy(qp*i9IWETSS5$e?(vW}O{1YP`1Y>sVR$QbQgGhT|g`%J_ln0#T} zD$D8=;xa4k?KC-e(UcNoy5rl+t?x??I~`aX$84bE$?K%UdQnb793d*Tq}L#sQxi-N zpYG4!H?dpjjBd4eRL5>IEtNeOEx-cMXOaj$j6Z2=ZWyNAP@vp#Id}@Q-|jvk)cw7pzqv}c-vWiOVW3*G9%d$41Q|%R zP#{`3c#gsVzSZ0=+&9F2fSXwYFl<35S|52BZbP8h@LyIZC5cY?(@oEq5;+}QyudSK z3q`pvy9N#D^){7~jfN$B?sKj+$LJ=DvCtuI{;K7tCdnR0Hp3)T(`L{N@@C?E(A!T& zD22W~wp7B&{;-~Kgh13sJY+)ZF_31k(FA-Echx>)*AludjkJoVFYa1ahED-|hlABI z?tlz>r=W}}b{2Ec-G@nejn@IP^=MHYi4mJxkT?X(_jefjuc1B2UY!gmgJVrK@YUG^ zof(7)#A4me;V2PKw*1@Dwr>;5-}k6{p1-{-cJL)ok`+l`T$Bz4_y1r z;`l5vNZ3U?k-O|C9{8|86o9BG9k(JKk299xYKaX3&=rtMl0nORw)^^s!s!;K8zBR` z1wxF|-}zFG zaCog$XIOZM2kQ&?0OR4YfjN;FL!G_ejIDZA%2Q)tLb4J8!x~z~PG1N-XI|y7+o`K{ zvC}^!5#Yi%U@pUk%EtNxW#$$hqi(C3NB0}cEN>ID4cHsecw#{rdk7Pm_H&C&K$dN9 zbW&&^LVDkGbnK9!OfK|mdUL3T+9h0)TYTYjGBFE121;y&&Vj|gJIl!vy6 zgKT1w4IAp2e0|uHj>ur2U>h~13kr*b`G&?rjNI_G(rsFDoT4>1tEjKyR`|Xrg*4|y zv4hMjbq$u_|HY$Zv|B~XiWSqYobEIlCUSO#0A8tyl9VtrSN!(|LYZd9IGaQ-_-nIRD!wfc*Bl-Surf~_MiBcI5H}M)#thA86FRn$n_aUiT zVBxQYaVhN5T+&yLIJ$mbdZY3?MU|y6C|sMs%<7@{ZV~Q&!#m2|a$Pw9lO>0DI;Z06 z)NBdn0L__?mRl{R`k* z4VLN40@7HLf`Mt{4ogGehRc& zgX4ztl+kt8G=C!z#*gmuNu+3|v+I;3k_(>$EYWSe)f9t5%A@RZojnVu&u}5Xa})fb-@DpQ(Zi4fOHl?tpT~AnTwyJ~a=J@F`U>!Rc>7%z$sRk(+L%!WQcdBhItHe%ud|Fg9kSBAD(jFX$JFLXkrlnPqs8uw8a+9B`xwj7 zj+%ZhsNAGoK;S548&QOKlVlpvr^k5SX>^tQ?~x9oP!3jcF*T7DMjW2pCuKz#y=;e5 zbZTB~C=caGbX0q+g%q`o-Le9E65DNt9Rg@^ozymyJcjWK@W zyFQrExG5LSI~^)$92hw;oE)0c700ld=qgAUNf+$8K~S9r!!+dTZBvz^vJe@qh!sHJ zBv`KpsDzv_NUtSN!)>~~NkMs$!zV{~HPN!lv(HJgj0=|fj0X~dQJO2n)lIBk-I$Ry zxJ5yFkg2@+w9?8Q`oh;zXPV-6U_^X7jdQtMgdO=j zZi+lBVaJv<5+}XetlY;8qclk#bGkQV#&@=hkVdXjk;Q9l_iOvUY5L&k7EsW0hhZPx z3r<1~<`!={ra*TJt=j2xDL1k+L-bYXDSe_dq&KCQ`=jUbdLo}g-Ag1o_70FxH$ZQkzJ<+6vka`wVy8U| z90~YBXWBS@J+D2dJHzD~tZ9QfO^jhBg@`nLC0I}^@&tW8OzY0Th>d6*z8hXG9+4KU z&;gi+Z3WX5=`6X8K%x5NZba7kggPVZf=szqmvk^cXJHv6Y_>m$&2%Y(}xSAnF zpzz*TDk@1Hgfy7ELD9Na-S}}*CT;4=apMMPIX^YOP5EqEiU&;?+o}z-oUIa2+jfT08u1C$7lSal6^415_}p1f@;4+Yiyay90>q7 zWS_QJ`p~@^F1{C_Gw5I&Fq!j>IMcX!*2z<%0j?M7HRj{XPWpLr#^jt%z*+z=Hgqjn z;fZpP8SA*WFEXc^`#M3>$LVGhBie}E~ z-kupQC9fdX-~9>{YD>R(KaW1|C(vgJvyyJHeNFKWCfWfi%*je{8Ca7ox@`2O8>e@- z%Zo*(O%p_WKY>`%aTq;7Urx1=YlrWT9?roAj_?~$IG`6CIYBkQR4Jgc78)fRH9&rB zO`|l-&|%mnBMUO2&e;wof&;KbZw$^C#Rwf_0@;pjh2~`_3449;0)%Dns&DgpvEzZ9 zOt*A|0C?i=9d}%BaE1v12i3JN3A=L0m`PW;mRpMfT8U;18os4~#k`ET7)i`Ylz|?HbUn zIp%V5i=tV!8V{U`AfrIvJ(xJMC4!6hP7n`my-p^zG=i8j0Om?qKG}6kv?jpvU75&c zcoOT04oU85u699_h1~m&BWgLn3{O18KG6#T7ga{Eb3C9ZR@9zVC?by=mL9sTw5IE< z!Swps65f~~$&9t`+RnwSXxB!Dc*BkPtJif?qm`WR0ZX$C zhZZ^nY*KBLjUD5`r8HLlGUXAL{RG0oiN_?K8Ccy9R;(6l$;x95c2(&OcOHlVSun`} zK6bZa;i?;9u$kwD#idh|$r3bc=7K>l{!C+0RmeU`O^IMw72=){7 zWru+hq6!*p2zljvCKHDwb>y`b`kQE%XrWLHvr5q6z5dfyzsr3-U4uPwzWYPT3f2>p*$*|zTvGun-o~Yfp9w&n#OS!eXz8~WS)sd8jUF_X=?3(kg zGCte0>`)*6CNAB2&f$3C$7pMk$b&Hj3Yf3K(qaP;vH`f*fyBCOdHmTGTImR8urpw3 z?O;^!B^>pOpe0Jbxv5IWi{mFR(7iLkvzuZvn9{rrw#(cJfS`Hxfitub55Y1~FH-8l zCRrpod8o~lxSHu-FlnA6WwSlo)n3WoM*7b-iM0pm>^`zZT$qK}pm}c?x#ybf^RwEM zKH6^GsMpj!X7$n@i@hZ?v6n10835a5YULZEs)dr>wh4H>tVS)p+?t#8&BTH-K?Z*l zODuCTo|GpW={xJV64YR_Uy$K-EC|#a&*9hP_b3s3;K6_edb>o%oXjnx%)Mg&lC;k-(9l<9{^y?kRKs~%JxJjITSkaDt%KoJCdEX zNJ3Sw!^zB?7;t3f@USXOfrKKg7XxsS3>RWiv$Vp@BU^+MVqmSoYiTv&e~vI6AteG{{y7y1EF9rz ztWjuvw%i-y#s7Xf_^P1DHYC^FtJRvkZWNBO2|3oH{i1$Eo@riw+|@I8b-k|Rrc-g6 z30s4gDA1;OzM2&;W@y>i#jM)UWg%-14kYHMkv%OtfK4H$VPT8o1+kB; z2a^FOuqg>_f+(rs=nLU?+o!uOHc}45-69+09$wlRDa(f4#(R~lZwHisua)v*Dv;U- z2YClB16ttqlbD5;o&+s}BCfdh0_jv4B$(vh<1<1dxvOB|t|!g_!VkAh7~Gpn7vwD> z7ZsIt&D7(^#pn%N=gYQ47J8@Nd}0)izILuYw`2s9qj(%|I+p?%W)+~ zmcNpw6=_DWnxwi^-DWdpAP7Dr5~LAeak_R1B0;1GAkoM~k;Ro3^BJ;fvoU=`t+eBx z=u76Dt*W@qz}$n5(Xre(Ne!ws!C zLEA_CDBkR6NN%EEy5+orFbNkNYH#7Kmm6zAoXMP5ss5~B0F?m8Y`vQCEhyHlGp6VV z-A0tA4DL-{s544;(^S?PJ;QI~JJ`{T2U$F|#@LkilPhkeb65xa#(psOeWPZM+2llF zCBDQub!lGDA%3zGc98{?FZP}vsp|C;A~Db z-~M`dxPQQq#I}+mTMh&*P1#(VnvEghJ^6y_?v>s>(-*cEl6dYVbQmdl96ma{D;HT) z{wS2h&)&`hNtTMCn-6D3bdRiyoaNqfy198&5WvM{1PQ`78~!9&o0e_}#r@Q66b0rL)vH$nGq?f{$El07AXkk#;*Ws8^F*|e@C*p0^}IEH&HyBItKp_$-(1hIR}mm zpc4r;hQwRC!Gl`fw&^SlwX(_p`BDrzp@~y`mTqDQ$b3kkdOw8)bADql=JGKKwMbY1OzC4yx;++1d57)LcVLSAFq) z8BKeF@?<4hn%>G%holhoo#jyoAz?t#-Xb#3#Wu0qq0=T(@2q^tfBfbDnvD6kU$F|; z=Y`EF?;2yAiIl9X;~uWd`4V;}z#4ok8J5ioJ=9XZuVLQc+XHSAasGjUZm zXlq3sNf(AEI+}(Fn%T`M$bl|afzO2{gMrWury6psQQBKKm&ml3sG<5i952YC-csC6 zQ`|)D_Y-4{(;FMa%1ew#`cWtg#ZP#`a16cl6y>n3$u_BgqzPkd6&xwL0o(7iUb#Hx zp;a!Q_>xAFFb$SVqP^~Sd$?>xOUY;EvNd7B49hP34EKfu?}Yb5_(UeENPZj1yfj#E zyb-cF%acSkR+$YdIOXa;onaTscv%DlOs(S?AK+%DXK06!nh;y~QN0ptu1O=aXg&MV zc?ln8I#U(_bFtze=qZHnXkfz`9J6h-*{inYcpG`8w1>t~m00ZWL8Odm*aDQ*uL8~) z+9{)O+G`>{-$;Q>e)0VJ=3->KG_p{c7J5>SNqExa*s_DzcT|PVChduW1Pz7(k>`{+(37SJ0|3XBj_=5sCE0 z3E=-CGVSN;Il>PR;LRm-OaY;H&IP`}pT`mz*k_HP_v3Oy<`CQ6&Y^CNBjDp?Ln%iL z822egGtxVqewT-@^OjF>c2diWaTMl3KLyn)_7o4oEgTdo#BpgYqkn{S?t?!Ye$Fz9 z%m}(zg%3Drs<3Jzh=yLw9Q>cXesf5*g!|v8j&OW}EU-TS`44vLF@3;VgaY#6pdkc_ z6U)j@%uXN5ZBU7q2bzwZZ3g_KA5H#7u&Ctft0yG3i$g)+ z6Ij?1BJY?}&aMYL|2P+UhAPrYgKrknd`xXeQ{9Td^PQebP(gANV%a<#3%2W*FBN@`+bUIiDIx~N zln6QT_ixo&F+?KcF6l#*g2na9_C_#CrIPnR;rWk( zG@w@FMcId0hPddQJ93a44Qy~6tFii?G;zf8<><4PrZuot^9^mE)knhAJ&fC^fs~^$ z4pbP8KHg}yg}%E;C-e0HTDU*J0}t}eeMdP4P!;;mn6gQ46&RBh0a8WovT+-RP;)U{;J`t-^H8kzQtHC@Iae08$wEfQX75U=h!2 zplIbYWcfU<0PcXE3?olfqZk$r0rL=PQ2}poXlS;%#N1@Mql5kpTB;zhK?J9$u)us| z`!v?Jl!Y3n%Ae)>2bdZ1?jgBx3`Hss?YFpa8a1=-L?p-imWgx+AdLp+@ZlP91mW5) ze)gb`zCUQm|6-QPbFs!*18+tdhKif#cGpfvE<}U_((nq9iiB4;V(%MGG~cfj0|t*V zG$DTmWphAT&P2-JoHc-#=jB^o$wWf$a*vxW*3@=JH(XG54n-9>5mX}{9d{ic!gjcA z$-zeQffIno=Jc+Z|l7kdl8 zqK~__iiZg()i#)os{U*Bk&7Xziz1fH)zWM_=- z&M|&K3pyx6FO{w6nr4mN!ui8f=r(^?#EY)T_sEx0*O$;!a74m`=DJZ_{9Y0pV#CEH zjKIh}IQG#?

y_grs$2EC8uU#M~3fqus1?T_}YDIDP|xL}s&vy7cMaow8(n;=@i^ z^5cd1`P8^9Dd0P`^g)a%F%co2L#w1|3U~vo&9w%6dyazS%@y3ot<7RU=5Uf)<8?%> zN0{=RLSs%<1B1<8luNZ|2Wz+mN~jxK-AhA9$?^?d%3iIkN@eewdnJ#Y#~Cf}a_Dc}X{HguDNsO`~Z|L6(;{+BaD5v6!y-{C@5dGhf99OkU#G zT`NbvGMNu1ox=l$?~V=d`guk?yO|ixYzy1asHX^Rb^nk7MjQSk2Wd?$caUmO6)ZY! z|FZson7YB3jKL5FRRs`AV}#fx-SXK*1k-~{mHBjMD&gj}w+p%{+;CNHTFTwCjV{ZIoh;)xRZ6-Xg$on13{mET5QmclqivbU;1&V z>f*vPVo-5mg*}YcKUOd)I?d+Wuh2_QnaGR9IdXi}R{e2xy{43f-NcfjTU)VzPrZQ$ ze56dKkOXM z?TR5t=#Z9Hh>3(&uT$M!-$96)_Z^mx4kg@IBaKfxMi2W)cB}Hdc8Zo~NJt}R6#D?n{Va+mE0)#l?~ zz{5UZ-71WJf*=@Sqa_9hM@B(1w!h`EdxZ=9DT}IO8TGcpPu#_=rq;P4N(L0LUo~B? zG+w{CjzLnqMlTwUg%oI>vPpjsuWlxeUg6ix2ldC}xVXkEs@_eXJW#dI0Ek9bcy@au zx$l^C7EFRK$(9+B>^8Dxe&0wHVXexhR=AyplaW))ykczRuKIoZKDot>^!xTj;>Vnk zz3I=7+-kqCFOYP*{Jy5WJTC-qWFojvJ`5_b*w{4I7xk~gKJebEv1hX4Y=w(^yx9P6 zpV9Hey6;B5hLM@KIN4{e#p|e;ri5dpF9vjNsjNsEA+F-L8yoyWo&;g2#rj}+*n?oC zdABw$bgL+Fr=-{MR=AN*^oVQPN55NT_EG`U6;!GUZZ`_xKOtJAGl5{zPi}PLUL{FF z-ApVeg4f7Z!mB?)IY@IlNHdKboCf+$|A{vqT}G7EsK~9HEgs(#XKEQnPDKOM<|}f< zm*dB*h4wz_M#Iv77gKhFH|ljKl?FaF1|oySf4yi8Q}BLe z17AFTHT$W3S}Qjbo|}3$AOQth9lbwH$k*>)AA;9+$pz>+P=Dwa#`9lVrI!UdLH0C_ zfaLLmE*`zdC*S`1_9-abf>(%XST6_I=>be(j5j!+2~ZZ?02c&N51g>&M{Y=18Qi_q1$O zg2L4Z-*V#O*4H-gZQO+7Jh*0oxeN`*GIf7y}DVokhsQS+s&|v-yQD1 zO-+zV$>eE0Slk3@CR3=R(!u`q*Tv08&)~$JtApw*<_pICfc_xc%u;o)!A-+<^C4Ql zZL1$SVLRrtIjVO>=DwclHmIqnEIeWi7&z>7DD`3ogut#U_ErsYdLxikU{h!&h+oi{ zU@v9|s|`bw9c?VE>?vwNv8Ut*D^}|}cscfDjPQ8E8aVnFko(H@jo6+PMo)$X=!cMujVE`4zg6dW!^xu;7WK0?GG)C~T@Jcb-ePE*p;QLL)E8K9=O#NX4vjY_ z2}eP29Iddk`#3?CbsQKD}YlWHZ zgt`2ewm!yBJF%N6$G`J*d40k10v*s{4m25c;-i5{gs)2T{+>9}yL-EIWjjdrO5%BH*^PB||Urmh$0s$i)$f>R$sgF>salra&O z6}Ic)KCrydlVG1keYo1uQShLqF`(vDV_;9+&Ga0k`Els77>hd0hW z?n=B$=92qEw0QlAp*`J26h3c;OBjcNZGqMp>B@D*ntj z8+K{2ZW+)VO-X?OOtD`Vk}!5uT>|&g8U)yHk^9G-0>-UlMB|?cB4w)QIOQye?WZf{ zU~|@N9CTA`7|8qkWqO1=AMHR#7O)d!V*wjA;g;g%^KEtF33cg$ti?sZTUtnNsSe2W6SIu7Wl>179F zK|bJHm~q<_*7P1F-W^<0Z>_Iue3pN(7YX}KZN`Q95~MfeWNH*{+5FPk@#|xLOy0kQ zV#Y0N0~_fm1XShl_}(%r9KB*X9SC4@sr$?Uj(YQ6h&Dp}(o9u{!)GP%NJGBIy|JBF zs}od(7-bQLYzyDO50C29bAMp*C9oq-SqWeo>6&?gUyoU9hIBkEIW_>d;Rm{FTd;%1;ERADsr)9`;p{r6IhM8(3$!UAH4)>puS+}bO#^1 z+Mr-OI{?Ivg&8Dcz7sF`?jh^YAMve?l5l9)#1i;xcGSK+DK+P#MZ?)DhO*8}a}lUD z`VobYS^3TwdEJRT=m@ls`Q_cbW3hy~i`|VnAI?B=@sNNgd9ue4C>pf{JY{_OTVqg- z4j#|liT5cfq``LI0FTO-ilGxrRk3(qaV>^`1C;LIQsUt$sdm@P`;v_05eKI?muRmGS zl|SwuKK$-c@naor#%fna2+CdF%9UFyeDChe4nq(-vqcch3^6SNy-HhL?tVLt%ri4F zMWK?|%~m8KZao-3%7p()w^7Yb=;i}&R);yIcO~#F%ykjuc%E9BqoY?L%d0)*sGwYK zdKzqqmf}mx)=Lvq5zU{TJl)+t+!^`+{mZDqNVFbP`f~a<+Ck&mug9Ff8chS1Kh&wn zrz$W*bi8|sNzn0hq>u$)a22UDVX)Opv<)O8CKN>hRRU7el!eNl8606Hx{SAsAPKwJ zW_lu|`=L&E9+2w5BnPOY@i7b-FTb)gx{$~|=kJcMDrmY~mm z5#x{Q%eZdNESnW@tWjUALvF?%Ziq^l6=S|YAWkR)<9?2B$NtRoCAfa59ue~lW+*~` zXXaw!FUG!mQ-r1H7`K!pumuuxJ=goB*PRAgM!_1CBl;id*ON{@s;H&;sji>rNKpD710N&LtWH^8T#;`3!CJ3ide6IkW6`od+1$~9;W_5=U+*SdXV?_u0re?m) z1F2ILSiqMvAsz-zLR}{p?CJ5-8i-%{s#++lXk|6bIb&8ka z1>w2=O(=s*A!~1ifP8Mg%EdW^hBh3{9qoy(*VmI)z=X7<6^e(ZhO_!Tdh#PD5)jDftSf+rhE}0jk*;-UA?!2EH>7z*q^N;L2rX1(=dStsQ@GnP?u} zQSngfG}pcwIVJ1M3uj?`XwFMD)kB*Z%W{yM5Mjj6{HZgkZk zLy&=7#b6{M-UB;;POEBd zxSWBoOwZS2u4lL)zT(i)72cM6X(JxTw4cIrWisFSkj^9{m>n=`G;aW5#54du`{40c z$Y6uP%D=#v?z~4Z1zO8$_8RUxTV{Rt8POG@_N((>?jo$WJ*SWxe@cfFHs&0lq}CXY z<@{=niXV_;)~fcylT$Eh&p>Jh;wqY$v|ZqmRqFPA_p? zkMqQJ3m@7zT$YN3$$0ttS)|`&2^)9=o7E@yE~Z#Qb6%*2*9Us^3o9#{d`uBeykZjdsn-@HMqg5@GZwy(P3+MxoNt}O+kNLC;K>cByGrNM?)T6Vuo=~r(5 zEc7AJR*`h3OlkO9w7P@`UBk)%TJOCP8ly@FOTvQ1ieBoVBE;j}kcJfNE| z8(Mv*98!i}d9;OODg>{Y*FyzCdg-_aG0xF}HJz+!N~o?PXNCIM%=2gBhyhVdQy{Cg zAniGc7~Zij^+>wLr-o&sT9hOBrlR;D3w~i4@i7)}A24WDLz}H^y~6CJoMouoe4-O8 zDyy*b3LP~K9r)5~3abS5gBP#Bq1}72cNm^^{IFS>dov=-NV9Z0yN&AT4Ey33E263o)Ln!@P4`xr zw2aI>O6A@x&*5H05^!Oj`rOn`sWiT~RVwZ3WQSufOC2Ct9Z@<7YTb4$A6AxvOBCt;bKv8a!5#5I(vL~eWi;@!19Mcp9idEfp930OmqWV7e!yGe}SK)|RhlWI0Q6u*-<|#B6@O79> z(?+*jlhM|T*LzP6?HZchd2xAlv-$4z%?AIEq|+o7!E-Z*O2)f#Ma_4&kUY$-Nh+n*!&9ah0 zgPb;9#zQ#dI}xz6k^YKJdg7UbxI*2#RL5v@OS&!vWh$T(FS1b#j&w!mL9| z%;J!ibUh;gBw*`*^FCtmXIdRFCb0Gl&Z#1R@8wp6gwDGDg7So?PMaPhX^Tz(&%JVc zu3w`NL^7$|t^jUMZY&am#P{;@6zw2!v2m!8&K~k3j%NLGiGHS%i04@bF&bAS8I?W( z+08}IB!y)xVd z1f!_0TOzI4ycTv60H6iT$=ZGy4N0jZyZBK@1}9XM(Bt^=RlsASOs8%!T^AWplm-3p z(sK2!ysWh&=r!upKWYhN7ZGPJAR0O}aom3KWJgA}LH{-(?nD#*s3srf(@i*$_4Zf= zlG+T-eRf0rYWuUVM-kws5e$;0Q>lCmry_pSUuQnY2l%R>fAIU^K8|OnGwcmtogAd_#s9$BLTVz0I_Xqb`Z=LGgQOs&Fcl zn}!V!)QEBT3$s~)h}nk>qx@7Z;LQlA;1k^pk>f^>S%pZwXZe6qM_J0UbtM;Y(d>__ zn`_k6(1nk3^l@!H6}WqIvfRXf51x#cy27lgLFbWPhCwFWYdRs?lbhk0YW2FLx(;&) zWhrcSqmfrGNBkt{nJFTmZD9} zt{tQzs`aN8phMh;VkD&Ole23YoE4Q+;|KwzHs3!~Nv|Pr9jnQi>?Cy%uw=~KOot$y zG<+#!Q7!~R8(s{lU^ONa25k{0PG>{urkjl{ypTVmo|)9kA6Mr$ESKhT|AdTFU z$?|71zfA6dMScu#9yqu{u(oZ?7~&}sJ%OtAWsqO=jNT~o=V8BsuqD&O>r%W3%t}PY zFXmsC)R2M~?lb`_%0kCAL`eA2JAt&zzot4ezC0*jqKGt#-_I7C5BGgVfra1~Blv-k znu-QaTbSj=`Z>$Ta2mC*L|DUm96V(RLEEN|nSN-LuhS223FkB<_BlD(hc-K+?x6P)6ARqtLslMS94T+$|kS|`xcqdhy7Z>mZB2ZINq}N zOxG?L$&?JD=^Bjc8sOUdm#x7p%a&%!Z|k_Cr7xJBO4U-B|l?czzNih39=)S4H9wu;PFP z(tzHG_lE``SLf2~O&l&=sf}W>VzIfTpH|R>`NYbXi(pN0g&&i~ zI8E=%-&CD-2SenMb3Xk3@#C^1wT}--JNTvDYCof_ewd7zsBX9owU;nPv3ah zC}C4xYWQkwLjg(8zWtqbYZ7WB<&1D)QvS~c<;mk9CB;O8c)bY$=v;mwdH5huB(E z#OoI3t(iBYJ$j$5o^;R-=llSPG+>Z@HND@&B`;gG++tq55k6dhV&f)7T@zLHc<|jL^ zFVBBr-7@?3qV#f$mya-35sD3FYi7-cstV)r`eK*1!ACr$me%3o!wqr{zW{h;73u8G z)5AA+F>3g%BUb(2Y9x`q^9F7R%N}AD5rzW=|2G19;Xb1n+9Us71v6fKKBrs0#dKA^ z;!o}LKt|ctwImEvSD+!-TAV2<(_o7c&!1NSUUd_Niv$Mv!N1u;OR)}RPe?oi) zzSO&e7ys+c+ZR6$nGD1SyQA<4A9(V= zv&ZZL()?w;R1Sq|cqy}=8*)sc9|zwdBhq$G&?>@X`M^A%^NbeCYNS1?30z|0q#R$D3goN9sm9w>2p&awHig_iTr^l z^|Y>$x5FC;W%cD#Lv^kL*8F50WPn=~nc+h!Lc30SKXE<1i6L$E~6|06b@j zTz9WMo^L*!?QnCvLASxkc-hY8_e*6THBxhemUug54>unWS|4m<0xodCj3pT1Ba^s_ zrvM_L6e0KBWA3mxJh=JrswIyb`C+Dg7Cgp)!+qz{Ja>^KT_eWZfBWk7 zlR{9JUo(xnd*MPUPv)X&OK1YR<>)U~AAEn*DEuWXH2pTDPbkbJdh^TW<;@oh{c%5k zmMR+pTe4j#47aeKa>E94M<~W+-W!%BllTqt;v$F>wvK1g=AP6fR&o4k4nz^rr;}sw z?)$T|`ymK^zC@|r;mXvLG{8ji*gM*zNK+=!wuiXqa&f-1S?z@Xths`f?Mp_wKkI#T z{80lP-=&n3b?YJemwIJ{tK$%@`!Fq`fyR2yf^pa*+xZ^&HrjE3LQBI~eZieQkU4oz zRt4mu8&L63Krl#b^7#i!t=8cKaFTWEU`2wJ=gY@5wZutJtAV6Di2P)bVx{TLu&W%2 zK)t`&$NqABWV-IN)k>=iVZk8`3H3FNUYFyGP)RiWl1X-k%#TsTPeY@=M}(+ z^VKo9{@A=q)3a^nlGua*hH%yuWJZj~0sLv?lIr`$t=L<4T!6pwR2?`R>$vo(!Vw!B1FJxYDeMt@kw_Q}1 zF)<*~@LAtvobU;;0en?k@s<-7#+S)H2$mo#Nd;6!XfJi!NmBqi2rL+fomDKCQaqFr z9K<$4@%(7G(nt+eXNYqlld6@Cyzg9e6z>Oj}zlc zD0ClS#gx?rX8|1|XQa%&yB`i`=cgM)PC!p_i+>Dh14MvnqQSJ0O7yl&*1+6hb)D|` z_O7mW^fT0HkoTf?=DH<3W_B*nxV!j6x3>`grQM?8#SzO0uBbsuq>|I`FN?#Ef>kh& zfl$0+P60pv_S@e?frC>xDOd3yhxZ@c*GQ_3{SzpC+M4l!c|)U!;j6=ysjQEIrg}%^ z2>f)zvZkbY=!fj@{s*4=7FcW@FGS|fLf>Q_ndECCv?s92sil~Y} z(xlPY)vS-GO|A7Os<%sHF0sH{Z~g{WXkzg}E)dzjoCahpqVo77F%$&kwpP#9H#T>w zTS2;B@QP73yeZ4(NVQ|2fls_ddPUo`F$bJ^{$QAJtWQyl8GV`59+1D0@w8w;j!}c3 z+KBWIT?b#nN49!$khc?A2_{2gfLax(}?=g-D#mKl8VU`hvM;#^v&OG=b!W%0J(0l5+0#lck9>?!aYLBBf;?Ql zHdS-#AS7_j#r!POM!#8Y4PosDQ;qBFs~7wo>>uFL&I>_a9(QLRc_S0-(MFu@E$0}s0%bdj~K ziAzp%mZ9PeDkDNq$GJkNF2=1hX&QAE>!;#~iOki#8Ee1G&y%eQ%u1;=ngMH7O~-5b z`#NNQW-TQk?yCSVtTGioc<~JS()MqV@9R+9^BlKxj5;_WCa?h$nqyS&!&p|6TZqca z#|4*Xl>ukK6Ul5qKDtqC-JgR7fJbpqL2wb2i_dl}!oX959WJ!UM`vv6ML8ymdp}ql zoJ11^`;Vua;*vK2JQV98aYNz;$Hsn7RMh4bR)U94dSDw~O%blIIV4`JRIo^6)l0Co zDQ&=VkRr%TY3%&_hLPu@)3Kq`;8**mI(VV^u9_imdv*f~0T3^jsPw*Op?{~pu3l2z zczg+xp1g&YY(s8lPWHsq)4daUF81aw(w)qg3bgOLV{fmH4d3od#F&YFz@f$k?Ru89 ztjC^Jh0*1+c<-KGLuun0Y6x&P1WtAxfj`u0>wFv&Ip7TG>c(2*R)mtX`(T3>y;chjSin5nCJ$Y@{|2tHI(Bg)SO_lD5T8ioz;tBrk>?h1 zP7o3_peF00Nbo7XzwQmvl1i6R!x5+3(L*vxo8Hp_e8p`T6B=OCUw9Qjuh5}}m!y|& z@s);kxZYeDgi-q=k%FRQjPwuuANCsw+BCzVgZ6*9z9OA>L-o= z!;OWs{ad`F{U0VJ?FdIk3KRd|vKhAEXCKUVF-g1)c^tg!EQdso2hN1^q!etNT7d=5 z{d$FH5cj!`8r#N$Jo*wNZfKMX|JgmVp;8mJqaX(OuI|fZJPMrfUXzO%OPVEfAfQk^(VuBM8gXcsY9@grtk1Ja~QdOIVDojx*!HD zK|#rNg-{Exeo%vHYKvi2Tf0zt=edG8$VDl(2elq_c#@pd22Zl@72aldO)?r~Nibh4 zI1E?=aZzV?G9kOW1e@6=0t9Je%9DQGDug7&P-I$s?a9VDMz$n$7u)huz@#+2M70fZ ze=b+t%Qy+S5}&EPtJeiD@>2YL#FRBOh+tD8VMWqZmgLAW>R>O8*n)ljY=KN>psA*- zEQD^AyuxTf2oC`sv3n3UF0%I@SvhW{#(neIN9S9OQt*X*huh3`e8+Uu(Q0p!Fe+lw zNI^*To9Y;aRD^Xs;Qqn8cQS4g$+Ee$yc&m6E5QV&M^>*PWD?s@IvAN~Vj0d`vccr1 z)i65ZBkB`lLpNw*fzMT}4-4?@?-2lBpkzKRop)S$y0@d%l^I+f?j63^aT`F?9_`mF z3~Eg0gJz{6slq75lR_B_%x080L*z1S&X(t=lpj+Kt?T=e74UTdWi~m|r_^2H99g|{ zyk7A`$Y)GDW*A}RnGI_^glfeh{{$s)2qBf(tXoA(cxO{ot6fn`DPgP~i$6elY4d&uDxWVbTB_DvRvqf|n8wL$1fY>fM42t-P$F$Yd zt$j;dN@V1qcG$yduQRUiBP5ay&ey*R`NRO_%8d@9c4{tWkIzATh2n_>e0JVloTAf- zpO2UC4ybbWi5#rzT*`+|OP*_$P1YgU(pFX*STKuG*+rdUmopP0=s|gOCk=(v5R(v* zt($(GvUTik{ZSQKqmxqe3)Ms=n20}voD2pBtC|!N(!^WZ@j4%Cq2oA_AjPJx&Ss&p zL~Hcojk$`lk!2xm9E)+B4R6TrNorKmy=?2pO#v+!UImpx@$v+pdyKM(zsf4ZYL|7k8TxKOKc(7gScTn25kal1^=-^f zVJxqS=^hGo51_N48RGKHsNdhr4sI?$x}|9IyMs0QJ<*bIi7tfTvfDe}lJ--k|7rYn zWZw&c^lFAm6E4S01yXoP77OPorD+CNKc&>_!6Uuj0J%@TH0|Bnqyl?QahmrRr+8TQ zAxZNkN>tb#U7^uH0l}!kDGfd#k6@8nyo@2V3fIUy{Sgz>$S>hY&_Z$GTP~;YnV_$q zHGjh};bf}jZ-Jb*M+XAF8PmXT`KJ_tX{cN2r)uEgnEbZ-LVHW?2GCbFDOQ{tavq#n zg-`BS4rG!x>p68It>C}x!>BU1l4^6=Hz)mUNUIx!?MH9L5$q zcW$VO&5|ysym83&Z)oDk#b}UjliO9Jh$iWm^GHJXM&8aA5#UC%T}o|P*tm;tfBW`d zh_-P_hdd~@@;GA-qpCaxBUpN@LqE129d=Q(iDNVfH()?!4IJg`lX8N4OaGmPHAhTz zqD#E?*H*c2pyE(9hus+RYNwdGY~#}3n~n6qduwHmFZtS{%P8c+4yl9two_{aa`oYe z!ga~Q$b1G-0oWO9%@nZ}rq(Q9-*9W?wv2aAO(=0oM+T>5u=i~k%YA+>t$sNav@AkT5QR3<)$66Mke|BT?DqA9GvjI7k$cB$)S zM~5ZEPjo@}KWl&LtRDW3{Y{`xi7|;pFBCcd4wz;n%*5EMz5MPXJdNi57%T=Dlw?X$ zIuaJlaF^TgP4U9Yb5PbOTrsi@mLTG1siZ!gXotr@|FE6TowX%wp19oqQb%;5sfo0( zhi|vEiu8OfG=OH(nl(Bhfggragnd>mxws}SB~!p2Oc`Z&+|=x6<=PH3T&Zg^3Dj*A zr+!-|*zxV_Be+iDV(h0Po>#^i86;za-{!;i%A!g8-sXGLlTsC-B`cQ+#q4#Om2Sr zJ2-8;)$C&59zcHBPdc{Ro+wajA=Dx-t2dwL2z^HwD=Um}i%D!`B$FFstP#E^tOls- z@RvPKBC83jd51->J1CfZwGsu8cbEQZzG3nRO~QtQ>i3?fVQwWFbD(pe&XPLTabK0o zW5l@&Yk+wL-r48HM{CQ;_&PgX_zVs^C{jT@?DTZ`A^NjzA4vFLthca}Mk1v8AsHqE zOZ0Spj2h^^A?hatTb&xkoR(k~#Jb?4NLj8wYYo#G%ii;AF&E7A}8p}98rQ0wRIp8W~)(W*hRa?73 zbxxm5j6qlDk$l!CORWB4_8b!k*p)akXA(^V=*+Iq=ARf>Z(u7oXeppAuMhix`}WS0 z=R14Pci)Wgd-2w4&H2_6wC=v(=^mcW%{sEBYB#fff%@nmZ`=Qrr+aVkstUb&g*Kr~ zG$O+xHU?Q~3N5tdjj>=iGjQepAp5DbR^I?1;JntWJj+3#NDQ%Pl5Cg`;bAEo?>eSt zX$V8Sp$?4v5dj2cP%V2JD|>p(%43V3c@6M;3pN1z4uniXe+v3ZfR=JRj=mBV2uu7ojAeUxJq}i2sKXL!&Q8!U9fY<{rGZ}AG-}l=lLE|t>&x3!Aq5N5UEjC}f*`&SZpOqc^_o%3D>|?-4s>FpKGd3g5Dw3-+%B;$KS_(Vx0nJv0;nW9s zw#5oG>qeMfUGVeNUlgB*J!`S*3qLG9=!tn#Ibb#Vn*M96Aoj4=F&+Wxp#jI;pDz-Knu_>;sZ z_&23ZtQ@4gQY+kba1NN}-uAZZfD`!IhMOBRVyQbECU=6g=J}0)Q1#>DYhLY>_BI{-ZFY8t@t|2~au2g6T-g`fi|gxY zcD2IvU;@yJ$5iL7qe;-XqxJr6b5-5vV2ff?Qy&gVxh2a*$2i*a6=>JPN@PBvG(dU+6*VmT5Wfm%LHHR&QV^=`sTs%RUO>A(pxS0Fl4e-ryg4ru!ym$bcC$txfO1tXh zV|1ON%Qke^n1i^Xgh6Ag4cZRAr2`hgH*W}T+rX+uD?`_Hx;oG*W~@=p!Ls?`s9jXc zx|AGJ^Xwe5P(-2N9uE{>@JG3?)U+h~+Vxvg6_^XiViLX{BUf`t{VaPHa+8p5uDd(M zHEy7?9#alv?5E}rXUI$#VTzVbC@gQpOG_YN^tjS*#hKO~%P%m3jM&(?y_i;@*&K8m zxz(;8Ym?pFKK@-OyT$4ax?!V>N$Sxy@JSDso3FM~Y6d~$flf9Tr&Pbo;*iwE6_ttR zB;(M;Qs<$MM5`B%jnsXqajRZg{RF%AZgo$;BD4jE0LkCnR1RiWBZ)x55&Sgk(S>!W zVEqn6s@M1Q78C<>JHxNd?E#{?)9b|rCyfe=&?%hVftgNX`_ymx$6x->H5wBA<1c^h z0i}9(Gl2HSAl$1#GCO2)VDh6>Q0maq57Qc*v>7?%FQELQVjpA1wNB93^PAys{`|vI z&Mc%(aBo;!3m({LdobBik2VD+J@p4oU^5K%_j61BmIKe%z&;0Ca*+UQ5S8)JRmo!1-#)*$G^e1wwUTL?|9oOjUT+iw=L_Gy+_1=eDVosKl9E;TmXl;UE{j1wP+C5$ia4?HTLey1%dMT4^QuYcO$BXwJ4o!U-}=h-osz?sxG*mmohqlSqYwbU z;G<9=F?f3;pVq!8%0?0qJs$W%HC(Wh985vJgAU!XKd=?ojt#4cdv=C3h*tULi8mz} zGw=R_KxJI_-R2c5y>zNTQyBaYZ zKJDW~jjBkfVn?L7H^`hUW zvBid2BM6z1HGYFao0hSe2rQDmlq~T1(0%uGzVW~4JCXm|rZq6{{TY%`!y;rlk>0)` zbC)O535|+JTFg>6LzblV@Ub0Kp?SPph{QBlR$jC2ojELPL3`cZ>UkE%^}>9Px!;4P z{AjTGul04Y%{C8>SVE!%Ws^j4&#S~FVZ5Ea4 zrEoBnI&g?M$HyxSHQkJTBk+BjJe4^bdH?wJr}@?VtFlyMk8ENb7xOPm@Ze}>A+)q% zlW7#Gf&8_>->}2b*b|$`Me~V&q+sW$@S?VAGq>*#+^o=|&7`;3_ng@X<^kkbX*;ib zvFde+c5IKfcIt33)`qm}h@~s;ag8;F{+WgKs9xt{a22*dx$*0~A?~`3onxgP@5s`{ zqUf;2auE__CbfSRG^%VzCJ4rr&KlqCGREciXG!!X`FBi}M9Wp(*VfaH&{y|O#@$#0 zc~FGKy7TI3EbgyrO2=liI=x~1n6cbd&2P^@aI?*K!yIQo zsqM7SZ-8fg2Fv6Gl@t;vSme;JGJ2uOfP6Gm$#^)MXGn>3dJJ19Dj|JP5>jw$A4B?X z9;l_{fV6zOpl6c$ez#D47+)TyKonf`iFKXIVQh?+j_Uto?OT@HN|G#p1=cIcjL1$s zs=BJpy2mJq%F>iXsYEGNmOGFHNel^q4S-Tgt69uvwAq-A^*7`yclwk0l0L^D5q@t( z+zU?6CQ}kf+_>@Za6f+hcq8q_-GB^-Ydm(IY~m2^@J+iP-mXz~hPJokWyLb0BI0?K z)Wrxt8Ck3Q2zPXQR$~F5a8JoXd31>uamxp-TRv6VOA)tuarpk_L_48p?TbDEgzy#7 ziE+vSw&UV-akDU9kP!paS;BiXou5WoE?%f6+R0uJasSp3J)h0YqewUw$hqDjsP85r zS)E^C9EhpOc1r#zz43VXVny6M(58uP?1VP#QmL+`?=Q@XOqQQ`YGJE|tb#m}&Ji1S zirlJP#A3ZM2-7yi33^8THIh1LF%h3iiVpv!Kohlg+pAgkeNuBOd6Y5Ka$Pm59#l3; zsM!NwUiE@<=pb*ngN;AC@+X=yu&BV00<;u1Jo6OJRAU;bh@G}QyIin14A=j~zGa4H zwU_gU14FO6TX{jm5mGH2G-XPqd<>w$m7o%yFGRJuHKWI%f+lF6)r{xkGBCQT?_clEc+SP;hOu3l-bGQDRT1X?4YC_Y5LD`ltKCUuE`EX2Ql^}t69&{ zm@M6*$OHR}5^$El?M`>|WlH=pCGcy4vWcjd6Y@0+Yjtw0T=N$|X@TYg31{y6F8fp_ zn=er&a=CriQQe4!jv^~AB3w&Nrlkd(<>FO9OBA} zb_B_MV1RhY>(ibF-I=Z4PgGkmNmG1IWrP+XLJKf+Bcpb)n!anDyr@<^-BA1EtfXEPk?am4*moB#T#LV$f`U!A{M%z6Kfy+Se+v%`)gWj+|N zUz|IKUX-D|)4<%RCyEZMXd+3z>^NL?zfIQ1=j&opv$$%vw zSKK01kPZ&0h(u*0cg9m2Lk_Z3vp8{{I9$e4z8{g&ueu}MtwNq8uLE2(nX|jiI#|AZ zpc?dC8x^8~TL?sl7`J!|C>X%RU?APz&8zRffsum;)a*;*#oKL6z`nPi+qY7i2v-v} zPPbAoKJsg*t*9Clwq3_RbwTO90Lmp|myrkXGH{!}eaD`ckAC<=?%$^G`%r1lUB6v$ zjG<%)-mWkl4tx6H4@FkpY)9Y@;Ua=}ez{uU#F9MPHzcWWBm}MPprWRmycf@ecttgV zVWHOmJTp+4Qjt-X(TF|{^ZblRN?x^gcn!lz=^B*{q^J)zJtB?wEZ%2etQ#C(InYyv zH|UdkTBpkk(5qg_6C#lngDp>Y^t@zcB^3te4bTQ^?bZ2^?PJyE=G2s%UzAXZohX-^ z-d8uAbM&;nv&FttwsuDJk&8hM5ynzHZD7YX%AyfZA&Dfk6zwe>I@;S40<2*~PcU%II9eRhRZBzsTe zNcVx1$pbVVo3o?j>ar{oj{_-tsY@XP$dCEktCEAVYmJP>7?t1~ zJ_Nj$!ZQzHg`l9#X(P*}$L6S*Qh(7gJ+nN4752d^(z~#bCVgj}nsV1e?$$OR<47uAwcdQJQyR_p8|3)I3;KzDd6Ysf z%-A$8xJ#;^&$I}B@Fltl00+O*Mu*~MA(J9*f`{F!HH27Jl3Zc2C|bw4eClx__|Z^b zsPNXhYt-Ht?bKyWLioSWFGVAzm-Xva3)k|JNrF$q{6Yn1NPL_2rjn(MVqnM4AdTIR z5w}pTbn@)v)#Stb>5q>e{rI@3UMXB6Ul)O+0y(EWhwZdcO>p*|*St?YMCwn_Eb3I( z48({PVc8^CbUZo!_`dsu3d+F^Ny}N1dGUdt;DSgNXuZtpu^kRDNi+de0+&gwUCqjx zo}=U%cdp%gT}tgV4irI)8g9MiOKP(1N0u}#R(CL`Qhic5hN(X-g{MT(SG@Foj3$P$ z9~y;*$asDXqwX$9q8JR{Dp?;h5bq_DEoy9DT+;N|ka$aMAGW)zO>O zC_CPWeftbI0^clKWZ#Rik|BBpSr$C81Bc`}?ao4{UhxnO<6+S86N}X~_#^yO2;*H81x{m119%^}WrIq$l%yF`;J$?8Y>tGv{s zd4iac#T$zvVwGDptXRAJdNtB!j`C=>fY2K!kf8^MP?hwI?8&Ordd$WgOd#my-dT_P zhA);&lOL5($wvtEV`CW}3Zp|~%?gX4#NF)9J{JM&&-+=DN>V~)I=RPvTy*)n`E?K1_IMU_ zDOJY_U!vo$&0S?`RBEftKXbu?{cn6*Lk0}bsmg#+D-q|^CKv}#vvHZFE8MMKqE5@X zo!x?LtDBlpUKU&>8%aeE%oBl$w<1Z6tds-zd4qJQA50b$GlvJ9JiY^4WFVS0glH$m zsNDk8MpLx_#glEL#bk-3rNWl8G09CX!_V2Kxum?HCkHx~kpT}?ab1DqkpAtpBDg~a zu4=$+^i`FTV)RP4g7>eFlhJ{41K~*}_VufeNT=ipDEIngNcP3XRN#u0>^4^N_JR&W z6n>EnC;3O{4@g~|DYX!xVQwn#w$pE4eh}lqVd9^2?fC2zSOb$&rHlvXoJPVtDrRD} z#pm=*7Mf}vu4>*$Ub!lu5NH`6rH^QQ2sDAx!yl$iU+ySNtEo?6oSHCJp}j`$6eQT$ z>W<2$sZp|bi->FqtDC?g?B)xRpSOZ)*}OVjYkx_Zia{L3W}wm*76(+muRhPBJOCm!e9$<$rB&PuL2<*_wUdqn#!Gm}M=8_f)XiX6t9N{TLmxS|U zr03Gv6<83|azTy&mZ^fPovfJz%W~5BqCv=g&FGgL z!7Tz+n0Kq0QNeTosq$`<1dLH}IEnUkSu))jn?3`(1Djkj@0bpl3Pb~tsg*B8P1F+c z6@}ur`yy-f=4>TPi_qOOmMzT1TtRdL?|gwQh6=#5AGir~1zY(=Y;fl1Kr6)hhfHE; zWYh2A-p%YFY>d_XiraPt{dYkZ`wN|oJAP`^tXB$4sH)TbQYEj;IqaO13C|*zRc>t; z%M*bUWlS3PXwQZ+HvOem7VZL^d-Sk{<^tKJq#qLn;rjQELM^7x2fN=fcxa;+XWdyD z?ph(aZ~9-dYvm*&et3I<3y_s-5&jFXOPZ(9QY& z@9$q8DJrjidGQi((3IJc)s(*fh8Uu*P-jbCtD?DCBb zV8tQ|Bn2s@@lZQRaCsV(EjOj1pU~Zy6E}qo+fhwNstWDPi`FVM*fE`AS}8Jszh{v+ zHe6L+TH*(+(_(igQuPUaV#z{ZAUS_sItu2y2r+!zPp(yN;6d-T6*XtY15J^AiAt4@UqoY7T<`~ z1V(7rJh`+#Z?ungZ>R$OrwgJ6w&PWgC_AP!GN1K5T0a+dzO5%awz=vAb&XR7;HpYC;f#v=At~Gm>gHOFcYL;r8#f+?T>4fOXwmPe;^FpD zxfPzV#v<7ON$cU{<+DVG5~YQSKV!&C6Ir&5IV?**BhsGaT&8|ct8@r6 zc5K%mqFmgt#hlsbk4GQd@-U+8_D`$;fq)^_XM;fxn<~DZCUmIWd@gzPM>WS*+7z-PD9g71cm^% zoUyV>PC!%u1SH@jtu5QTBIUx0P?B5;_pVQAgH(KgVGLqQ|M50T-bV6j3~=Tv{{M_< zVugF^?U7~CJ5|E6mVKBjymO_ZP>`_h2WfBkzf9)4vmYM1@4%}-)J5HeN5}*kfEZd# zmT)IIg*N{q7kiC1&IEC%%TT{KiDv!P+mngFv~;n!OQ*@dOitF_28JKo55f`K?H80{ zGJueUl_qC!QZP`MgUD|#f}nwOSdm2)&IC7i-tbw=B>2Sis>&6Dm6%`BI)nzgBE!b9 z?>X^K_zMrKDK2Rjhw|mDDD9Qvgc=U>G?rCrqyA4-ZAve_y4;lAYi&s$0&4V3xo#5i zD7xVaq(p#jXu4kF*s|rRi(2yq>?5VhbT&59J9C zYN&w@S-X`sVa}JdFnsK7>V2S!*|9?+Fl9hp(BN+^#abFZ#DGb{hi=##Dar%+aUWq> zMUV@NMwbt!BIz-rrjP5{XkL{2Id%)R++~OTI+VuI0Hi%SHs@>c*{>mf;5QxaB=lgx z#@OQ>i&G~7dS{7KKgK-yTlfv2cm*mbuisMAv(w-~Z<;Mu`5GsTY8@~1J5r#v=4~pc zPf~tY>zh%m;YES~Jk)$4YmV4dw@Dvs*a&0T&4Sn}WN+mnZ(q{w6iSVsY)yKR3yfyb z%vHGulO5{Xs{nx{s!8vTW^>zQsv?(3|Cv=j$#nH~#-b_Xk7pQ`M`_?1t7KCOYCSyI zJND{f`vb{X9VFdh_Hd!V=3m!yBb|#QpxO*6j{y} z)&S$b0v1IoH{K66)qBBW%G*7^+GeVq{HQU#+fVRq#@J2rr0$->o{N_ZFF21@0hnGg zV8DP>QXrgUzwUfSyXgi%7dMyid3KUVq`|@#wdq0x>fIWIn{H4OeFopBPKO0!sB)E zgO|Vvz*GSd8rm0qdPX@k%~I3vNM4~fr)I!CW2L*$!pHpbI$c*RNsX?X`2*)Oc&d^- z_m#a_Uqho$T+&<@OXlQc7W~#e)^Qxf7s8?;HoFF=RwM9qKu2Ak8h4kwkM!H_JaxqU zi2~`I`AX$D%@P)M?=JAJf=8%)r%LJs&rvg{i_Y+qG_UOIN1MU&T~u~07uT>(^k`&r z{}olFn^_xOeB4GCTWs5iIJ~i^g=h6r+UDpm04*403eR-IeOejlXu=;Pg-$mKFvq~= z6U=`o(NyE_O6EIrQYJp|x$Z!lCPS>@c!IBD3?1>B-k_vh6^FPHx_6HReH~|g3uj08 z1ldw*%M?VG#G$|s0gA$oPH3^gnbF5TghA~)HQsbmNM>4lCl?TWfN_Ww6ETqRh4}!b zDLK{J3B@OZHZ{*tQ2mW_xVfoQ-cU}x-Q#*M8a+oGTtd+~V`Fu0ot*87y zNDa6G;ONqfp!Iuap%oel*%yK+E*H{a%jgSx3&{2zS!)(=Dkh+RdW)TWtOEN;k$qSP zH-FB>^7j-R?k?@@!9i5ea3-O~R@k?b5<_u>C8A<8uR~TsG9rc_((2geo3@O%Vcu~P zwr6W>p|4pWG*?;rb3!HNn;Gf`^D~=vA;|nCmVxm|c-%kX0)a)A)}T9#9`<42Fjhqs z^u1~wPmuSpXVO)R(L}f)P`L|M2dS{q`nxCeK1u|uwX)AKgO)JOlAevB5sC;zu{^c1 zb}>{YCFLg*=fnjE#!q`ipkX|!A;y>a@G5y%8yD50^mP>Di(06w$=`&0E1ih?68g-t z4;+$;>;s*oJ9rz?Q&-rLsa~Cvzk+++AT{t1d6(YiG6YbI-a51qD3p{T=wX}r zPn9ZOkxmKYvYRgy4;URq;!l|>U3{MOtWB1gavNJiJu0L;5{FsLv5|!_p}&oVc`axl z{y>se`Ym)uWVWQ3<^s>*F&sq(+Hlk33fWfUF-b+;DHW&dT=oI#xHp{8=f#-Yc4X|@x`!%++JXwwMUgY5oCsVj`DRtS z-7;zVZGKChjZt!Bm9cYQ%y+YekXo6&P_DjaH@sEj7B9NFydXVif!?8eHdpge7ANbK z_DcnT2CaRmI6;E+vQsyYLK+wyXuX=&i_r-@cMk0T)$sw+rm)?Na(Rh~G_Y9sPnzGc z7sY0$=v>w$)}O~c);T!x_eLZn%=%(#p0Ry{OT4~?&4FA5&8Ie)4b z=0`Y$X?csAWGDtnLIoFH9)NaPtKrm;Ef5A+XfgQkeQMW2NOo~KzXlW<5OUs`#8f0? zq4~o(XEzMH=6XxGRSiFMTa}5og5E3e`YOW|joYN1;JLSsUfUiPq|K;(T%pv~P-4wW zXNb_{cjM5YBP{-C9vz6XdeR7~cD&BqEKpPLXmubEvLD4HD2}ssWfD8VSWZkqGHST- zS6`x?AShe-GGULHS>mY>oYw~E!VDA~R{-#W>|_+iQSb9$9ZiASRCl!LK)RK2GeR({z==AB9wNpEm zOrBeM164UglF0WGrA#rA_VZ2U!Gnnx-*Nh#>_DTU`l!5nVt+-U=A z8)-ScqPLMT6=+243X_5X&LRiO`*DDvKqJYpNyhD}0Sqw-4cKcOU~IX89mYv$AQQRqm#m&1vJjWJgTBnZZVwbw zpKC)TNQKj!6g=>O4N#%&cH;n~*{BN!E}HnUua>u}GG?xUyIzT6%q>e0Jo~lM0mYgF zAy)>mIDkjDHz-x3J0zGx&8|_1B2ErojL?|Ga>PB50MzJ^2mc6PxL)kqnUN<|?FhAS z_-{WP@(xU*> zlZwQIxZ(j$)S)c%%qga%h)G}uR!DTAt#9{KWZ)re-YBFVc4~Ms@1#A;ydRf#=|qg# zq)@&QTIqqDV!Act9)*RuTVjYvLq@d3>f5vKI~t>lA$w2oU_xpaszqj!ngbUEl!pv& zgx5iSgffhKqy?S~l=N3}9f{ELq>@gE9}awN8_<1H0dyhJ;r1P`)AxaUP?E$`Hium; z?S%_xNo<;$F6D2m=zjB33z3eN9kT6{b~K0SVW?+rtFS~O?$u*H*?f0(z1S18Q8TJZjLJGntxP}#D)sEVg&!>I{(bs6I;VKbI*fqh^h z)o|d4fexJ6Ka?S9x{Hqm>@klvCeWiYL)g2Hy$PulZ~6|npj7O^IY3@8x;hr!3v<5m z4F`eevQ1x01R0dD)6Mz|a24F>EDR|9j9$eCE^2t^yx2wgf?|TXVgm&uZB3LmwEm=~ zbOECx@8bfIj0TKvoe4QCW4T$+;KCkE6sLAbiLPa*gw+aGMaLo0&V??etOtrYvZzG@ zIw_y;g9TeE*=LH|fJ;`x*S-1?FI#RPV=lAiWaJI}5VteJYCjvCwI!6!Btz@>sxK6E`gz%K&y5u1m+dCE=;cZEfEjKn3@ zNw!7&ZEGQw{9t8Grg9V3$vnSW++MR0t0txdKO5KwZ3y;BP457Qyic=38t8bvyFfIZ zTPvA{c!52p;@ZL1G#8wh?L9f zMUhIhL=IMLgd*FrdA|Q95D}4%K5G)Ly;&JM786W9_W775p}GrgeC|mFpX)EPcN$SW za{{zPdM|)(0os5mToN3?yz#vrd_4L2p$Nq@p`kS$V_8Owp}O7hRh~-g?6lV`7j&rd zWJm1^X}yaqdg>{9zChsw#maS#2O(NKzc94@Ibh%^5T6LH=?dZvqi#lVyxr$>mqOy< zrmcM1#^s(?a5;jgFL*1Z^nEOk1_{#X`B*)F8Szl{FWS7w@5hXbz=opm5evu~PYIM> zqT~pt0TL>o=9~WpuF-+~8A&w$MG!E4HrvWy@0GH^d$mJ#d|0fCXew64i_+_whl4!_ zvv+X^(ufG;tVrUehy)6WQSTzS%eOo9enna%=R@w3Z^8K5ffqh3m4vur_5_7S?6ULn zM2=QcH7fZ}GvGk~J?azj=+c1-G8IYh$y1h&cl31mP>mE`djTF$HaG{aEs)gLel75omXA7yVKI?F18^DOK}XQ@4m z4tA}Qh5Z?BJ8n;F-ROvlrfv(gz5@^U!*@TsS%J)W9}JdH*FZnlj^l1;3I<_>cDvBF z=hzfIe9RK*ny5GOPPQ$y4@@(5#LH>M0zI&!QKzNc7fuQWe8THanD%Lx|;3&~B>)benq7sa1@3SCmK1L_wnnt~2SOAT~p4$}ZNCkuoXLavkwSYd4CQd+R%wIfyUlJkD}I+W&#WT&e6& zs2XOwyzc88(Dwk4W=#W;9Zil@r}d|HsTVC$sW>15p*N3}DLJ2MEkB`@(wQLeQJ=eyC-|ptwxebBF0+;AJd2o)k0w~gvkoRJV zrXDoddaycgdcpv-T$ZggWg8q@YJiRA+H-T3etVO)L(oRFpAKqD$QiSu3Y-NsMM@2^ zmI{~>Zp=J$pg4(?Rack_`}hjQKixKzoCDz~eS_|eGa$$&D26o9=+SuDkKHEr{mrj$D#_!~RW11!vx$A@RF5gZG?0Ed zSMYQ$1DU@w8eUm{F+2wULoL+VW=(NrPW!jn6{@dPWI`xijJ=rb*)Y^{xD&Muk_N}t zFWdVjMr=w1U}@CH^C}kX9ZiBPCm%u86k#(hM6%qfDjl1WO+%9fT=6fns~b6;QF)A3 zl9II6$QsbRF6K+GBN%F&q+L~JAD!7Pw`;}`Ec7h6C7?CyubgI zt%r`bH^d}P-u6SF6i#0h*9T8VH0#;xu>1npRA7(WSrcyPFhFRpTZf#MyrhAEfP1Z$ zfhC?^(}a;6o+e^1de|q}Q1((LChN+9l^Xo3k)l5vRpFMR-=p178j^zaWD?I+km|vNW6% znbUd-JW=+js6+pVNvao%07F2$zuDz#4dpf&l}pV@Sry58*^(fR-dxijvqKE>4pN|@ zlP@iT{q3f&=bync_z@klteMtBSAK#1fE0n_X-DS}tjFUe&t_J-;w(2D5_`$IRz6-6 zvI@ZwGoKnAu&+S~j;s&(kGh83#_n_b!Sx~bX&n<5An`(lF2BCNcyyU=k?9!+*py#p z0<5rBoQnLQ#|+g-aE-L=z2bMVKY#=Y;}YWN;9?G@+aL^E_c z;!DUfon0Aba^XUzN4r1mE6nsbb6V_aMLyCLq7}5o`_6Uss`&Rg^51n>3p1_V9zb?o9>E;oPv+U zPB2zEn?fo{Vp;?|w4tf(fNByp8YGb6ui>WjSVjRhZ0Q8qy?Xwa4@J97niOQXaFZ!3 znzH*sWN?c>?ljX+5+b?+m9^X+F$ku0=UmI8PYqtrH?|n6)xZvHB-Uhdn{6UVuf)`B zh+*}4NtP0zric{;NnioW0=$X!{{2&I1jV+(RUk}kwg3#e+0N&|(1IV#G8Eixo7nA? z=!{achVG+U(?+&Wt~ImM(u$0ZAAflL=JVsdnXUGwRc+M%?0RJcO1-CwGflh*?U{2(Np1qkpbvi?Th15$I)v zaRzgLp{zTTMd(zly9ti)H8T3)?D;B4((y$k0N6WEW{Xo8>cdlbh}7N!QN9ZkWdQXO z-ZMVGCqPmqWmz(XV}A*xk|1@e2v(G1UvJ>iPz?2`lAT}>6-k!fsDxvAyE$hp=Z?Lb z`0llYdzNO1>2?Lz?W}s+Va@c!2AQan;kVmUw^%+YlDVf#iI=Gm?X2&MB$9ydI&K}A zX-NdgBw~HWy+*?c(P`7t&eQ3xNVD+0P6Ju%}2b5DbY zxBxYQ<)5)aMoRYjzJ2J`HAASTC;a2mO1D-6o<$Dyta%V5HIg{*KGZowCM11wA}WKZ z*QLg__-@ak>kEfyXpV;h+DDa$*1po|GJCN5@(@W-rkxxioqXD zOIV6aBvfeDd?o6$4`D78;;k+hmy8`?M6wD4VFr!LSszws#_q8f{wm?J(?k+xBwLhm zQt0DJpwOeHp<~{l$LgM`5M<@d7*E9qKvB^z${a*oA9M=!Y&eqBEz%ztFOe>oS@=;r zdtCdd^kAD#n_-VQxY5LTMD>2YMAs`ZDmaH=?%_3tW~f1o)fs9~V~Lyt-|{>$(tlX? zPJ&LHdUv;=U5olUWVo{HxsV^o36M>S2y5e?JfH`|q(K_a1nMDqmPt`ypqj)d zq`XD4konL7%i2=Ra4{DNus2l$&?w&bUW~hC2m^Uk0YN&yTfZt$Dh_}`He6P2f;9@R zL9XY~BQbq3-=a3*mMzawsW*9m6PUVJSaS@#=r4B&JhyTZLa2 za>S8i66l?mgcSME%RfU{h}Ox3ufG3YRjKJdZfyG$v}j?vk>e*wa}61Rh}mv^Eq!M= zw5T}jHeT}%Qco&(91DOG`0=yz*!o^kNRkbPRJKnygzyCm##!f{`*`?V_bsSMpP@D` zT|cyINJ~Cb&VEb0*FLPIZu>VL$N>;=r|P+!sx6Dc*r6>Ss$#GYK2k;J@a$}j>w5BB ztDd08aEJ__Ph%>X>AX-vslmm>K9FY+6!*L;7bQ5ME5K(k>14Tlkz%!sd+n3St&qsM zMUY_Qvt8gjja17^#Sn@TO_#Zorzvri?gw^3n7D)_TyGP|DdXLMwsr~Ou7%-IPfzh# zwQ;}*$t8$uYQuE;&Z1Wq>;E$0gdJZYFX)U^<-^k@GVxc>)(#O&{xwFlN2@co5M{LW z5}VjS_(naxZqWvx+di!9-Q9VPz+#XOanRb5*g3gq>?NKP@z4UBrTvN zVFetyFb-adNpEdK`ygkD@3R{#%F!9JzwuxpONyDsVl_hmW&k89X9$G?FeHn7vxb;xKCtu{kof}lA5;H}sLdEs4 zv|PzUjuw-FD?pMt3K2V!Wbi3|3Y2p$zQY>Ttdh} zIbocx{d9!&X@jh&8lsQ+eusVvo0BW@A|)Y$fBN+9Wa_8W?+$hm7JQ?~(h4(BO1JhD zC$h2D{pCCyl;);pb=E}BkG16-D3Z5$KIg^ zP;0SaMD($823X)J4KS59)>(+svvWEVL8Z`+K@c8{hh-B2oC;n-7i*jg*^)%pWv*2q zc$vF%A&VmS*sw9(i{{)4OL!-gc^0?$#fJg2YTPQc=mWoApW(!Y!z<9{qDy(fSODQAd}tOC3l zH-eQLD5VP8WpXrEXY;8SJ4(U~s|$^JrB!PF+3bnl-^@iWR@YE~p_`#ivmsD?cZ(vH zJ)yjC9TEI7P-5E=Ox|##A*@=>xz8pNZ9&_LW#JexDR_`PQzqe8Y`~#yGK3#I9%RVZ z-zWEb3oV)MH(U@yKOTJ`_PKC#D4>c!Es{QFwSZ*E`sIyYldvL3Q0zhGi~0;|GXw$M z;spB+5tJ?o2?WMq&Lc_Q1c@W7OLecYAyO7F3ruK@R>Ni@tVa`L<|vf&D!NQLzmd_c z;Tv&wDx-RI%E1q840-OW0IdX+$Gnn^E0jJ2@$na1>R*{Nm>7ABgx5VZ{4+BZhw z6E#EHeW*9k*w6HCZ<#I`O0fx0Vymjdx|bpk0;9oJ=Bzrj%XAcu0 zN~1vq+XL-CIc!OtFP0cIf({vYv3&W~NbIicS&1JdQ@5nFrKv$G_~Xe*R;%&m z=sw(Y$t={^A}2uAr601k>ZZ`cK-NJXUmo?oUQ*(lu)09IL?(EU8lfN5%mXrxlVDX= z*l)1Xm-~#QQhk|eGz_!|O`yL5_5W3Om4qYIhO;^8zgY{7t{hhTkUXv>gYp`ZL9Nvu ztjnr3-4-z{#HVa3sZvlO<#Oy+NcwFkfiUzTABR6x!Du%OWak~WB)oHJ6yP#g z%@fq{FR}C$=aSHoUKY9odCD=}6KHGjf`aJ`Wo|4qlrF&dB@^7LZAti<{t7TTB&W9* zrQ#|wg4l~x`WhHBC?Pw@LIEb=NW5Fccn3ZaP!sz}78R^lim zK)nRat>aqK24;swEE;%8_QOgq5>|~sJ_+Qr0lH)UesA1EQeKAM-XDJ`Pe^*@h6jRg ztg!NnPA&;N5h8A2RcP$LPjeZ0Qk8@Plip$UXy>HVMkWd3KxVkZm!zFEuUJ5OM|x=C ztUAR2585*1!LC(!2z-{wgE!2eOmlR(TF-%R;N~w?^xmgNN{-LNMAB~%zFVZig@S`^ zgL{N&XfRCp$x!q-RF(sDhk=&(h>>h4jRLU&7pNE3W<@BRgNqwbYcI>hRN}R?%Gi`g zwCydeX{$%QAHzyJ6AD0f<^vB9omY+|CRMuZO3}ohm|_t8v47kxZ@DT7U=U*24qZ{c zPM*QN9Feq*NQAX1m5JC`rX^EIox2mJuW6zi3>d6nh5qu(9W&X0cch0IAH$fxmtYX@ zJgBMCiL;$`kSc8H14;RV2P@!cO%FFq)EkMrdUB+Z!uVyC%tDRR;>j@dTNWAuHj1YwcwWQ|kS!qpRE(-Ju@~bn{lCToH76al~ z!-=?Qo392r01H$hmP8G`-X#Jnoi9TW+)|q}U7Nw?mw20QFITC#y#bo%=PNPEl1NlL zwrylW8JGF+kbSK^FJw zPe$xaZoks|vH~aP9`!Sb$#EQwjjy#bMy{u^(MnGQi_*Y#5a-ZwR6>)Km-6KooOV=Z ztFHQF{B&f`CBO}*B4}wP!7Q3Bt%VCPLif7C_p~&#lnr4Zrsw@&ac>r=w4OI0VopQb zx2zST^aJ8PE78Tc%+GFca3BK6{ zP=40$^dIA}NaPJ0;@E(56dOHoKynt5#oP2|V$PPmIlrLr4L%$* ziRPEJ7oZ)K)`~8oA*RvoIL*Olj_LMJEtR;;xhDj|BxJ!D-h|LUG%rkH5`}Q8>28aT z)+zNi5F8~>@=-gidDNiIM^!?@XYVdHcWmk4?BQ6SrJUYh(NjQGG+IHAS6}e-oWqww z*+P>3Lk$4*W^U+~_VU#pb0{x$I|s*Zd0UZG_mBrKRgGq2*_~Tnpm69715Ifj9d* zd$pM4j*$R@{0nbEFATw2!;YcAon>q4S$8P?gw>g8l9d-pXZ75v z2J+cmyuC~7dCn@_^&Aws>4eLBzMRS+na^Ua$9f5zO@%(_ed$kNBsfp}kr6*1ZVJR& zRJjne9ki#E)G7@3`+pmikj1cDglYL`2>2>^|4Htv|LoLQITj^UXkDXt78t|hA(a*f zr>PL~PiHFH!y&RZN;2yvfx&Beds08+g~JzR;*2}1qNoUC5Hb(|82Y+qy7y^a6b|+Q zIGeZyB0FD>Q{#yXo9g7sw&e#pEd1-pG34g6hUYf>}u=|Ey>Lw>Y;V5gJd!O34U|<%N-I zjxfYqDmj4ul^7Y)t3_r?{3%^1Dai=%qur5m#_@*WhG=gUoAHre>@wL1*yqOsRiD#mM8BLI>R|B9@t9br?>$`U_u%c zT3ix3wcW>y_Y@1zsXHesKPVfP-MsrMWL2=H04RwB-N~zW!0hpZf9F)-gV31ZCtQ=) z^Eqf${Kq7CExMaL7Xt}!8GC7((-&rqC?3@g@zzPFBAsJNajlkR>e#B0BRMq#k`5d6 zRm|%lZ-82pe=5zT;W0G~_z#DTVl}*PO}+s^uI9Qyu|sjAr^T{}mo6hq8EFQ!oM}C| zni(I5X@AufumT5hOb*|_oG@#T6V?|D`Gtax*oyELyk3!lsV($KhTSIPtjNwqJQQY1 z%IRlkX4!~wDRL*mX{JIw?G*(2>y2I~H4$lTXGjl?7C;V@a%s9Hjr|ukb0D^p629G^ z=D0)4aTH;38UZ{{*vM2A14JJ0nNw&FgqgAAkCUux4SEW*QIGiHfxELBoJ&p8L6nTYJCqIXwju5a?Fq(j!UiITZPZXfso#W{Ub=GFU6O526pwMy5{1d+dBwH`6;`q{ z9d(_okD?ndaxO0C-+#NffSWRE_$p+USEkj&Nh89?D6T6@@kU!^wK*SUL{+R{utB5~ z=|;g}pZ*1PN2Jg+FTw^<1yffgs_+sb+lgIgVO9j!L$}N%4TQ#x_IydHk|`&{|FVZF zu{^W1GIH^ebtfC;70AWT^_) zMBsZN;z{~$Rs+;&zuR^h8*nRLbO>$beW$teKA*VK`xl%cFBdna@ygjK)=_4n<9Frx z$u`PIjc>OK{{*1O6FjQhA&hh+HiYl z0E0L_KPE+r+5JL;G}g6Up#B^GBiN-Non>g<*FtQo2=1Y1!)1kPjzbw z|7v*R+DJ}~QbOvb=>%J}WeYBt$ms>e*{x16MGnO%w=6%5nj}&gCj_yn6sSr~PVc@$ z8!I&b5wcwn3ED~rR=N-XpXGS-R4KgYT4=EPo1JrhyZz<|u+c$=O0C>duMfI2c%7Gb zH#hlR1aqKpo62D=tWlHlriV#=k^d;<`P~NV^kLSLwlwxyvWESYGeRw<#@E(Be z+bH>vRwb!s*b8WHuFWpQMjDm4y&faRrho(^tm-spYP1odq#GD=qpN@BA?oyc<5nna z${<}#r>3gz6&}nzLC}f2%fm0z z$Y-#X*B_es7JgFAjA^wIsEwU8N6L#u3b>a$e)iGi-m^JWaa_NFOzUQm(NsAP*wIo) zr#W%a4q*K+6&HyXDscfrjae^!6yUV)|9*0EbiB8^myDut+PuyW1<>)CGEaTo%sO+; za}bd(X5@+9t^m&oHUJ1JRL0?vYGoQz#B8R)%Ll|FB-$W;Dv_>3T|aGR7mI6YK#u;l zl)=N^81azhWh;R6HSsS?pokrSf%#cEaE8 zHl#qedvWpA!)G!DHV*oUB0lsmr$#~-ZIti}%Ndd)|8WH(yPz54xlWn6W>U4tb?Ry0 zyKm>0Qgfe+8!PWuh4q@*0U1kGp`?6Zv1QVv@K%UFZ!~5$M8f`Odlg*fgUKWrN10uv zrl*uGs1`n-A>TzTQd^Kn6%@?e)#B#DJ*mp9q#ELFm~nc}skknlsPni{WR23nPomqOd=Bvq(sbmD%5f->BOnzm%(5LYRF~Xz*3pELznPgqpiOQah zLc8_fR(GB|E7pX}C$G)Q6Rl%4_K+>DbivhkX|3+SoOYmnDUX)rA1Y1YjHTg@u5fzI zl8;^FEwkXA?9%9&_k6H)@0Uy0G$oA;Cr(SP&bq!Wa!reBE|5EZzF_w`#x28sV`7+$ z+Wrc2UcOp{+wH!q5hKBtg_y?JIR2BiuUU@sNRoV&I*Mk5c15$FM0-@bmN=MldOA0WM<@-k@*$6dk-_#-H__b-^d6L z504|VIi4x+-&~Wqkkvolx9cS1u<$`L?wcK~CtK2d2g;%7@YF)5a&izjn_`ATL7&-qeopfXj_m2fLw_&5hI39h; zth%vk;fo#U zsu8!g5PUi_O-7m6k|3t49xV%ZkHL3Rwm7j-$3N*t$w$MJbdx^kN+Th^Jx1wF1};e^ z9-VlRVT7=SW|eBoDM~GuOKA0uUdf~ArSjqC#+F$tTB0&Oa4+JpiksJFe9V{no|-z5-V70~A3=|LhfV4vjQN)q zYj|ZED)g-!pio?Ud63?+_XH9?3dR88)t(4v=;uVOfAH{%o&o1B?dsA{?c|{+`E(bR zZM2_b_Q=Sa6VH)bKIME>dTUYkP@az$Tg?ZtJ7j)iVcfF$D7j!aarCRD(tH|e7M)5{ zor`OOf+BOoVZfi^9RZRiVo#DhaC*_f5vQY#O}YN`8)}&f1)<~8TZ)m{LS6qYfjd$S zRgM%Yn5Ojl1ZbNA*EEaE@qI2e{L<{ za+(cuzc6nM$SzR9E4UQ*^`wG6CVc3)(-VaZv1r*WaV29UuR4Dj-0r^OK@y$=_=%i- z>SJ=xEa%V^qna*C&PB)&rNa~R!kR*N7-JU?91Je>Y#>2-ji>_4of`KwHLCphtaOPS zqR@${8FvXsoP<0yoiMgLVW}Mtoi7|-1CfW)LWbPJ-nFjnE@X#? zfCUJ62;hzwGJ_@=C1El3IDn4)ygq>7?us}1Z)H^4Mrx`(dGbt@^2OxU5J*Lh6-urV zRI5nJ(WPNBxyIjk3q@O`ykQv!L2|bD6;-Vg0#k|rey5ZbHW87bEdpkEJm-=Mr!5c+etD8guc~;6k$Ok(K|f$(~|5 z_YIYL6c`@gAk|B%z~Ft?3Pk0B^35t&$~pIf<<=rJeXE5*v}GFtjG~6;65S}_LncAr z;$c}hLbniicm;Ju!EEM`Cr9CK)f{-A#7NdV&}@M054=pwUjSi2)ir7wOtYU~3<))) zJNR%_PDX3Mk|`-HlgzJi>eIo7B3FJ`qdEf5ODPN-4ZpWbTs3!n&VSu5Ap(v~TdE-x zSOn3ls4QT~GH~1SJmVM=c{Qj*70=jPPrpLoFY78Gu6w@{!ITN#6u~I56X_g_&aWsE z+o}M7Qi8msE&Occ+^@j`!;snEVz@LdIUpnZT{W5n7lo6~IvM!7cMuSl3i%CPYY?U9 zhz<&)Or?2?pQ}f~PY{V0U7MTBU(teA2>4mBCw1W-PBAJ8O#~du;KxJIq^<}pq-2s` z5cBBqHlMA;;B_QjxM|XEK1Daw4J*0Be3GKIOtde}h#i)jOk}9c*P9P($b$BrfPNbA ziy#jeb!8tIoVzXi=THzrwIIG<{<_+qJOb7G|Iaj)SlcmKN&JHycfvAI_3CgkEm#&` z=N|Fq7yUd)Bo{lb7&_j}?s<^;`!31s=-;DHXZIfX*` z<>w8==ZyTcg}^;?t6%hUF;P$R4uvQqAI_4a(41OJ=qSTJDC(LgPDANbr8aSro&OA8 zEnxY?ocVJ4k3Z1tgLW1=f)N=sGoON$-6z4#B5O1_pL=jmgUUFXY}R^^3sShR)7p6z zfEDHYiQwAck_4$1ey#3|scOvvSPp+Gyl+j%_oQw<{HYK<)DG5SuT+DYO~d4gmu9r9 zMJhu?blAVHU&T34(TXnHrt56ogXv%N*ku%oxn)za=AxGChH`|z|E22Zje3H2qfj0$ zCj^vn6shZ(%0HWTB(bbW<0~fRtE>?RH}NN_(;@L}5p@qsko3KGhsW}@6+!1D&Crx4> znz!`@8m8g173^1*nSQjhbAVr-Y>`+*B)~k;6+%!*cj152?w}j80)hPJ;%u=bm>@cF z9T&*|uekVPa8P_9I04fdv8CMWyUPy<-|X41^Z`4`xaYffm&P*_;F&ZL>4kPpUAcMI zUjIt>lUb1>;7n|BSq<|@IImoiAjO3bmd?MKmoSB~W_Vm7H*Rouf(#fZ{+F1?pPpj0 z?!;~{acc}~-UHhG8UNj!JwD26ad(1}%;jCN{*BYeg1Z79U2T^)P@F|}*ke2)K$3Is zB}K>U8BYlsL+eTaYq(a;)5Sqj*9Xsn)v(2%nW)%Dga{k9UfSF>DOIF(HiVH6%aVG2 zN?c!LKejks9j(>0z3OR{C-bNV8){@2InQ)GG}@ds-~ zG$(U-vjmlaq}sf2GL%V9NO@){*G09IYu?V`y^|4zg%8sa31<#gpWju== zjYJ+_a?jYfloqvCB^~P_OWoENVkW8Mmh0Gs^NVY}+|ZaFKLA2d98|iMh+pc3IN~rg zSDa6QU9oIx6S)ZGBDjF~B!*e;UcvAY&x&XZ9!BTi&jV{D6q&Owxvm?N#Zq*ldS zBbmOxNHGS)`_e(3rwb&vU3L#P2;b65_Q3~3$R{7U+(1CR8%YNH^p2$3jBt!vLeyM| zegqm_Y2oLb84Q}aJ=@$cY%KH}D*N_@^{3__vl}esHaW7%LdIvJZ$uuo7!t2&bsumY z(`ces<$jI6j=zC{E0$~0Y&_ll?<7!g{v)|Tx~IQFeNZIyLbtlqnZh+8XJHLX zZF7o?hY0+uELqu(7q72mQg1u1M1PNh4MmU&aO9I7^+h4*wE|AUX`egR$N+ugm&eIVm?EGhcSLgdrR5pw ziNp-|ATSwqhbJSPm8u{qca2Ot1_Zqx77RyNoG$w#O(o?`_ndM3M*dwPEkkXpOtKOai_kSSo#X_TGbj`(^_WwGBj(dhPE_$S99V15 zG5x6l@;|XMujO{9(O?wmMKXxGetx=3(*cvQG#%Btm!E!rPfwJkK+XY~UW;rcX87n; z+a_`M>Of5z#aiVtpcScY{xY#T4&>*P79S<=TI9%Pv3bePeG)0z54Vw@y9KK z#A+9SnXP`cOt-Nb$7o#XBxMI0cL`(*D$Jg*e+E@h9FaOgD*6E~`(5I=GTJH16gdpi zA0-DH*zA``>w=4F#E~HuUTwQ`;<^X11KDC3B2_^xTz0iLPozsbksIQaic2NVv*|$E z!5ztb%hx(mGj&^g^F>MZ)GQP;alTx`M=hdEV`GxHa`|4sKk1;<_c1zTatyLVChx=d z)}^XYC@WfmX>6thNjbkIz)1Joh~je^urkJQA%`gjWT2q_C6&Qszk>Nn8_LIv)&}X%G{5qEvq#r(E z4Df+XrN0o87f5D|zjl=T2vS8#eiKs5^!@ug87=y?NCPHdup|(MDs2{q3p7%Y*l zqIb+Wr4!LdS1{dU*)ASkZs{z2towhqi47~$Wwmj|rzs(pgM%lDB^)$!Jx8AmGwhB) zLra(lG<-@YZ2QCXwU|74V*7(YG0w)yGrd{V*(e)*czN zi$P{1(7j|X8?`dX4WL|>E$q^^B;6hCTId=Ffip83mpfpu%(NyBUb#n(Z*U ziENg9>Fx$tp9?(`Z^o`p2LTdPc1A(&{!65`_&9>cHNw&ro>G zm6CiHmYyZ|EE$uExHZKt@L$oQlS$+&(@ck5Vp;_MhgE+X zWV`LpAgi;YesE+Sw0Y!vrNs@=NrSgEv8E)V?RNm zJ_;b#ouu76o`*5lwEJJd2Yv^vUxJT_NAG3%uFZO}e{!l<9ZK=>Y zyqK2&V2YYE4BuVgpT^z<1to*C7NDW8D9}8asjDQ&s7a0E^Q2_q`RUysH|lAIcMQwv z$eiXEeKa#9sT&3q`B9G7!+yN;LXOG$I|!pxmlS zQsS*}HBY`D`BV+7Vguq~a|MkGp5&R}rNcSh@C`zT3%U*h7o+5Po0UtA-8RZHVNn~S z@{dE1b)WmWDvScwRa7@o`|((C+>=yRW0Q`;B`%;l1~`&)#0p>h*YtbnoxD!hLD`SsV6qrJEpn1i1>Kx>x9V*nrIjX2 zg~T|kNSS{7^fxK?Jrjsfa+Zo(kZWX}Q;(FoumOg!CR&Zbx3L!Mw1VG2-V~A=*O@^G z=Nm*s$fEe1T-qqr@PTi1R@-KS#2zuGF-Q01#27w65WqTDj8H_gkp&{w8up79Cj6 zE9uQMFk8XX!yWT0pFG;?VIc7hsFnoZKfY z6Hi0S`fJ>GuQmMbih6^4Q}93g_~CQ0O)Ra!fneb}ZDgG(EW8B7S&|64yV$JuS6b|i z_CXmY?!N{>_0t=SEsa-=3Hf2!zeU~*3c#-DqBKLm8ZwTkL>|p16@vy3F}-o=v1o>e zL&CQi$3!&l*z!OgjvpxCyj|ioF-H2_aSxNdvQt5_S2&UBWE4pfMO(IJ9Iy*ZC|Mu+g&(xD~7^M=S6r?2F(D(mLCRt&i(JnO!n5XqW=~ zRvdF`gJPbdWv4sHD&6To)ig887p;td?=dMcQN>3w^8zzziT9?&NJ?X2)h{jxlb$%; zS~8U^NER(q2^p9or^|ju6a;*>(GD~b@VBVxqFmobvegQw*qn=vM)#Ke)fqc_8-0nk zOc{^cg_B6()mD?NNl237AU@xx*XwUk9*L{~a0BGZr&|LoTeg&ZsxSp0M>))V>tDhq zETc=6zHH}P3TAOBO=}6I&Kr2rWlXwZDtVT=KpbDtV`FR;9}zxKYFK;ZKu}EM5NGx& z46`Y;F?wZkI=xS}6klQX;iszw29@=$kV7zM2E)9%OeV;y1BqU+?J3?KA$;INWJ>Zs zV{GP6YI_E>ur9jl?toRSxC3-#&=W1mjv94Nd(6?2_$A;X3h6By#^!1~IeU*(7ArUL z@5;uK0wOgE{wPL4xW+$WirD^i@8hQijE_aybIAf!kKnMywNlBnXig($;7+E-b zL{j!_{vZVDWVjHik?*rTWoMUHSFkxQjh5vaw~ObW{*dQ2bpa9s4#p)QNBHcc+F#^B z@IKvcR@b62cT{-vMVP?UZ3wDp%DKv;XI~6@>p;`5CDkN>IWKAQOE9b*!#h|yo<(G? z4!0@`!-~h6%$W>Mew3D6$_$eWfUbgV)KBCIygiQW0~~A&0Uqe^GtDg)n}fqG zb0{yJd6_Wsw@aq~kz=!wXfgr+TZwv6t;Rs8c!;PXSl`@<3Y1QLJgBgZp7n7q=&j@J zmV$C&S61Dfb6qk?VAm@+Omq-^8C1tK<9yKt61*)Z(q{p~Fg2ACNfA0SP=y zl%$(8V{WCODo)8o&(WJVr{y|n%Gie4_3OTc@Y{QMZK#P$UF{P$V0KDjicqH%6gHqs zPaL+}2DTWSf(O~fEcn*cdq_Uu-NnbdGhk7Y5gtc4Q3CIYD-FRrBC;2**@2BSLJN`! zD`O?UkM|I&sGokj6BKmf@;JPX^GS3!R%5D>U?c(c2;@31uZdAu?U`T%wz*n~j?1UB zK5CZ_SfA_TJf<)SryCs96g*uq^h!&R`^0C7Zx19nKm%33RC550gZcmy{g#1^3Q}}Q z$Q8@^Y!4f!S~?li-~kl&FDxL_t%|J_U`j&MVS#a)dk1SKlk?&N_Xp_FEma3q<?@z{#cje97V-jFlw3D`EG3c)Jc!?(ntVGCWoZbvVDAB~E1Y&4N?EQ&U! z)Py4(-CXtPDpP51mRJ{&Dl_5F*$5*l62KKYSH~h3$jcAgS#Ci|?UA!tJhc*r#fw+p zeEy}5Ms*5cP~pB^DK1gS_C={d3SS)Z*{r|M!DQ2D-F=1k(|5D`&_kq?;+aX)be-m~ z^5@koE9=O+nr)_q?K|M(4NO`fph7W@4NyloN-ATj5WIfRHlwJdS}o4vJ^TfMzpwE^ z;Gl@uXxFlp{&|Zx8z^twT%x8!OX1(5U(M>alims(W4a{B?D1yMZtNF7kd-2dih@V^ zZM^RXyQx1u=1{r2P7NcXxhbs}kQ#jDB}z zF%ZnMPcYwkT%Y&NytyZ7*C$&!H*)J@uZb9}he@PKRteLsce+lCa8o4r-LV5U#W3}X z=xcd*24CG%6?92qkH|T*Y+(J#=|0NpWXWg_`d)`HXt)l0*=v~HHbwn$bHVMX#x0zO zoBjG{9GL723vQO~iOpSvpvOxWMu`y-ph_X1tv;f7L8al`5VYkI>&kd=ZIzGB4w}+{ zkQP%toU(`HXVkbSaGzcY^y6;<+9MV7Jvj;pEU z_4p&h%z8KzZ#CPO#6FCHQTH^MP_@|cRQe*FnBxy@S)>oWXcNP zM2-O^dF6O3F!T!!x)~v4?)Uq5a2FVk*F9-RTOD(S7f;vM=lGTNej~q&&7sm$omd|K zY#4?@+lZWURVmlbiI&2tUxk#@lwNM=j9_E2zV>eS!pKw^HF87(rR~ZBB@3R+4{Jxw zJM@cv2MG>TKvEa+1`P<pImozE-6wQ?>0|>M($4ksu&p zgfhYu(LXqWcy`k}Z-%g=eOj$d6Liy`XN4cVvr55LY9LubB}ED;H%s0;sURd=6=+p* z(p(YnjBe4+nXQu(!5$zc21<;QBmn}pOyVJLI6g{Eh)R-;Q=*&RfP>Zm%M&fbA=3Rd zuZAMRmpjdk?=LbSd@m>CPpyWtwAagA_1^MHl?PU!+%8$0-Xg+MR?l!k?S3Mk#tID* zsh+<7+)-;Xt~r!^1+y&7PAsfu4<+v4Hck;`DZE#FIq^5Jk-}mamm{0eh5>Anoh78j zPl3k62wsr^R~6&EB#u>0;%mIlACPo0_RHcsP!9RuL0_YpHeqJsCPKdWjyD+)L=x@k zA^S0M*|o^s)Q7|!6Cv0nzf=p5`33e>?PZ=g zXN5?7eznl(NJM-sHNf`Cw`t>2_FlPLXDXq)L=!| z5OlPGg)we-MO^gKV;3K*Ibvoq(3{8cOK6(HG-;jaEq%8H%W{c>%@!pWSUANs|14cd z586ZVTPUz@&nfDQ|3OkU-;f7?IGhWuR9B6^1(pTrl+t`bGXrR^wMS-njm$U#3#6}b z6XCzh9}UXe$hc&760#!-PS7UUrn za8)#|aIgvhx(W4x1fiLjz`$O0@*%R=0YCR!5-ajMmpBLt$*P@!^`Zh7pk@iqb0bsy zYaj;d3n><^D1`xrOK;_LqtvURgLJ?(2f3O1M`;%2NaBCbB%8n;HTy<#cv(3iW{q?~s>ogKJS*EK~vjC>X?! zGwj9&3x#Nc&&>Tl5(c@=3S?MS^=p!I^?yV<%AUBE+i~19qh4?YZm&8em>Vb&k<6EA zF*Qn#C%RpvaaGHqEYjx6K``EGX=>mXiDrSImW;Gg$BjW6Og62<2-Ux}ZgYaU@QwNt z)i%4Q;&}KXXx}RwqiOR?IjU~1lX1Wte5C0;Dlqz&xJsXRo;1QiqVB+aKa*9HJ&^2;+SwYx&)6N! zFC;B4T&?*y`775iQf?v&^Y)U>Txxz6zksLM^Bf%$6j03BN~o5(05?F$zmMq5tQ!+I z<0-70_aJ7b9(X}!NLq8zA{ajxzRb0UM&n2MOcoS=WFzlU$avh^BogpCIf38&jOCBo@?;Hx_WRD z|Mn}G@k=&CQmKQlmmq0v-;a*eC`C8czEP@J4am8+4ldC|gDiD%$g2y*LXfizim#F8 zCa3BlOvU+nr%%9NpnJ1JAE;_hvOYGc2lpka=zaxaH?&njS}X^(=vIl_pu;M{{yBLy zj~HMbn`I{b0XD*O3#-~mT1i+Wh|=*9OM$jO7nDO15tbfiahhXY{)AqF#Ln8+-2({R zx@6esz>F}Ph>$l-1A3p^>Dus>pc{_&z%lDl1;+MXWT4+CVHt7pvQov%)0f2r)qTb$ zxY0z8li~;V?}`X!ZxfsuI$Q5Hr0rp?VIiK}RdS`HB_Bmv5erP*QU5j35mRZm-YZaB zR4MMjPp9$KJZ6D4CrPFibEe0#`~7;7F(v-))_y zTNW;>&6BL-r{CeT79q8q_)bYLO{M)6G>7%Y`U(&`tE*Pq)a}YOY^YZZ1vS7FZ^efV zFg(w%%W{bb!L%_mV{CmuM<-#FpnMdRPrN|-6afrj$12h#%}Qv0Qm<&7o{|m|99Nlh z48KxFHdmyevfd>O^JLn&SWEIvIg3Y&#fVFYImLylQ$UA_aIwgAO+M<@2^~o~tDfJn z^wgeGp^AKsQVn*;-lH&Pzg|8-Y^%xIV=^5WRrE~cWz_suE)kh%-dibM;Zk99lKUhP zF)EUyN;-djUcY#G@-?WxOY)&d0n($9OZX_r<3)TP2tkQO0V0@93f`qZfB*g4XRmNM z(DEAya4E?n#RZ&{!wozF8W+p>`!NsMmVrDAkaBQ#K8mlBL5WOy$PNt&J~vA;gd0c7 zYza9`99@-^bRB$*N1;ivx2ZI=3c6|HtHxb%8Ws-%>rr{KBu{}i-(s8Eba{<1|wt@t#Qu&4@|deup~sUK0Btx`cJRua)l&cs)$h$;w4_|_t(2K_>lX> z^S5tbpUA(bvy}QHmxaKtKi%&>P`nt`kFaiY;*{yhjy!TaA6#4goJ4(7-3gM&0FJ@? zts^vdaEht}y^Ry>TXK}hmQln701)bS@p|e~oh{h{hu)sHa#E zRYw60a`yp1+3i8U{q%bG?#li57lPOvE<{mnaf%0y&Q4ywBVu8iYfY+|z#HfbA9wJ8 z2pEq&)lvBIC^Li#;}_kksAq2;fR8XvDy_S?!RCK6PHg0XbS6#ul@vuSJp74afcJbA}f-1l;0I3 zwBTpJyR@fv=HxoF+PDYhlJQJn;cs_WD6KmzzJC7XHQ4RBaa9LW|JDk$?nneJBHXv%;_3Za*c%sj z5TEjIqyF2*z%ZE!JUSObit1wcjDakse!ct^8HwA`#*Gp|kAp;zw}F$oP(b$echv;s zDhzsfadBm`YH{NpuKIkv+~X1M@HoI7dSl5ByKppZ+fUy73M!UTdWR@&V%73MR@X_u zu_9l2GQ){^Jgj&M^fG!SPiZ<-Ccr&go0UJ)kAsAVO3$_7t-9O5qOxOE z;1kc4l2uUoH3L!Rb08Q;2zxpTmi}xpB)NAOb?{xZSD*G=7&f}|04{XAR z^}8#yccX!=f-vV7%lT(w(cTz&+|7?mD@Q+z>ZeB{UYK2bP4RHSW}D}(9>jqT92^+d zaC164tnvwCi8qVSPIu2AfYWxiX1}mH_-NgrVf|UqLf|QXmH7bzQCldan@hbcUlN3B zHf`kMJ-+irBY0$tM}XPm05F4KP1mFr-v>F#q)+VmU$jtV8exf(ne)@t&+B)->EYrt z+?NNvnKU~*TNcd}n4-YVr@9{*l)*n5YLIg~DCcj5*;$jdAVP_1#8^~sSWUb!&Wj5g zH5rP#WFCfUee>$L@&v}=Ow+$T!PkND-NCQV)YGI+?SSind=CI?&aqi(sk6OavdmHH zHMHC&XUCkBkG9GwlIx9jEtaW!dF11<5zgx>18^;obF;T6sO1uEy|eQbY|u7r$i?_q zz7n>OKc$>HQyp{-h&TA!WKk@DY7iDzACvz*Izufln=QZIu-8rcKq++ap^ULer#&Uc zA8YW<=3@eoi2rIBjYTC&=uk?kmI6wT86q&u)LrABZt11t!8BmqPb%z@*_P~U3f?rd zAExvYX4vb7zxXGW(j+B|l^bi^Q#c^w@igF8vp5OZ(8g}8MY`C7n4*^{fL6xeYr=ni z&(@%pn|77)Z|-iWz6aF%K;a=wn|AaE$^QXCGwmu~U1?5=`<|XE6bAb9!$+0JR~th! z@*I!0r4zd0B0+F-y; zS5OJN-D2x!J`ozOm)fFYqNN}qWrYdO{C3!6Fa7qZmHMx?SQtD7i~tW3y@+(UB<@P- z)T1gb5GP?ktoMUXvM{q|KG&F}a_HC#P17J77#f&o zl1JM7+`mGwR5UbvLiw|&LS*~*9nx)o{(yQSacCYcp8orvPaiy7O!$1&zxfR8{p~G+ zhDnC`fttIJ5O~xNJVZp4)T}L~|6pcy8UsnbS@C4FVFO^D^@XY)T&#Z)l~7tJtu@@} zsAVp1p8Dd19@6T4H`888{bG(u3gHd!#^wB5s5;yeQn7lD77z+b_efx9oU2lRFlK+q z$YOM~!C%8~r&_I6B#cW><5jjzlJ)5!;X~`YaQpgKmdoK^*H>pscwl$FRGxE$Dv8Xn z_2BGI>q#25{vZHHfY+C|WJp?*0AmH7R_=N+M66}NQ5nkVr~mrl8zgo)qEt}p-&rqC z9y#taiS&f$C|Jv#1KP?AeK*3#NW0h#|JELPVcAJoQbY#jj3iR|G~F+@&m_2%L!OJC zr@H;zBvd)6@Sk0Y`uw?~ifNmTtZuXD6y_vgUgp(a7(NYpmT;_*65ohjs!uqL(}W;P zps*lit|ijlMsvD}^dxsrJm#vjC^Qg&TDz)-2-Z_eSl+8Zt%!hob9x4GMHk}1O7)as zgJGK;p$Z%EJCP2aGK`2@We@9k-jfU@rmOg%RsJ(uPS%n{DOFPn2RSw&Cn3Y}lb4RL zP7lLqGC*SZwz=dh_a#^$$)>@Jp4MU?!FX_IH_&fkf+A(f6V=%nxMbj&V#UaETD#3b zD!t~&1|Jgi{;7>g0r(jZrRiw~4!$HAu|z>ywL!s)ub;n_WbCXRMox>0c0ED!3dOdl z<>YG=x4^9&+<-2Yg@YGBSz-fQ`;6Mv8hdHl$EX=J`eVSBNo;jWLmVbSD|0oFnP8qt zUuB(E1q9PRHCkZ}GLlnpN(m9j)Do#ksomaqW~f^da2*nJeR;Nr0xVkj4TX_p_>G0( z#d^AuhIolL!V3gAOe7@V$ZE-kq@aN%R}O14IEKLW+mj?COhFeCMW;pWfQuEpWI@R7 zgAt@l#!i)_dWgu#KB{%_-1J)Ugw%QEQa^+j0+NqpMk`ZI zo7@~R63cE^m%V;JV)%ldOH%9;t&b&n(*`JaUXO+=^{&@Y;lNqF16jIO9im=3ao2>+ za-uPnq{&adXGeofHfs`qa%gZ?KmBe^Wts!|MtS2N{E2uCFg7(Lxg8ln_id`6k%D zjA%DH70eJ5xFQ$5uw(*;d@XV7`OX1jWprgn4^O0yo+%iwoKzzuca*Wu;hN%tz=0%66Daz}!J+yF`vm>IkUwn8>hd=u%-w)k9cHX>WJvzdFtu z1w!jM(M515+4FLi7XP+fU!Q@}bY-b$pBw&R2bph{2M{~xUTApF!fhrz@a<{`XZPKp zmX)Wk%M6r128FsgSB|P&*o;a5ynOP+$qm@WnS}4jpi1MtRN}!H9v&W)=8(W+3J4l6 zjq%i*?^;$&1N^dOq3^Fm46o++KMc(nXhC;z(z%d zlM?lhT)HM0({7Ipt{4+#au|{K7^C9-$6P3iNGHzO&%HdqWmvdBI;YyoOE+w|K4x14GgP5-Uce^X1xo9}LBri$> zV*Z$qqvv=W*nkEweu753I9`hNr$xWo?e}Xm6F^Pp3{6g#Ih5BXQcAFs?`AEps2;70 zo+SE9ZFkHM&3e(5WShb$T!i*42sxhUU|A_Ankbp_&t9Un4~mYFy4!wS-?U*m*;KC6 zkE?d@W-A)=$e?#e>E!!PzQhc><5U{oIHROb*?IfEfycg9giwjOgAkPp^rMF zUj$UnI?jG+onKV!-hucUbkdPUn?yK7B3DfhuNrjnZhKuUzd?Mbt(R#@<-kjmHKX-t z!)^X*0icE_ZkX(h6kh7tsyApYCX!KuNiSV%^gxGR2km$@X zxGNJVdbZ7khpmSMeu~PmaizehO`0yrCnC&D2>uv-Tj%)T1EJ_Bz+*`L6TqON1{@6( zSqpNZ$Bz(V1lfM}BluZ+Lf~+pyECd3-V>>O9rdRKLzG((u>2tgHfYk+De5sv56^QLO?|kL_dM9!7y;i-? zg~oo5I)X-txCw-5+V6vx5Ys%TuPeDGnKMuTo3Wd%%x-o{)lSX^5?J+SQ!3qtS9Jxe z*Ji5Oi{?*_sHpf@b9uk`+*&l`h)=X3q>&4XK=Ev#J;4@kkr4B@4~NIA4T>HGKQFy1 z1mj6UABUNrZ6cb-pD%bi1n%J>G~Xa>kuf=>GoNaZtUpzsI#?AR5;ZB6Iyd-+^7Q5B zJaJZQC22NDP_nv`M9LpkF!~Y(@t`#zqE9_u_6F)NgVjQR|)l;ADF zQ-e2uSaqueT65a=O2hBXbxM0Yr~}~N0=7-Bnh#B(GH(l}njhE7?s8ladRGZMTpi&x zs`$%&#MfnPjkjpltF(nGG%-2{ZarAst%(lhf8ZV`Vm+IXN(#XmJn#;?{Ha*t{JW+; zpbF~(XqZ-ts6!u9jW084b`v1AHS=k!1U;Ukq;;A~DgG{GX}SQEa>*H8b>LJ{ey)&H z#xzj$O#AGy<)l1sB7N%HEm4xms6ccfURv5tLXD!|Hy`r6M*24)H3mkra*UELzNuO_ zvcPn@fd&5-HTxj!>yNNk4~J6);f4&9% znPoa=ypvMB#4wWUO03!FBNA}}3t3$opIXb(6}?4*?s|3d;uMM**b@r4W&OrT>MOZ; zGW;N|P5x3&jkXXP?T#fPaFf}9*~TctSUkPMnlX5RZwIpZ9`+yG#osjI#j_luuuh$o zr(hX8d);UOhV0M$)Ti46?VCGNStz(cvz#0my-gu}H@a2b)EgEn;C!4eiJ`|Jp@~oX z@pYr_!kR0DPnT>r>8C<;kshp)>3Rw7>A|??Q`V%kwzDLCk@TeXnuV9$83{6U4)fu0 z3(}hz7cc!l*NEHrZHOekyOLln#>*)UxrPFrZs`$%ANkti3Up~zd;mr!GonI}dXzFG zED1pR%Y5Q|N)Oqo{Sm(3b{<^V~$!AS3DP06_Zo4j_47tsE$0gRXpq(2id+?Xt z^&Q;c>ovegc9qN5Qva}c&5(ErY$IRFzr4n!)P61!e;SIJCKPj7W@m>R%;_gOOMQ1t z|LDK}KtwCHk&)Fl0+Bjk8jrdb^6bm=9Y(+jT6)VjNQ(%lCYG|cZXY3PFQX6 z&xk?5XHM74_uJiJrMhLQ>6i2e;y;Ds2NzM)yN(jmvWLB@1{|H4E-8n56tJ@`GYq%- zZi5=Lt#Y?=y`v3jGBzSG0mi zf@$2IPrqH<0!BLrTvuvDQ2M=Dsx`{m&$+Ksp(AW5za=h~P)M+ejoXXw)WGWmq$tBLrq4f!&cC5)FH#8ee-f!e#Oeu-W z#fU9o`%KIUK{hwDM`ay*i%px?N+_qwMtHfj%N&@%=y;Da(Mb_b3^H{Y*W0`G?XM@r zLX0j?m)Fh96A`=bkOPo-baq44EKj_5^MbmJi7AYl<2El1Q8dsccH_SjPJDbt`(b#Tsuq^vU#x~L$1wbv^5A4yil^bgJ4l7eJWsuGSxwil#A^ZIp zhbMc}w?AiEx@)YDLWw zon0Ba4%dvS3tZ@}jG~hJ#37heKwmGofRe4UkfobXO~97{r*-DWvK|AR5^#VG!DTNA z&3nK88nUO5lPEG8naVxoWyk0sjW~W)y=XpShV~fYe?X4ZZ44_i?Kj|itiZPCX->qz zj5tUK)-Eg?yYAd9{B-iycqcTV!2d^8@eay-g9F*;RuE?hVAmfv*2tIqI8oY54P$xD zs-WISSX@NZx@1RP*vYIgD5d$@GW&+Tz$)GiZ?`!zywuvPI=>16tif?)}6ZaiKRj z|C;@Y3}|LUj5dE1bw#;QJFu!LSrk@LbcSpN7T);E*Z_7vm(IWP?!TwE4M_)dCxK;R zfg#z+ncjEFE3Ek+vE|vZoru=MQxy8r=(WYL8+#-Dwx66qdz>X=OgXm$HC8ebF7zrl zQs=VXYzR)hUA`|)2ppL3y%MVRU+?gW%O^@r6YGX*(#Fj2n@v&Zpel#SNki#Vou`KI z5SW_gaG7jR9Pd{M!X)-YiJ%kug$c_0l-|+$WGOC}P`ha2lrkmdZ=TFXgAycPb#_X3 z$To$|4swL#?TBc3;g&sJ9oCo=8$YJCz<;RE70GI%j3sJusl^=tEvb4vGZJlHF>nv0 zFn^Zuq!VczXq^ZRo&Kbq2!vM`7s{)bl03|dDG*Af_0E!bI_&e#MxX?p7)g|7Aa0B1 z&(_g?%#-#0HNumw$|Pq!3L2tL0N-H7rE8{r;N+C8WHMR}2VgS4BIg(0v@qpAyid^OTcQy;<2h`gG8jG~cnN~3tlSg$L`Y3p$>UKy7y6q*$qF9nr z=zvZkDXG9rL#9HWi76M~NxVG5c1CYSx4e}HBdBkUS2#@cRM`ND-Bfl}N<(v&o=XE~ zCx^tf^ta!E@FNJTtMXdaHC6(ctvY_XS3Uh?d%oYT&wC3L@WGNMAAXc?4pQmVYJ`|N zbZ`1~#D5y32>G`b34H;#O9YQ?h;6bv#R1}TPR4=%ZALuM+*X;y%R5jsPkuz0YCXa~ z{f3i#BH4`Y(hPJoFr$ERl?$U_-7NT3ISeqt39+abQk@eB7XhllQX45cb%Y}P(lrh8 z^~PB!Uk}=I3m08_L!!{!EruXC-@4Uk%W$ZmH6BXy@Vh5Jg|hH3^&~dioZTrX5d)Lb z&ZBu}8gmAf^v&+hBW_xVA3ZizE!KIbwK*p(@BwgO&8 zGO^O_Sdzqu51{nhJpz-(6C|^54~9ZBGQ>YRBYq;oZevw89k&3j;>zEnT0(xg+1;Pm zCV~{G^z---S7uTQnj5j}9pFKzkaiVMA)bU{bgD*4eqF5gfdp zPHMG{4oanrM;RD_I*MS9wLR_Lf34SCld*Gr-uRcm@@*E#UjY9=Vp3dthc2drC&sxTyr|!%7f@VH6GycrH(m|x*|T3(ko}VY3Mu?> zP=W~~Gq45a|Co_=c|0>mIQ!i3Fa$wVasOE3TNBW-IAPUF{IiVkE8M()a?)La|4%h# zR={Xd8bvmO`LTs&SkM(~Tp&S=#7ZuTHzq8*5l4I0J)NB#HC>~K)Fb4;-bYOHmFzDz zZgtAki#OOs=x@-S`wLQ zG|^E&@tg*Jgg?tB2XfMQ)hGSU5SXH=7Qkk4PL8yB9S{af68J{7icaFcWs{rP_w^aJo)dv4ogT-*O*HTG=t)71{0x`9MaMc?nX0iS(({V&t6ihwb0Ns`r zy2Kk5;)fXXdd13EYj*%6@qRCLHk7t_qB%c0@ouz*aK~jKiybk5l)%moh&!s zPqFL?5u9(I;Zxq;yKqH~q_Z7q@H>GM&PotA;l-r~U^EU`s?PTln4WIN198A_{g2l_ewREz zYYg|pl4T-dA3UsY_MVLwMT7vG?c^NPL!Z9`Uj~JKsmXyo6gg3yCtq56F++X7>32Zo zX=fIJjtvH}5|QHjOq8J)pYc!MqhDKF_xa-u$y!RfJ@W8&U_cy`00S&oN)>lRCH{=E zO(*rvMwPvq$-@jK`~DFM+IXJ+KiaNkIj-Z#{z}KJs0czfWqCZ-Vj@71l4y|-O^{ZE zHjW0-Alg88!`*1f;%fe3B4*_XZS)OVX~#dAFPU>Pv#PRgW!>ALIU7F!;@-OT$jUr< z@+9nubIa04XR=*Iuo!!C5W<5U%di~@kY@N)+|PNV082{s9aWlijw_5(a)(NV$h@~Y zAsMphU|29J!|ZID7HdLK%G`Onv|$0FLpr?#!5VkT5@+m#i>5Zxcw9TN3B6sGl8R&4 zoEgBCJV*s_Z)pt1oTZ~9?AZBG`sFYK zK5a$DKL#VBK2q_1DrNistFn!;>b?c@nmWL%1L^> zr7#r10LW8d(vGjL_B-)gpU%&-mOVTSr{{s0|MMOV_Jm}}k8aeNd%1w@4Q%IN+JOHm z9l6#Jt~5r(U3P7U5QJSDv4PSX8HJ9&Q0C#u_R;bE*|$%RPg2{?{o)py5SJs&XGu?z zFC{X?1B!JQ6q8UuK0h((9wW^PkrVhX{m`NtHFSi#Fe_vIJZm8}r*&A$DAKl}(xD(M z$XvtL;4~jH-XZm+zmT(+#(*XJ9I@@&3_QkqisM!Ry! z%v%F#xjTq7&m~3>I-u5k zz2N18Ly^pAa|e#TszssN$}lDpJv+CA?fT_}5p9_@%gjHJo*~yN%@@V!7YHxmn)9@% zgvX(n`3PtppymuHN;ati$prF{{Y2VJ-B2FJ)BAAvJ*addkcR(Ro@Y`Zh=o94#~~YP zjE+owpoAkGN`zItxL~uX8bZf_(01MFD3y$`%H@Uex|CuRF|-eXBs>W8Z(ODx4ts+~LPw?YD0)$nF7;N;~yo;<3AWw-oZWlBA(2U=&`@ zowgh9+k-x!9hF?M+#TM@{sLn|y$kJG!&-3wKXB6uYV+k+rxMaTAB1{6kcZO3wg}&HPNYz+Mn7D$+m!>h<0J3@Wp~&Y{%-9^LsNh@pd7oZU0 z^Vu-$%kKsNVRAqzgJYwWc}iq}u)L5f@k1*GQ>mqMJI6VgO8RW%PpJ>51qZB}la@){ zS`YoE#zp&1Ff8x0)@&GX?lAG#j!YaS@4%rLXx5~BW!A0?@X!%+@kuMRL7pG+G`=sT z`>fw?#s)0_5zx-@am*-kPTvPplx&D_@wmD;>I@80{PGYkI&Wm~xkQMLmA*^a22Gxe zxOo3i_A>ld zu>^D=cMB@f;-B@3hq$4F)B%`7!c_W3Y9h>!`SSUxF}8Ap=2Dd7wVg!Q8u24w!2>d- zf%J@`ob3oi8jW@3nEwGQ9l-r6(p75yPi9{~esc17cKYm8`AyI8KWJ3+ z){#`Khyoq-y5_XHFKW@^9FZwq9CP{ZmkUT7OTd3?2aEy3&p` zb{V;z0?w%!maW1)Bxu#9VtI>iyJR+dM?&JJO3l*f96f^MCkq`hrUU3l#!$TvBFqhW z^Qv1bw6&Cf#gP(!G`e$w!`~M`No?5iGIdVEw}r+Cuj}xC^fx_mlskMSO_3mrmRjWCDBy!5PU z&|350EA#cnUJ&-bOy1Yc<&Qh5q!Answ3b!L>uF^F?tjQe2naB0m(ACd3Hb%Jo7=IW zguO8z|AUC~`mIH32w#C}fKIy03a_bC?M}O+O3>|VfKJIKT*GU@)vBV3r?2Py|Kxa# zjVEl^JJ?!T-o$njEEuYf7GsYMyYezlG+box240BI=eMsfkF4tM;e5-QQ!VZ+y--uv zRsnZKKU=~%xld6Hsc940(jfJBteTJs8^DXZx>|;!wIC~R$E#@72qQYlXrlIHgHU7a zjbSHVoFiAEFTn8tW=Zfl4=rQ}rA%1v(RV-NHVSW`WH2Lcb5|s4Q-w_uV@ed0ui`PW zuJpzc@ND>EW#Hf*&D_nqSn|wkB>^I)c&9OitenTgLhBRC+bUZ@3bTlHis(HLjng4m$Hd z*z{Oy2mHV@-CPO|aSI5`Nvuvn9U1$MwAQe3HYWlMKGG;D5+Plx1t>GAs0`BBLH{UI z=%}h={eY!OmzVLNw}_n!N~1cp!)!<2Mnpo!TAX!=)0hWG1j_Ef8?^oSfet+4Qz?2A z3_xcea4@zMAr^luOx44@Q``=i8>x^kHQP1ypPkmp`W!QU0XT#?2Tb6VApyqm^00zU zjO$jCfjf=;yr}-pwcr-u#0bEv?`a)X-> z|FQ~~4SDG@^t;#;Oft)$fDiX~We}-968d4x*kI4dYlg42U;yn^UST82IES=iz+!0< zUYIQg|K2DX*f+Mw70@%b0fSDcC26J#3`1qk{2fl>iGGcKU0nhy(1-g?5exE$>lVhj zCfN-n9(z~%0KiQ3Ccfw+Z(7H!`9OO%L>6Sv2K=}$sJ}zY9c)}7tMEVM_h^(ZpkDhm zspf-qpqdY|R%`|7WcPuEUqo|GBg={Aw8VWZ=kO>9O%x?f3y?~({ z5vsJ$4fCGC2iVEbLO>rRdA@UV;)G~}_1R&hzeu^=j5 zT1CQu^zd+-fdEc$ZCwf4tFAuTIhhTUoN0>e56*(@`9#V}Ta|v9W@A7Nzqo~WBTZ$c zcTwLk2Na@W)cQ;_aCun%_Q!|A&^L`K`1XVA&oi zL%&jx5WUl>Cy?$lt+UhaRNh0*APLhJ`u0f=?+X`k~U2-C;QDuQwJip43u@&bn z)h6PK2l@p?RnbUeN$^EAm!+Z}<|{#c?}xsHOahIgA|}DXN0UoyxW!$~TQWRgL<7hv?wXHKMsqv6Wc*ihjzf(I&KK{~wAssm z3BC#9emmMfJ&m#1OWZDeat?C;MoqtKfqVUMef6V@3o^A$1Xh^T7)y6IU_I}Qx|Z@o z9-O}a9tunHx*irdfXT`91)XurP$f;M`+6x{fKDfcJUByxRz}Q1P!MdGfDkw$^YBJf zxVmhiZX>St!7fN^;m#S1UCEBz2BgQvv|))v8#LFlf~Z77AX(J-kPo>$VFibNaV+D) zeOeFa?mh>RAFL$Ihy>MH)Bs?P){~b*sIjdoz^wX!dQj*g5WY~s6V1+a1<|p7G#&8o zEmMonf@j(y?wRaZb!~njGAdAu<$~c$DOV)Yz1s=zG0aKY9 z2>l3q5c_S-dcc}ysKwYyj8Dl=$zkv|)XzMO0_A6SLmMiA0)# z0LP@A&L9WnAw=S8{;g2Q6-C7LIaILYC7T2R57V2|10NQJ;G>blgbmYkf?)4Uc)?p9JPQg2-#NzYlq>F8+T#}Nh(qwo7pgipqo>22W~njlB|O(UNQwX; z(!7O)E?fW{$XZ*N3raA*42m}yji=lI8YVDKx(oTJ5^MM_Zb?g7IoEx}Sg^EZ=@T@Bv*0cx3aD7pZ7#L7)Kl73XNM zBbA#w{B|u5NTfl6O9${_)3-J@gjIrO+^YVbVyVj4H{EIcbmUOX7BihB74yRQDQ!fA zKu9k@65f71d-(C}6l-;#m>QKn(?F z&ywl-+a18z#SBpV?CGOpbjBf~2Wn*>WMTRlg zp@B!>hza@!kOd8uDxnjm57h6%2M|K>;0iy=V+V3~yAE*&&=r0=ie{h8G7(FlBysz= z9H31O#-=6-ncl;}No=0heP}nKUM=p<%T~Zmx2l85C#dY0r2ZQXi8ZJ4BxFFGvum|2FI%#veRO~YUV-x7aTZ2U(kJ*kb3Qp@5$ID?wFN0x_v33-IofYk?AA%33{yD==!>Pv zZMZnTbjfOMEzeRI!dZnU`5~os=tGoJ!*aj-HB;EWr5;he8by`Jiv=8T79X_GKyl~$ zRzx!o>=z_iJwX5QqvyCSeF~`)m%n_`oM&9i#4tfH61p%RvXA7>9qWGl7hh z@OiGdpvF|4{Fx)r;ywhQgy|5mS_j?jqz}5FtGQ^UF-g3Sab~d4Y)N$d?SBhl&;id8i#Y3!)PFriW zxD+i-g_C+P3UZ??>EqyG5`TmlTy~S=6zI8O|Oadj-Wyx@`jwG<_=lH*#V|<3xFFEBhxo znqbWee^TJ6yGUQzCx#&@$v{>KL;?3T>Yn%8s)ct&8=jiRCcJEYX0NZ?630xyFvDaAkz+B@x zjJUqKflSh0oxuwawhZ=PC+6Ia!J}0D-h%O2p1m$yD2Q4}YVAZ{g0*n1QA7^*O9l zfqA=Ld_QMh6S4=qF{Bk5ZPy+5QCKQ1M>?pK_B21C>;3ZXr(%LpwXFb;tNNea!##z# z@|)+UC|i5*@$Xsqoc|T3t(UUK+y@oUPfTujhR?r(7mUwl)H<9fJ$iDNODaMyNbm&K zXs^CqK+K5D2qdIkM!ST|P;jbyqc6N_w}M2hI2AW-vc*?Z<4%l8G`n_Js7!^|hbJkx zaQF=kQPA#H3a4%OI~DQrJ0p1jL8V_Je;uUd1;;N7bP<%m{esdW%E%+~A%T;$PxCgE z!+|y)H@s~%TMH93QGPCaF=9G1*}9Gu!QkHE#Wc~oSuQJ#PS5Pv+8CnQ81B@?x>H+- z-5BsEn1D?OIt(eF1~_W6Nlx&p>2*bGw06SLw3Q`yj}?}!8h6()}BgLa84LF{mX$5OAwq#2Ql zx}p4cjY8OoPF`ZS0-e?hN*T*~(w3qw;|iCT#9m4J=q*uxc0Jqt64P z+xxQ3Z`9SKQGvP2TfVVwzBRsA`pOy27a;}xtF-CQNoRbrJME{jKB>WT$10(RzCP6 z1jQ=Ado1T~uJR7$V+1r~kxNYqU{i$&2DE(Pgj|zw5Yjzc*6L^w!%TLG%8vjMO5M-| zo4XbCh89PA6s&=2Yu6PF%0vLX@`#6~oQk$|uv6(-M!8P15Yr>H6GR0s)W&hsZCL!~`sc9M=>LbYJMyrL~! zqMrnpw}%(#ava79`W&BbimdL?*DK6l_fpo6i=KhPeqOD% zr~A&d=eu9~N&qkd0V#xTf~QR-{2=B`X%|iL45sFwg%uhv*OlQ2)l(HrxJ|K2Q?4^M zw>DR5X#iF{d$s-X=63UDJHIeZ50ioy)g0-IjvATm<}FOI{^;)DLa0tFj!~da`z^22+~VqHg=A=+HPK3bqIX+Oavc{pJ$9!1#H+s|1oK773m;#EUPw>MnqYejXfH^ z%xx@WIEqH+`056lwpx9ePGt?l7mZ;;`bnG+?h_Lx2w@>`i|@{`#We8y$CljWORX4s zQJ2OZf5n`@?B3^>5CuWwVcl3CRi?31Ze=~>i3B+nzdHg@4?;y<1(hR3-2f!X6R6hU z1w6O2`Rl8rFHrfnd}D6r$oV&AU}OeL`xlK*Lvz?qVvOWBf{gVDDx*r18+y+r!J3>@ zoQ{>sn;Z2t(Ph+8Fo*F_b}JJFL4txv8zK-?01EjnY^-4KJ2XY7Zwhk~rG2t^sMwtH zTDlhoM;#(Bf(1mMpKG~$5ryU*j^f6x1lO~tOX%Z@aF}M#pKjhzDE3OvfN~}NPO)># z#4cu_+F120l1+{i`d*;jgFb2>sl_@*6gxwanp2IJ!jdSHmU~<%0fd8yI5)ia-A1zW z10S8Wp8d@nWK#)v$%8`oQN4U9KrC#M#X3Vz1D`Ti9i;G$|Y;XO6k7D74S%t&c zm_mUsVR@*REYpNSm$z8LE6p@HghD(Y9VfQO`2w^X49j`m$&*aEdG0{(B;quRBI*Q6 zgw+h8J%%Q#N@y~Ea#8i9{tAI2m~WnM;w4k!Dm-PLN1*(QV~7DUEw^9L~wY>{HC@*jKwR!2W@H-n<(ugK+$ zzP;I#gr<=Io7CKPs0q4 z`KaEL;S4gpeA7xY75nW)6`yBhDEq%zWKYKE)EV&*k^iLw0A2h8xFbEt94C%Opnem6 zpuUrJqoW!4QhU_teJtYvnVIUaY2OXioZdnZAN`3-3Lp%!Ud~tSaR%7!eOI9m9zO`s zV+q_sccD?hAyX# zm5?0Fp3-H>UyYOvQu!WanE#1w{R5noWI-R!AqGInnRR0C^&O2qY8n+po|c%ayu@6c zFh~?+fvu>15zjZw>B1rtl7f3Bj3b^J&rC`aOa4EWQn=Qq0?`WnsI;xXJl=b_M@!Zt z+(!5p7l1e^C2Cp;g=2uBTF3Ms)ESpvnm=oNKVSx$34aD^YyJrJt1{!ho4+! z?@O`5S3n%{9$|msRDpFjtDcpdiSVA*`0|iDIw;RP9ab-<>6Bn0Pot|O6FR0te%-IQ zH10QT20m{Jr#C(7RRnrGLS2(av*-?z!d{#fzbELFCEF{W=ab)j1A|j?fw(Jjr$=}r zM16Hw747pk-5nww(nv^mgLId4dqBFSLAtwoV9B0Nb~G-oA6zIu>SZb)M%)MPl_E&y_K6zW>;T2`)gW?Q!6DTPU{t&`%Q7 z=feB#&qQ$NkfO7FlMZvN@URH#uW%9RQdf zxYvo22V7*jbKDkN9~A}Uj|0->%Ocu+M-&#QzPixw?3$$U>x@O`cFG*1Qgr%3v5ZL&$g;6|TJO6Mydu zU0R&Pr3|qm*r_r`WtT7-f3+*Sgg1TsPnCcxsR+5zn=9rJsbcOVAx(Mq3(5i0!`U7) zQy0BOjcw_<5&VkEU(??rvc`Q_3&O^ASPUV*c@_03&eyNm#x`awQvF~hLP!O@s#>0Y z=sp)nbS5H(IuLym;Z=o$aVvd`%7H*e{8>Ym>AhLONqKOcF5-J0<|s&VYd#Y06vcNn zQZ>`ldoFgV9}`?VaD#7WgBClsCUTBd@WL%TY8QW|_uvZk>pYa;Hz2cwi;u$We6b)4 z(Y*xT8S%#hM3F+iFKMN0q?1L0b* zemr;O!^N=o4jnziFOz{@q4)92xTP+@ko6~N=wj%ru5;WqNVw{UJ>WD=p@x}`#iRXZ zUD}_V%f#Ah87|=l4oU5Pz;m+RE;*i8a}B18p{F0F3!d%mdQZtE(uIKd^-gFE*KG~c z*w$p^apw-XF>0oA#x|S)o8WK7JhppP@Mq2|i<$$T1GbKr=^!*|ma+1^!#yyDHaccZ zVl$)>Qr^17CjQa7^D?5mGeH)uy`OJdiryXcz3o>6Zl_s5;QmuM{);7I8RParSBKmX zcWvgM9$tLyk)u55_tts8soq<@BBHAY5>U*5_@Aq*9ahiKy8yL+xPaYAdSzF^*H0?~5 z!e!=t3HikPzQ8qg75OSWigevK? zgDSbZa23DCvdTFbnh}x+hv+aXGmeg8QHdg#!b9=zA6d>Txi_2NF8IsSmOTA=Gpdmk zTHK*b5lqctHLTEK+hI9F%CLhtRAEMw&i8%g26`tF1OF0kS}#j2Sx-m)%xp_b?JmxL z#Ch{D%4=Z4$!EKGU4sb{fFa7n;5Mm$!}}@i=!|8r2l~xl)8p>kg>6D}=eeWHh?DD( zo)0 z@}_uF>!&?v3;k}jX_k>hhqTLMo^H)zZh&LZpk3#j2XFGh?IE3;>a8E{;TP6Xt?T&{ zYa)BidQqqdg&erJg&6wJW=QEU7D^6(?^kqCSgdTB6;w_<-ywW>UjvhC@_WL`XfwHD zCXP65r(RC^k`%vf?nx|^UpA5>fV((Zolu2u(Li$}KEelqYsDqjyuh3(qx@E}!u61; z`aWkS@57mMV5>EX;~o@m*HTt~V}O;N{}#=a6J=`vBI88R%LR_&20qoM&y`z)^`&>P8|@-#nwxx9*&y60|MWy3Ij<&v^$Wmg=3OgB*;x})P7I(&R81DJ|Nya z3<+lNkp%9eMr_Ss7j*7}^PkWYs%!N0XeG2orCiAe{O^Sjh03rm&a|gdT-4o=aw(OD z@}Xw8TYL|>z(8;|IoDAvCJX3$?aO5fx~db=Tzmjux$)NT2n?>8|>`Bd(CG25q_ z?=orE54;sIXqkU9F;6r1bKE)C8MLfmX{5H2BgZMd@fr>F{qgi}D>Ly^b$wnVcL3|V zqIY*k0q*u*iKZlpSwEp0KH}O-Ca3+i3cPrBJ1p?R9w|QM->Hey)ey#BwhrqZt}OhT zQb6q_hA4UZlzQ;d81%sTtyeGoDTPXrKW^=~lBemi(&4?t{9#AE2?px(J(Rj+>?z0> z2Yi;ndBAew1n*|KHbNS!z$ap&vRku3gu9QC9W!aOF| zY}x>5g->CH1Sj-4k7!hK!>3plc)BUVEawzZ(lHZIYZZTtwX-Ko1}R;gwIHpBW4|9W z1T-WM?&-|&Wt>G4hwE6x1Vo^b|dVy&IGN#@Wm zzH?jkua<{o#}eQogp2wwA-ANz&ETN$E0ObH3YGtUF8@$bqY#{!wrB0FursR?U+yB` zYmw%bn`S+)84KDbNL9#4+j~S5SAdqPAfh!sci4;Ur{CDqbtUqGJCv#ZAVk(zaJ>6^NEmo*?QNQBshvqTBc^uAjzZpHT|{x_lXvu3{Hk>t zN+_cu>nb+{;Mj0)9Am2fuVPkcDE9h0``v@f-|5(B*i+F?l4#Nf_zFLbR=^$~ zeP=%jSkKQEOygeY{9BOu2?qF*agvtoW#4LZhU%Er5Ud9~lJcN~cT#)LS)e{Vitx!q zr#ctE6-qw?!k0j)FqHTF>A9ts_|jZzM~Qoy4TB%bPm?;Pm`rgg|2*vC)QKq+apySm zeNM(34X#W2p3nH#G$4XDNWU;deJRHR^FmLDr?w(ibp|2Bdr|7$GW+C5t(#Iig(Q>I zmI!tFj|43A^zIk#BH>c14P=g*rRNBCSWY5uX9`ga8<*2IMEh|~B6yN6bI8>`YxkY$ z4lB!i?ey;Bua5md!B)6?O8R+YB#Asa#1d5Z z1J1g7P&U|h?ib9`Io_*~0Wz0I#y6qUR4{<0kH8+~;sR-@d3e+(hFDE=->$j$=ygW?@#1 zENx%q)R^4O@ws?qN#FS{g5 ze4tGM^9|Ri7H>DCS$?y!nQ{hma+qIu`R?H;l zN~@X5GJ<;4w?zo}1m75MZjF7g?;P13Ba-Czdz)M^k7sviHxnc8&+yj+Zi)r`k^Ym@ z(2b)28$`;FFAe3Mvnf+v3z3$wzX7BqJ3df_T|wI^>w3pm92atKDC~36Z=v_0?0Yeq z@XFlO`cRBI!EyR{vYSMLK}T~DtPxL*42)p5@{eIh2fK$)nuNwbpu6NU3VZuQ^epl+ z|0J!0>^AcEXc5~#q4@RB#!{14G7$?{eUN~5%1!L9}{rk z$Elnybt-hOq{hSw9eauV;cbV%dD^ z(x;UC?>T#&Y>5Y`boZ5dza0xj1~sQ!?rS3hGrJPXOBQzTSg;Y5GOU&L?IeuBUBxhC z$E<2km}T{13VYI2Z&K-#X<&AsqxfP;XElWd;S8chiO3aWH@=i%S_XfDZ)7*(u$Mta zEi5QVq^?GnPdsWs@phCCo;O^6=7wcX@X#=O7yhFbI|yI=;8|#U=T?rCK|6ifSr^NDf$FT4dZ^dFBaXxAg6S5N} zX!IA+)ygTCZ`bwthqE&CRUDSxl=9)QopHXs-sVsdQz`ojN}Zh8F|GHUzHgRzJdiTYu2vE?pyQ~EafKn!$hj@G+^i3h%Xf#;9KHv*0p>z z9UgD_t%Zll$vrz%d!<#GyPppRPyNo7)-|Y0^cx1n z6+ef1X^|OO8a&@;;070#wo?u0Z4ClXVU&Lp+7+8H7?CtVlv>$P9Fgt+U3BG)__;vk z&w!Flb$tkw28H|k`icF+-#DVdvI%i`#!UF7y4>A^1J+7GtRjZ494ll9tKvlUEbL{8nzF`P#C?MKuF9NZ|@n!*7+t(NVITYC`0){jn}cx6jA zk-B^@D#Z0nBF*MF?0ek!lTIkBsm1rC z+A(VnIhzk!DC?4rM2Mj;#u6)$y!iXOo`beR>>X(jku7_Rs@egWv8Jf!2qAgGgjV4 zc2HD-aCh(Q@2+@K{GEi-+g)V4X|#M(6_hfDH8Uk1VOq&3%uKlkoqTM6p2nAi5_rM1NFgcFbn$O-z8}(K46nU$^q>R%U?Emqv zU%Wk8Oy-x(JV7!nA(F7L1f_k+445q;&Y;vHS&HV*$&MLS3N{4V=_%6A8Ws)i3s7%A zjnhcCRBE{E97Kf*Tl<|{{v0zTRlzz*JP~PxDk|I<;N$8cg&4%GB-}X_6%O~xQ8W}v z!2c{@$#Co2B?o!OStlmsBhFALEP#~bhQn7)3evmc?#;O6<9X5c{2L0t`t&0t?W#Df z(tr=2tuM_6YS`(8hb-RWV@1FWO3Jqz9yL_9H~-Qh6(W%IAL*#r6S!_mbg}(wnsumm z2KQ4ZQhjypcOb&?Amos*&xl1%BaP+D2_w&|NsYi;y0?zKP*L4f)9kuWOzmTjaZ)aV&Fo+wi`+sT>3|@@4HBtAT)7YOs|A z4RhIS<{g58QoFOo8OF=+t8+Ar{aC+M`%LB}U#WR?&XF}ELwmz_3dGOX?RT=CD{hWw z^A=kUMSrTMHVbcP>Al<6SnT(W(O!_fBq#{aY1E^Mv?EklR{Cig5wHjr$%JtkOeR@1 zL~sOUCe}_VBUc9$s=urjNIRB@`N`h??r)`+HP5wAkhmZ4-`3;p{bhit}P zw)aWvU}wja>m;0!l8NpZ7c~g%Blm-FI;vxBhw zkHF*8LQZ#&6x8oWWR?OUb9wEb9|MHibyetDmn;{)=72>W(e6pKb9Vfm7Z;B~U%f6Z z-7kmiMebIyiN28%M&s$NBgy+vhoj$?o!ZDs{_WyjbG0y@>SXF7UHqzILEh=wcKbla zrHMysqx9vWp)uy0z0`@BZ)>Bdosy&w>()!7-}~pAu4m%4(d)m=Y8FM_;+v(dr-mDc zAOyKzpN|umjUI_X29J9$&`?k>FR)N5^007tPzX>+P*6~mPy%0K{%DOuK{3l9K)nSh z9yYA*_D)}%K^7J+&aD6bu(NpB+GHgzM=Y~pg`A-JAm%;j2-DaoWP#0*SKHKnh3;GXbWnI>Pp{%CxhMPutjJVJ&*@pW)>nIzt z)x|X8C%5j<2s=j_rRIn*$1EM${A`gB1=)rZ@3jVEjSy9pM7s>=EtEE>&i0fq;w%#? zm9H04%Wio{*JQHr5Sbb&CmQUd zHF(LhQZ@lE_#DEc!yQB1tA7CD}{TjK*_lnpa*eY|7quexO?4 zh8U5hhRCz1WZZs*9b~FP1U7`7!GY-wOF9k3_Kf=;C}g-f_F>84aIW_oo2l1fJyHE- zP$a7c>un&!r`WwtT0GYpc(r>d^%>`I)nattwh+RR|4@N>$^gepq_p_@NG`k$rfjit zA?M)-V??ys(-$I{k`WOgHeO!-9g?ykRTqQth4%gXs5<1nazvM$4(75qCYMADMnAq; z{cLl-Q7=vP)x=hfw|o{b)_RlNKaBDweQ%@M?=h$A333wK_54)b^>lCaa`WHT_2Q{ZY(hOQt<e0_BOgEC zUfi9Ye876SjfS-rdL)U-7C*2}J;T&N5i$Py0!38aRZr&o?9cS%zvf2#;@`jqt-G94 zoN>EUePZ-+{x38Or<*dHnm#L=Z)@;K6TYwamqWit?#HurapxoCUlW&}#lxsky8}%w z0@gY>|K=c6Xoq+Ua%~ow~$#M$LqIfD(G4=P!U=`INKFuLZ(vV33+lqwAonMUMbS{*58t1|Oq{gRc7(ZtE(mL2LGQB*r0 z9d~3Y+3w&XlU2ApUYnirCl0NP3F!)?W4WNay9T&(zsjil4Y_xP-8?o;Ty zMF9h9njS`mMZM}AeSgIjHPr=BRt3Z?7`~XP%RrQ=%TTl&H7~zLzN}`9za6Dx2Jj@Z zf#Dr9fvzIb7b%m1+AfqaeiZ1esw5ZXdNr2z$-m+yf{q3Q%KFP2%I4Z?Lx{Q}El?L< zD@)8dm86|264qV7gg z>?T{BxNIfq_Y5;2Yc;V|z1ng}lBk@Tca@svfyF){q2qUm%3^5MfpGn&P~1}YR@GkN zybaGUgW}G zv?Mh|a!E*%{;|y|Q~xQYF=ABO%#S9+6%UTjQ7tk32hr%UoK1424X0AzTYHP4@R^L! zta;-`F%5H1d5hLhq1rInytTE;zM6M1KhX23X7w0n$N14;vS^iTj+{695CG!&f;+Lu zwQXqIr@4+qKW#6;!ADtx_qb(9$0;awKQKPxX3@$jamqV=k6)>*`(PXWk$7f*EAa>J zAB4ok6-0ad4M2Ow4{wxQGN^lUm8)vL1~g@7CKF^Y-%5QJSn20hM-c)zQf6i1UoER$ zeVN->fh$h`jrp)0kxr1d3OdHWiu~m($9YJPnTAl;Qdoj(4oW zcY#iOrM=tcTS>{E?`1|mFup<2RXu(+&Cz$hc-1Q3*Q?C;pH|J+d*MD#zsFEVxx!y9$uWGZVb zE?chn`4wGBU*fV)xW#i1-jbjXoZEUc=i&14t&ca$q};&`#Rc7yv7A2RFk$pl5@>D; zls_|!3_O;@#lOaU;&tdkM%!^9X364>8^)d`B~YPDHw;p z$|nE#6e{LF^Q)GyUJ}s+cY+Y^AOX=Y$27emXaN>b;?iFK#c#C zfU5*xyKdY(Jt_VIN1T2g{;6V2k%VoJ@zN>c*qe;S^W7*d?K*CF+r2jb^DSubo8uxS5B3qUVlA9 zHCliz)pRHStVh_I-L?Iad{%F#Qd}Jo(W&>jHp&%mb(i(7Y3CMOqzyPrp4uaPr^9H< z?*q0b+C6hUShZw1{%YF9k@~xRzg{?H*v{pi$o}J&2TzTD--U78U2)7odEGmorg7Tv z9+Ey;;Y4FK2gId2KY{&vUt`pB&zw%Q<6P1czxOYpA8)VRLQikYO1AMTe*|#N!a8Kq zjdgY|r$^c@MFr2?2ULP~E|ViH(gqgi+s1n5dh9+|4O-Q9Tlu`l@6YN~8$!F_eS@Va z1~CT2fz<1)1M)=JDH)khk8pjasz&Cx`5HX+M7AkJ%3Y+T6eam&>5fgBV0uKrV>~dn| zj7G+@%%_z{xLORWLyd~95^A~oB-mT6SJKKz9wd?6EUAt`i*n&$+++Ku2GdOdbqNu2 zT)Kq^mwUm3&6i8hPaF#4r3L-i?$`JEkS2`0{y{~qHS=2ptpsDl)+*Y@c|P4Tjcd=J zP_?B~7%v&^yl}jwKkv-7thQ(5~oXZnUM2n}=BP(cQ@9teUcZ z#uizU?V*6U3xb#6B-)%I>-3ifVdFQ^z`9G&s{q1#!KCWZDZ5 z6gi}}>=x>Msp2bs&95Q?I|_wtv1ZU?_(fQ50?wfbWx$Cx@k6%Z|7az*OC0?6?o6P^@AZDX| zYvZR&E_d+Z44QkI0VaP~KbKo-@|X-4k+OuX%4%oY97)=-J(CIs%CxP7)->vfAIB#D zM{WHIM{Ib211BmH{o}pyirFSgLWv{rx|2S{IvKl<-L`MYUWH7aK!y1Brd*ft&4bvD z3wYPinY2lS7OPt3A0AW~xn$LUq6eo;wmjnuJp7SsS#-jLaNo!&f5m(g&jLqbqpv^f zi?+1-Eg#1TG@LGBLKeZ+Jf_{UN8PsKylJ)CjPQ2h)Pz-A+sf6pD*6P z98>v=1jCTwIBQ16S8q+@@}Vn9X1sd&zZ+Jz^x#U%@edhjgY+@(=|h@Q0DVLY_x1X4 z+Vx-r+)>JHF;4q)JN(w{7OH)&|Mv+lfRkX4C_ACyY!%897i8nE1|3}UyImQvM!;T_O8 z$6FVkKA=5N?Z|+djG&RRR5!{B!QF`)Z~D)ki>){F4UXO7Q?{$*!VNfgPV?C?t5KSn zbtfg=Wc39r(ZRX%5VJSChwr-yb(@V#eJ1k%6tfug;2fuayL9%A*rv}PstMcl;E}4Q z2tP___5f~9(?1pJ4Kpc}ph@Ph&sB`ozD$QW}rt<&b3j~X11b%RNM&1tKOIXAx%nv?HB0KrvQp-Dr zrln${fAO&`#F7&_4z$4zrd!^zyuq6Up~$FG;w`X5C=eC_%vNh6Hend7rWk2!mf>sr zxH6n-RMQ5+m+jREm`wrAm`(ZNc`{&xG@2Rj$Zm4U!xf7m_28ww54e1hffdcja!?54+!UOgP( zU{4R-hb5L%@x9deEI&>{C^eE3vv^y^MT^Xc;;Y)E>r%vh89L-6iI(9KMV$J!<<(qx zd<1T7#h)A*P_p%dO#=%oO>HuQ=dgNZ@5F`US*WGC0r&D#)s0BwD<7IM>|5%|Do|oi zM!sRDrfOrNM)6fKN!a#Ml;F*PQmY410$BZF9RCF2TM3r@v&T(0Md_0NxfLZg@I!^n z)Z!`$+0-;@KweAe6>NV8-6Yki7P886p3Tk=6qHNf^kV+#Jk zCQO^#)Pg8SU0`Eyr0&lor2in2oS zcF!~eAVpa5HOnn}w7!!;`}NmlN#+;pWLBHKxcV&V*5Q$EZ4pW4xO`F>&6Yor>>}qR z;|=V(&+6Uu<;&79;%Q-JfZ|}&HT=Z0)V0lr{e3Q2Er5Ep_}e$YpDNO*Gg)LC^8==7 zZ0g-X(tFdSN3H55tsBWy1S8*4_=Euuj&{<;48Oa?w+ zR&4_B56l1vn@IiEwR9d|YN|QKEs}2-NIZ^z1O6f>Fg)J>VT8eO6R84+R`5-fnCK|b zQ+U3goH#v{n3@&P^d=t7?X{U`$_TOMgiZs+V>ajc>|~U3FF(xOm#cXWS`SL&)mXCA zMuR?|ddRGb6&U~h)93Vkn=Gb|WyTyYua~f#@*)0O!-7?#f_(pkt{uFmL540kFj(yZuxxx zZW-CNqIUJfQZ+V!y6aY{@r}ewF55UD8dUV59 z{xbWG!}Hqw8V08*YUKn$eUsp#1WTqA! z2%(!aJKx_tW9L{%3NwcSaUsj?OfhZaFXPxw?%FB^Y6*1v+8bQlfLn2HRCXaIhy#Ys zpBm1I|MCTE&{8`&SQ&#!rr?BdQt}>YgMw_R62H0fk-3GtDmOyk^(ud6$&op1*GD+) zBY%}jKGTV7Z*|VQUC1d(O|JOgon=J{PS2d}L|uKTxnKB_@m);wzwng~e>K2x-hYQy zC{*8GCmq5AB>elcW?55I-9?vJ4vc0c?D3IZ%3r(Q>1qDmV=Ke-Z$Fd2$^O#lTA9OL z&_sF5j8_IWdz%XUm83v+he-pmNkv%(E)V}Unn*v=&kT2C;-n#&j?$-MIYhcp;pnl& zAH{QPJ100WbkX(Fl*>TYDCp7rpr`1d2d=lF6`=7&g^!2l$QI6_cH6$tc`NyON!#K_}Nc_521j zJXpc!%Tq|!k#inb10c5;TvIZ(mhzF?4plM15(E!fVd{<{;YSjY|56YPtA4NpzVA~_ zK)Uv0{6@OS5`p?GoHXn=I*M-1>3xn+QvfisZM;zqp07fPu=JAU za3)gQa?50Zd5|&D2sYw5R{I$Rq&Au{xU%>v2;zI$H9uh|x+wAYR&Kw}E%%)mZn8Z-LQrSTDbUX3WmwnF~VS5C1UQ4nY#;Gs zqVy2>*2R|t$~#Z&{w)NyNfD&Vv3U354mkZ&a*4FF5*OgVUO@SJ`Xe`7UA*kM9m8;I z&OMC+wpfV+@<}_iL{HNu;#A^}{d(@CX*=9gasD2(-yno0MICh;g4Mp6B^9|kWyEP0KBYq3ZdCX*8B{YK<35sp2V9fk2-^MoT(81p3{{1D{f)K`51;K6 zPuPtx0TLB$1w-RVB%xqs8zT+vv`re2S2D$VGfdl-OA+k$ADIotB{R@*8Deg_k|`Z+ zQv3Q}gGf{4)6|E zxi>V%{NJ9F-aDg26xp=p<0HbSH4LsCfn%rJ@6eB(OgfLF#o60D$ro(c5Ncd4c&{F{E+R+(n#zs`Zu|0<}zu7#sPYB*LL!P3@ z{ctwS5piPWn%wKNlm3Z9Zpb~+CYFd?E`C~&uM3mB2H(1h5u>$}+imt$! zyls08bU7;oyy+rM8FPX$xHfcfpc;^l!wbJWhyia6g=tbOQCWceqAns>`q!<9Dg1!` z(0^uUI}ZSN`G0w5X$wZx%0V+~Gw@YvbAo>OHcW7C^G(P(F~Ktw$ZBiiRH(PQ>;18- z3UVJOEVdO})ou%0v+a4d(2<*&ih3sGv#0_@-XWO_$zSf9iUK-rv#st=Nw=@Yap#nlkp7jas_VcYtg=jnCYZ;ndo0e$2!6ng=U0_4?3%=b!{#8lL`Rd5TYWFz4 z5@utj-VQj((X;7VFODtN?qJe(52l!I`4wIbG~_o!eg-evU|#Sht=XpD(;c~e9-Tpj z09lr-$;a#iro|%}!KxdBpQ!*H3t+C~;$it1;AO72WtX09@>jTSuZLH<(DAf~+*Tjt zrnwDIB>2zA9k(0$MxV{v8VX>J7A~;1mA}l=uWU2lCsfcZ&laOp4LOV@uhhUq;1W zZ_e+S^>u!mm;L#4LK==t*3W{UG=08=#~y%5X)qAp z#y7wsC2*AS{1*`{$?A~A$|udl>dRL)iS zDC8gg1!LTYx`QSWhNwMU0uZPT z@ot<9sHhBQnM=j~GYqD;iu;YuRVwz8P?9lmnRuF z?Tv)-D}v0EDv4%VlH%wA;;DWBK4IDzo!tvq!(gW}9|9ur-+e+21I%ZcDOrDj7Rw1G zf+<;j0RmVNbff*csQOPcH$6nY-4dJF@Kk?WDz1?KA>R_X(EQ+E0^SKWVN zzW|WHSN-AFjYow4GE0N<#yn;li1u|#F*bUqD9?fUS)duxYmd?;j5noF1N2yJvsr&; zJ1yDG9!EyjSZe)Bk~A(7Jv)b;4d`j6*wgV=0Sx@ zyT+Ida%b<6=J%t6r3Uv9nRDWZ4O6EFeyk(M=~rQZ1BF4@xK`_8yOmaHZ5pp(__7J%pzT_JVZ#UGq1r8U#|&Lmu9_6lY})*Iy^z%sq~_!oeOH?eo} zHSy!D;(Xl<{KNw=3BwJl69BMVLHcl1-w!iU@DH(2@-mBpmV(#&+;03C)@6eO#&RG; zfio~cMFwR#3oK>f>+~WuG>d|76*GJ&GWGw=)?q@9H|$R1QD8GgR=BW=;3*W^@Yre% z%yAc$eU0Un-2;jWO`SzET!Il+lTeD_TUYNST$vw4t9;(mY>ZMW$#cYNCm6nERqMs` z&B1@9!lJ9!!x&Wy;9V`as=2N!#vk}3vS{}J<1|H`^Z|VdNDpb-s333_GY1D7!tASm&^i+OB-2!=wF;^)RrU2 zfIw1IZGud_GxxG;o*YZYie@d)kQrTSe?bEqX0`Cm`fa>oHcVHN6&Bq{Nw*e9K%;<4 z3p(WN`p6ahGJBVg~}|3l|Rlj5zYW=H>E*+ z2_l06F!xwW-imwkO#-N8a=B7M<^&M_UhRp+ZJB=^GR6Ur!+C}tH5&<* zY=^$Whq@SHti_MIt>YUs@9tsyu38*e`#LC=Lq&HIKoJ~3#(D%2^tc?_K&qIF7Biv6 zu0J}0By^of)Y3wMxfqM?tc2TChdOT|jf}+JXRjEEe-pvKR;rjTUK_EE9l#cXIvl84 zPL|V|WZKl>6|o%!N|*|~3=l5)Y^HF|tjE3SCN+Qy?Q;X>u=(FfLhIj>06oS)awpV{ zc^j?W$;m)NVe=qOLMRtPXubckRHWx%RXD1+J;2iu;5j|I)d$~?Poj2vrLBnf4@Uxs zPeK1l>fXgQWG;*nAFcgLJDk%aPvG(MkaF6e=7uk&6sq z0DM>`vy^Bs{fwtz#n6+qR+*S^F}KL34He=t6-ZSlzmyZmz}&;YZ{*}VnXsLL0s2T# z_13d};=JW)#emreIkcW46&O5!lMru;Oo0-^#P2A##`-+>U@8JRwRrApOlGa zev)Y%>ii2H3qA~B^-pN4==V?plZP8Ut}7)5JNVGqH+|l*UXuwfVnISxubfgNi`E$W znR}AnR2{1?7ut98! zd~+3NKsNDjG;g)8_b}5FfUSS3G9#lodpi;lLF`T^CIOK;i`eel?%37Xi=reBk#ZcbQC(B=iq)*)S~_ z5O@2=sxQY|2td`&)%CbZNPfR0U^dVPY_+r_JfJ>q;h-C_VpoS9=Pfs1M|eRZg4b1# zbfJlSy7V3#(J$z)CLxSQE@lEuEZK8Whq}F#{{~$fX!~x-YE+HRf2RQWkKb?L3`8*S zo?7jdat$1lChbycV7{Qj7|{mU=CyyyVKf5AA+>eLQDVQ&Dpgmw1}KBSlE_t;X!lS8 z*Y{Aq@=1nS!>^HcBFEcxq=(XuW28R1X4I5<9W6*X&Wo~ISc$Ar7A$KT%K<<{q@ei= za?zz-b}+jyYLuNegNdoYN!$T2*VK5PauEW_dS74-h-e=&=H!{RedTS?a*$Enp1x@| zA)9c+(!WC^b@PHSCat}^xuAOZIH6iC&j#kwrBm$oz7B^ZG#C3zf5{C&+2Tha>hQXY%7ltuuru7Rpvj$Tb9G`h z^_Sjv+u1Avwk6!IfNcr%6qQ$97x{^c4Nu(gbEh6Yx}-{}V?F}#c6#)i4s`}{ZUGYk zPs1$i*io2Na{+Q1u)(3;-s_1KDGBn|aY_CQK0Q=Z7v7ZyavseX+M_D>@|ZC0N|jni zeL{A5>Z`uc(OR&aKq9X}nGAy*yEVXZ>N@ADriGSfbzD<2hXYd4POI^=80fx--ZMQR0I{hCX$aT#d-0c3Y1B{5+yus z2q2&o?-k2k;VjcQLVK9!l)*9Ww?C5iQGHsD=cWEF&$MU@q-oqq@o$b?8OV0prG~n% zow*!`ylBCHPFxma2YUie1b8e0sR-yCLG?trsw5{VzNLnyZL}=6%deOXHW~;fBm4z0 z$|U_`s|q|w(v3h49^_(#X&O(>f)!b%zXEL4JvX)Xq3cZE!DCN~16ik5#%{P9!uTo% zjpLNvYboHH1aXN1JC>MCFP|Bgr5vaJguKqCKGzd{2kt4cF;QG+fJ5*EOwtU>dI&51 zIa*Q1!ytC4y1j&zgZTGwx4yA6>@)4?@J;2jw$Izch6tTQoJx57#(IR%2qoglO&msCvt| zD4*|t7(^F|ML=?C>F$&iP)h0Ukd7s#RBGu4X;2y@q#J~#Q@TMykdzWoK>5%5`Tkz_ z>wdBiX6Bkx?{ntNIlI>m1}r@XcIS$~0cqs!;16`MMAkbW@+eZ7C3I?9nOhm-C$M{R zyNGyOwcxFGe+U*B&yVY3-&a8_c5aNx(IOz#X>++?>pKiJ!$SW$L)x@klm+$a{b%iO zseGrf8Fns;h!wtzC^+CpV$U(Y74SDp^dR3`aW)9Ln^v$?(2P@jK3919wwnDkTFw*t z6bsA*-(6X~n=glIR9Ol4vs8?V=UBEof+3~P*i*2Zg0ol0mR zP#5?UQe13t*zzHpTE1Ry?PXP5AwxF$YbBFmSo9ROvv6gLeRV*cTd8K$y%!FarSPl{ z-8EhyommcpY3E_zOI_82i@y37-2ZxN@uL0G6%Y*K{#MaGPhC!ux~bbquxXN;WXh!G zb{0lG3{MNR2yTKCD-GK?czKY_XTs0}tKn_MQ0uRU^mzKjg?Apq+c{ ze;ini`eDgQ#{j|1v=A~!p%{%t(6SllZB-f!7qg7WXUt8umy^i zirBGOxaYj;72RI=1Q%$9GwPZIyBna-d2DiT)?+;w8m>3xOmQDF+z_o0{Q_?IVOVQk zn__j$UVfV!pFr8OGO|la?0p+%b%abgJASJ3&2Ag!lJTidyvpUd8P}lFosj~Hq{_uO zbf<%%Rybp+^t%q-0Ono7*F34;{$ejX8!63J^4ZeQxzv~8)@%LfdWtnzx2;gb6UWSP zpx>NajtKHQlytJjetZZgRHr1rb9#76x*9JMe7=50p#Lk*Ec{f?RLAe7W zlqTg-L8Oe{;l~fziKU1;*N&iW=IQ=n3cO<7we5ktR_Z}s%fDip2N+xg{YyyR;%l*^ z_YZLoYdodyc^F{SYw0cZdq=$DmU`7CTq)o%%o=X5yNVdL!`i9amIk+oe&S{48>cpu z4z4PI4xT3vj@yj}z5vWUTOYD0J)oC4-LK zPTKAaQ}*$o`u6}qJ=Un!IksiYi7GLU$79z@yzOy}S7E13b;d>7=LT%Jo$KOkC2yp} z|8J}L=E;Mu{|MMI)g*i?8lg?sfw!($2StZzoJv zQM@HPVuk7nl?GBRMmjo+z5^X%Ghcm2`eEU=Wo}Z}_L4wo(P{jv;bs+cYRurEdjU=)A(2o!q?vU*#%V@Gcv6#_h46!oB4VAMP~Z8SgYnkNoK@nhEw}5B9Tq zYEf@ig)X&h+m%J|mD5|f_~=XCxwq&Ob?ZHC!?=<_pV_*1_mx2cBu73+R7;WiuD%+< z++}JsJkv)4n~%^SScB>*otCqWY(@kTHONrRu z>xxFlGd4tUB}iiwFci%Xx*(cr>(|!a&s{0sa5}ltEPr6XLQ?D!R@-5COwwZY-_CVA zN4MBNy!SHYbNif5GXK&%r>)X=m$`s;f%|qdf0H zDJZVsKpAF>E&D(y4UA3~kE*@j5V@Prssa^2s5&8(my0>SOCo%lni4aK-nf3&_$?1z zeuq^u`8#WHP&JcI3f!oM6t+?Y@QM4V9eE0~1$c5i&_%}8>eSyjeq$;$oeZFn(Zrxo zv187z%@^v9jogI4v|=8GTA_DB0Lf5H2exK9yKUF84-|8n62g0_>iXRFX2Gn71?U)p zY1Y=v&z&{k_39Xu^r$ z_V3asslPV9kMV(#c9;Zp*YB^}V!vNhOeNEz=*)vW>^&$Ld>&cZWLnyi2l2{F77#C1 za~c(YVV-PT+JgP8i7#(`zVn{uy4q`(&df=6ce9UH83~!m#z6R2@=!;fcQs{)XxfU{ z55FqyRU)ftuJBqBevyPx_QU#G=F~5U+%}Qr%$LJ!6#x~MhCT#sR86c@hROO|qrM^Z z(G@<#ZSTT0j%FibVR=NYis$bH;u*wylNZ@kN>f7Yeru=oKfJe6@Hg`M-5n0cwZD&F z<4{iftPiDYO)Q9zCF_@V`rbzVh~zgf8@=klq*0MU94!TAPwL09ExwLE_Rf+QDT}R^ zXIHZ0&Ppm2l1%}q!&agKL=4TXG|6rIN%V@5a*C$dpuHXuRZ;S0MZsABuziB=CX@M2)AU4an)__}ap9mcs7E0TXQT8lLC$ZtE?_(mY$Krl zJdDI+5!#t_Iw1IJs2VKwLgf&uyk!j^6tmx-hw7jI*y1l`=34btz_>JNlB-yBv;Swf zi<%@I8}rZLLk2@i9q?~i2KdLsU=z3VB)M3!(zE`ETiF>;v+lWy_+khdnptc*zs&+jxBfE(U|=Mr|`1 zWL92#k&S9iLDyPoEG4No0n44mLRLD@4YGToR@}JI8#&fP1OY~G{c2{eYVXOLSqD!N z;c+6#deX|Z;tt_Xh23(g9W6KIKxe?MI!47<5aePg`B>X9_7mtky2>{ymen=|mhcE1 zcO`4hAD0QOY1VJaeS#*tJg17q(QJ~dT67BnLR&_$mCxwUAN7b=lIG0EIVmFCLuRb; zbzIw2*MCqTr2h7+!xTV#kp%Gt^MuW(?G0_EN5%*2vuC*PDJ~xKR+ky4qks&agUni! z>AALj=0oWlgr8FQapBmo30~JC?p^j+Ssstw#do=o8q!e6-=X9SB<8k~Gb_HPAh4X} zCgg{!4o@DoW#$nAI$$r0KU1ghpS*=g#>APFq;jOVkRuSTo*zCquk_TJ}Bk&x;%0Zc-tXjzusnoFL)A$B1V4IGlk`Uaq0SAi;CS zOjX&Q#c>qx&a{v1Y{9UdNKL5#*_jUc3KNR&7PPF%W5S0H!|8hF)LdvgLI7=o<9i&o zW}j5yiuqm4UlY*a9xKRywDXgUvMorDKiLW6i+-T~DtayirDprPz7 zaPz@AB9vax0X4QJ&~|rr(XC1+t-qG~)uh1^0x)gYBc%R9;tN-9eFJ3$@wO{Z$@;$u zgQa^YYX2eyC~1?{xBU>JM$H;FL~h8Q7)llbEBpjnDuv@MF5=pvpp%GPmewFc+2Hp3-2sm5 zbIb_kA8|k%lb^g^9=rb5{x^wzeJr&9HoR`km&lImk9}zZF`l?N(DX&X1Z-{&Kj6Css6 z4Bk43h{Vs@LgN+CT>T`q#)3d5^S2ftJcvc!uxGP8eKt{X%QA7I6iE>t`vik@#01?1 zRqOix%$&NAr}??Yl04M9^bi&JBC(HTeh&qaf7WJd)VFUfKriM2(9v3DJHkwhn!6HN zy(g;dlq$f(+J-r~=Yjp%(8ludn=%#W+G#IEj2GsPAkv1sq(uaav(v-h=vGk@wEiNZh*G`Ix_AKek37`w=z&l>gFy1krfVR)z@4*k+> z+`8@sjuq>h7Y49nClR18B7vI@3TIu)Fw@~>0PiMazlbHkMa8qtTlar#6a*F>r?(%Q zY-RO~r+_2bVjC>$+?+5c1D}HpO*L$2Vw}0za`RS!lKK)?cPCKf$MU8? zEq!&2$4xTDVxKo24o5Qo?HWjYP1`c6VO{Tz(MUCTm?Hjxj1bu1WD63sL`_ zr5q#;k}ab_NT4a_%inJ}|Dcqbn6=GOzEV{M66>iD1S3@LMKvbPb36CU?kX>gZV=#N z9G#m3mx(PgfVE<BZC{^f`Mhczt;!yE84Z?sVrf&BbNvHjd^-Y0B9VLG8F~il$Mg_@c3|q1)2sD`?e# zjix(2iI9xG??R2lk7h5aE0X@qp^r=oJmpQzVBdT7BS8O_DB3-9iBQeqOQ3-{^)QXI zQ>)K){!Zjo_Pr8$=s^!RLH$Km3GueMz>bi^46%@2-5xdtFu%o{uMezAh`DbWV_)&Z z*IPb@3Bc`)f-DXpk;MJ$-v_3@Lw*#s-0fX-X8|Y2983swDPEX=j*_n4>3MJKdQB|y z@l4qYuXhnj1Y{Z?&bM%;wO4|^84|gtNjOCrSx>>DLm6f!r&1b7@bErB>Jva zz9J2@`1WNTJd$FdC=J$RrWBV3C33)I(b-hn2t5eAu-j!ThL>{lR$pXAfY>K4L+}I5 zxc`v;q7`m89rfZsPQ*;}yS#{v#bIa!ald)axcylVB!)XYwWv3Us>x1ca*Z;go`M0$ zs%Is*0jYtZWK|4yXP9-4*K?%|N}#~Dr}gLl(RELAaxK`05f-gbhKOo2fOI>1?MjX* zkQ+^!S!qThmo+s7I*#QAa*namReQ$9NzfQO^Zh7?SHuvCw zkaEk1v8@nGF~DdnD`)jKF}CNp{qUn3R`M_{#kbEjG2Z@_qjZ@2DmW4KvkK*H;#7vb z3!0Xl^U^KHoD8#zPb{crdn+SkEYxd?`vT|)_e*)r8sqgGYKnf~$j9^yjcf}B;L^3xhC30IurdZyw%=k^=L{apj7tKJt# zK7(#2QQtI~7fM%lfsrlEoRldX@x#zlw`!8LgUS;p};B3>=cWK$&(C18GQSwA*|0zBEwJ z!6;`AmrbO90KsoXi_ytRJDXAPF_gbP=zSZ9I=shRB3+JTY>h2De>TthDTXOO=es8yVzy-M{&P2lpb$?5Z%MH-zl`q=e~g~RCQ7-KX)4D9H7U3 zTA8ErD5^$2;d@%WElZ=MloFA4H~F|h`W`v$Y-C#*bJ75kd>W2thhyVx=ZzCyKPwH4 zOB1J-C)&c5MTY^qi%d6!WsTc$mueX6~-a5QJ@W@=c@hDoKlvk zk3L_MMa_4n%pgbF)*v%8%(-t`E2f%RZ5#`JPfTXr=@b4MEUek2#BQo57X1)ThK1L| zXm$Qd#hz0dTNxROO5k|RgTcE@-@wObbw|eB^p0`9zv*WYdvs_UfA;9X zVaUsq9{yVz`vb;tL0+D~XNGR&u!;_&`!?2RH3%#22rBWMjbii;1}}W5|AH3@(lD{{ zqmI$OJaZ>OC_A_6FiBE7gIE0N zYb*~aAlsnTRAlZH8v5>5cF?UZmP~=PL%w^Fkl*t&&YVE`h@%NV?dm^HEo^NGABRIa ztPR+VrmBQwyN7Q3GZN-yc=3rtDS^C*jh6j#O;u+U^lKw6IC*%|?A$x)}-?AIG({P*%~-$C+dEN7i^0 zJR?rQ5R5A(YpJ@soEyl!l!8r9q-@x(4p2b2v)BhT|(iU-z}3#X$SEmTgy2pgNYK(oK+mzTw^W zDF(VMAdaPX`R+k9#BwQxM|IT~dh%Wh z;BqNl5E^BY!ACe?^BHz@O%1TFcd5mi*gz!)6kFFDJPj@=3AM;%3?@fjNT;f>@+>Ih zO)t+&Ymwo$@k5FK)@BEAk?$vbKHrFM{-h$JG>2at3Ov5zN8B^P00(}w${QN$&$VD6<^12SHNMYRzFvZVHJ3L`PlI-IXQtZnr>#$ld<)a1lZedm;=U6PN$hwYj} zQT_Xvc&-Za+V?SoCP<&9dFj^Uia!Td_A75!Ue&bM;cRN?^SDstwVL3aH82X6O(2Hn zkm(El<^5E4U2RmVyd$D_&q5&$xpm{lhA}^ehBa+?7NY3jAb68v=Dp4jd{uOoaH^Bk zdJ6Cqp7X|OBpg_rGMr>AS`-8nHlyHHA&ej3Y$?Q-%K~UdVUv?svdd@^K~Q#{NY5+G zcN{mRu?}mi@7?l|l_4hSF=V2|d5e|Y9=bVaiw}aK3b-eNKTRnclA|?nQG>o#GpUPtH{h^%O;98_~MJi=U zI#w4|WA?kM^6O24y!ry1_i|jj$g~4Scw-E-04F~XBiso*an#+SN0KGYeGYl47u<@! zb57Vqu`=&BwU|^HXqt)sX6trbE$xmB#3kkjlCn)0N*)&~CFLe^OGACh2^Z%5wJX-t zph~8bzaDI6-!1$kx~D?8-{sHBymSZ|)PKDpxhd4k39<+R!@{st2DFYs7H>5(g^1o? zdB2Y%oOi(xqitTgfDGCuTw#0&yQ(MO(f#|tGk=8)DuBdsKVB8+5otNOfrsC`^*0jL z)xU=Naw*%wyKROe9HDoKSqNLMCx?SQUUILbK?^AI122o} zSs+hRvrMb9&A8Pq!81vM{B%w1fCM0_eG+kz7(tQPx=Pu1UZ2o~--o!Gv3TVq*viiR zg+lUUMW3B{$B{f!uk9L6V_~0Qy958v%A2>2Sg?{_$YKl~=FxNI7zh73>to~JQr`J1 zX}EP1Uo|)HItW4v#g?yn{Op87tz2TiUA5A!?zh_thf?~l)J-?_y>)`z0;Q~k!;%7@ z`sM;I3;P1sGden-b

i+fz`82s#tAHDs&-L4ygI{2Z!CC=`UBVi-12g#asCc?^cf z-LGtL{+8H<^%qx8R0STw9ss-O2l zWaWs5>>hpm@wq`vM&DqrB-L$bE0m$4@$r`1epS^Qnpth*%o*0anpGrAzW-P5Lxm4v z5dM~W1%oipt!N+pD6lkCr8;ncuDWSkV3?CY`*Nm=$?m1~86DnCJpISN)TqqQWjpkB zQeZ`T3fZF*C6dL^f_n3sMu<^DAjF8ket1U3A+w3e&MCA2#KYivh*5RmNH|vg%PhNu zx`vDbAo3_~QoG<i&09x3cV9w8`3V5N2#F|4| zxj^SEKr+RH10SnXFfe>RIW#<#(e>Z(E;3}1ucAYC@~WK}1NjeJy8n%5uEV!(E%~R+xP`{i*HS{6*Y^G%eEi=L70h2#Itmd( zTb?{-umXA7Wu2-@YOHlrWNNp#@Hdb4S5#=Um`gSWbaUWDa=t@fygxc&WJ*CU@^OCl zkt?_#c*W7Vs@F7zI?zSzkCs%r40Rv<|3+A9Hn7xPZM{f}Qp z=GK!PiE-1&cF^F@03UuUv&Y>nZq^+SRR?t<2p?ilq5ZJ^wTcX&ngvOlwm75VJ&ZmG zA;VKh!xs;o6TcYr;o&n$42NTF9y7oT84n+@ERR`hSHRY7@ZWN`kP@=AfWvkK`s4Db zPz$i;A29{er}1f=ODUmqWK}C>ou_YEd{>o8!8w^0?1{26#8H^6>V_t3eSlC1AD0Yh z17x_ConFD{!?(|D7}`{Dz3F3d%Tb2p{g2ifE+^(~BxpEp|EEwGMhb`;>`Z{&r@t$M z(CIPu!I6=$%~)HOMELaHZM|iUw#9G{3gxiXpzuRGW9TRvT>8JC^OE%-^v5|HHd%&S(=Yg{UM@|-3w$CpvXXh!u~izBq}&%;r1=qpDFM&SCG!j`n7aGmq+0{FFXD8*fJ zMnlF&u~3FbvAB+-AeDO>f9UG7I--`x_=xLa>}a&=WVE%{cc-h>C-GFX@}p$`J@5k8 z3QhVVy)2z1$ng__m5+}Bf12aFaFL-`#COSorC_kXHd5r4l=w-vvix)je+e-j;@2{- z>~|c{;i&ZGC-E{V1p;W|FEk-(}|CLZ|XgtAH|*?<_OJ5c8TakS@3 z#l`ECj^8%Jo8nbbPCHeEX*Y zl+bei?2-#AMGFIdYpPg479=^k5#j%#;o&Qt!JG;B|8)7!+3`9LzPuqEl4FfmYj7J_ z(q*DtnviA*j(c-q<+q|636n`le{Lwj6t(&N7Kh~OmGk!#qF{~tLD9HIvWgA5-RW1a zn`Gh-!)c?=7JJFHTqW7gGTl&;P%2tXB2=HG1D>Pk$9l<)B9v8@VnzSq8e_x@gJ<}* zUx=I6$%59H>_5>VX@?NAl-po_Ezh^TAg>0a0<-J9)PEk@QN_WjMnh`I;s!dio;Nbz zpmM*Gx)Dc7>f8Y(t;G|fZf^#4J1a9(!Yml%D15)>h6WbtWiEh!mwXH0r4$}Ry95p5 zxTVQXNE71yFU`7NvqC$7f+D%eLTCGgGu^-ikT$irf;y>pymM6w)J@}Cm}09$ zvz5Wb2c)ZaW-=$t)`)z0KGjJX;o!L7T=nwz?YzBUWi+(lVGzi?fnDkyg{OgCvIvN+ zG1Sd@j>qa|k<9N@o)KxO<55NtAaIurn&hdL67Y&DR(DvKqTD|g%;d*nd*Zqr0K4W3 zdN>M?gD~^YuHyqd16_}&Ce`J_>_*9`daYbZ5~p$ZN}h(w;LWC!R6Bl(cR7038+N_$)(e9J0MCn|laCi}+;op)iGYI%+KV>KqMv0!|1ye?y_0XG3nfH? za?w~CcO8#@7B)SoMhv4TJVssKN_n0PPm|Y@^jW#aM~VdVRV0|l2cyKhFQI9Jy6E&S zFmB)u)m2S;p%^s4p|4TN2JJRp{Vd2M@ZVYvR%EDc$`O|088qDKw{e>Zl-#Tk=SSIO z)z`{r8D0$(ivUonWyT;GZoqLvUFz2VH!3BTUv2D2`_PUDIGC-C-}A>H91{ahD$yH# zh46_X;AXsE;r9IT67&$f^C%;MYXnk5^8X*jw2|vxkZ!2$1l5wsW3chRXdf{I34zdQE@~5n)_vfLRPoM3 zZLsM2nF2eGx9AZ~bzo*Fv%&$0eO@X>M9gC<7jZoL<1H`Y^2Da~IB}2;M?;v&)R>p- z+F2|XLGjSkXh}G3fT}SXI{h<#@xYvJW~t$)?~kGoJ!%N>`Ty3z|Rfa`@E_HJ^sP0BN4lD z-osmNRS)h{nEL_my5DZs_BrJe)D z?AN>r!M{iNE{v$H8YJrl%vvh_L`I|b{v=O&gQTv$Zf<0zkqA0IYe{7(%?(wr=?oZ3 z3sU-cqVH{K+Qi8!f0gQMi7enVf6vsz;>fghtQc}OKen`U>i#~-?XM1CS^)UOJ z@9xMh@18HWVa}A&q8XIofroumqJO4;erglvHj1ALC|B%e#yIRV12>4;<{L#ly_uNr znZwB(11~qA-zWrl?AXlK+IPzxq!e+=+R{JM61=T;8`iVmeFR9IZX7 z9%o@@GW!Nq9Bfg$9B^E9Q|G!@1XTY=#(?Xa*^@Y_h-!NeSv3i&>X?j2?CkSUK8ySe zrGe>_G^xU!EW55cNkJ7*NppZC-Qx(%HpkdS{7Yx-pi@_5X`o(up&nau#SY0UY&0`? zU!b+(Vhz^wXU^d&mEJW1B@SG4LbyEY=vT5gGoT5v>wR@lUSPEb7L%xe!gL=!##Elw z$$Dd*Z?XYadLE_YLPJPhsNHK^6?T+Qgs4OWdYKP^vuko9DTPs!E5y7Pvu{#O%{DBJ z#YmJf{Nn`H{!2S6p`(zdJtE3kOjo^=ckDQ%u=$$91A@2ql&F#+IR8XAhJ-uBiEW%q z;cln`J19k&zs9#F{+h2u`jnW2l4NVmz6jBMMf*;vhzJrUKe!>Q>;*Yn`8tVkS+A1h zq?|Q3#;rt6cy*aa0O!3^5ArcBvT9vWL__c{{7reyDin{729g<2fw2R{=R2GZ>*2+p z9!%C<&{<>m&-SRS9CZmo_bqMpe&3cD-qgMA4QTl#Og^9I6ajzUeMJTX_ro!@nGk*} zX=CxMW=13@Y__<_d~2&z&8+6vh;k_Xv~6rUwoPZ}tco(y0XEw|UUmAmgdFCSXFU+m z;w^%K$|gfVB~uku&{q<9_6ijArO%Gx+bJQ;VIO(XrU|LjN3&%R+dGx;P+SiXBz5_z zV6#ULo>a)OywD@@{K~CFLemO=-{rrFL6~Ed8|Ybdb~y1pubkj!GL>k=@08MYPTImvuaf&#qOXS)`k8-ij6!R-9kkxk{tP1hE0= zF@04?%s(&hEJ$15H3PNHdb~(}Z3Z(*-Zn=hm_UnCoy6E1Rri!@ z`rk8Q853M8phEl%oO-e$`7>X-v(G@9m_ZN%Pv}ymkze0iD|z!ao{bT@RiHgMO^_r{ zNg_-n6z?fYHech^RW2zw!p5x{_DqH35jK0sH!X)gju2k` zp6hV_c$bjzaQ;RTiZViV_FV~2Uil-D5bZQ*7B=(CkLnGc1!sdTlPCA(Q@R)Pa^r#Y zhHT4E%wO9R0S}IQ#!?gYuag3*jY+&SCFE+#PUqH-VZa=c*?jg8?X)h_i9Jv{<|_gn zyrqeRg*I!o;B*<#SPN7sZ~+DdjF}rBG?5XJFh-G%h*Q&Hv#$=;XrM?CT6li8#`j?y zJz#h_h!!v?NvU=Tej)t+N#tDC#t6%)7u+cjgh2&>h)i;(s8?wk{3Yv@y%#aU7h`p+ zESO*HTTEm%blT=D3(bOQ68h2|02k0go%I1nlLnR=NaS9;=UB?)WXwSuPA-GhLcPI?_TjD}OSvkbUeTdr9*h)o=EL2hR3k<8 zricvdt|mGguJEw;zkIhc25;q6*Qvf8fg+&Ga$>CNm%|PJhd&DJu%17}7`q`T02Ii9 z%E}xPV(qzXWy=CY8T%0HM!5)jn4yyfICDH@ae?|3h(!>nxWX_!z0(GL8F@hh~^;^dJQrh(m)>3pzP@-=%A~dEso! z|F?Mq@bfZJE<=!!cHFDIVqn~RBU@^&gDQ&?>Ekh6`-%6`PDTH?dWx}xcqj`j_)QBk zm*mM9%wAJzq4-Ep77j(V4_+13ll-4Yetss3 zhl6*po%z^VY2I_A>2G?f^kg$MgRr!M+J)*tqV zYtEYU?yj@kt`?8M#GH+|^5XXUih0e&dBY;XR9E$ezx&q0W2Z(ZXhQVtan;7ab87~McoL#b> zc2v#ISP1QKDmC3C2JqLfaf)>`(|8!%R192LP&wTT8=>0%?x*5@h6g6TU5<9o6R}+L?j}LGQdgH9Mfme?k=J5a zp&=7)9tMFVgm`bhL9Z{*ba%|>G|j%bJcq?@<=gsmAy)$<~TEfQ)iA|;A0LGxdAC7ZmP%iy&98W93{5GW@_Hkxv%9a zZ-tsY@7~LsMV__T3fUezgnJhd2)OFR{FaMZiM$^B%1%StM`t|tLL0}}abxt4camOt ztSV{dJae|P?$7Y=SBwH($5=D^@E|L76?wz^pMdJnooG#xd9H$DbK}n+(ZG(|qwM!0 zUOhjJToOA84H@Rf+lyY&ZWu4+SZzBlJwu8*i%az!H}QCp;vJ4q$L?aVfCMA5z>;7{tfhcP-on^I+Wqb8bOObnT@TjR24e45hXix|zLtYH-N4(W37c0Bc zHxvrG;twj{BLYfDT4Y0oFK4FdJbSNxTe+4lqbspzr2H^X>cuBgYNwOYgE~n&r;was zebaCX0Bnh(3$;ziM`T5NUe$Dv2F2_aM7)|EhNlU%p46h$BOgKW^p|~Jn zjK-Yg#RLvO<$k;^&wANV<#0z={OTsNcoQkIt*};Vumd4Q3CP?f7|BjOqR7J#Z7|-; zWC;JcnDD#eo=0L0OqpL607OQM^t0l?Y5=x)Na<>8>*mL>^Wp}pQH7o2Pq79%3SYy6SwCADtUkkXD*%jbW(@6C5|!9 z`e?fGa9KuH*?D#qPaeh=;Kx7VLCd1w<$LH;BQ*Cb?XFgY+dxCZtX){}oua8UDDvo~%imQI| zQJ!VC3Qac|A>V2cW6JmOx1*Yi*YEFT2v8NT$Mg74N?10G`(UXf%T=kA^f>ZW@zR8- zI=y@O&-6K;O{#Z?eK52a>AuTr}Q!MV-(*oz)@ZFIkiE>Iom zy{32>Dt}=~sD>lVZM4UUbfDA|Z(f3gg{)5&_;nLz(hFHkpz9M+pMRrRFi!IN{*8i= z>%sc7K8)^1f4b0HcPDMto2Gx`vAboTiN@gs$4aCTl4lBcUSJm=1WY0Q%c&Is0^%KQ>~TXm-RNY%5`6Z3dnnVj1qdVAA^)IwkYEmuNS{XO{@e z*5qUWR@zSziXgb$iQo=utnHfp-Eiim$28s{1a0b!t>!VxyRF=IJV#JDPLZH z-bBtzi8cveF$c6F*}qCr>}AFYVCn-WO-LgsB$4_P$J9UAVXt!E{;uxw9H%LrdGbWT z+gxAlPbUNZ^VY|O%ZBYReBEWdh7y`21-*vjKV{5s1*6$>Mh0mZjHppVX+OE=|6YKF zZI8qp_^g_G*-dVYMfH|yQ$6@M+Av*fIGp{v%4B9~VBAH(~ z=mMGV4tq0Dy_0E*wpuSv||&G}e!b(>%l~tBEPQoR=9irBt}i-aABJiurq-n= zpLjHhyy;#=wrW-C3x$AT;<$1@O-J*&F~wf{1GVX&l_dhjt3cR+gia8e+$4V2ZIg7d z^X-)i=QS}w`%8s^#7rv`kIHG>_>Mo@{NYA^5z6vDnJX>qZVRUv*`N9m15QZ&$599m zmpT?Bdnbwh%pN`>zE2dX@GXv=e(xw5lF9aoJa{SbYbu)0qhA%a@9khsw)Y}EkGwM% z97O7UZM=$-*UySD`@j5&(O|++2m2^BpRWoBaT~Mdi@Db==!)~{Hw}8W1suNP<1l^M zGkBoFntx@_vv9&7WojfTBDDWF3w8z`s`rX*w5?25e@s4{R;WVad`L-A+pbYLH3Ho`cOq&n5FB161i#X(C=pTAuDs~LGyWyFWqg)u>71fpb@&3 z+Z-#Fmw4qv4dQ!c+*^3k`>)z+D_`ZDUA3)CgIGF~#Hl6G1w^Yqqm)b!4gOV*SxcPn zSA#grp?af};?{naHTN8dFjU=?>^U9mrP}19J_J3#d3c#kQ}1C!c2{EDAtYEEXG!9r zqUYNV>Mo4)I@Zce4agym1{BlHd{$YSL_`S68L9E3^!q&t_B^^Qj=HkMIn+z%e0Orw%3;t=oLkyd{rqK=;wAMN zuu;Wp`n%tdjI|fNAu+Ou6Hkqm`R}gx`xY^U*Jk)75#U@atBgT8j(G-I&W9* zVI>$8JI;6V!A`m2SIJx>u{-qc?Axl7ja?hP*-{cPn+J$z5?h}Gyd)^=*tw%K@&a9L zPd4I*f9~WQU#1xolxQm}83|Kiy)-UOPdg`+B7eKSEzfu!avQX89=_klNc85ZTQ3Qr z)gKKACkzC251LNH+SqR%G!e#kY?R`_A24Ubg8+A`m)vQlaZS!_SlY%IQ2t$2Q@_!S z6^Vr-y3dcuKK)R{`wb+`90 zH>3lf?nijkheW-R{2*rh2JJbw0x23bie6~^nGoT0zH*0;bl}- z^c6+N*s~qISKmB7-NVtJayae$t{()UD)Fbo?2UX?#TnMQ;d)d$k$=Wd_`JZeq-UCG zH689+rQ%z$bh8!{nT@%;WBC!WZS#+7-e<_-Rl|K8+xc#p?$bNdL6uztPfn=Q!oH8n zPs1IerG?Tu+QoA%l6-?=uD3Y9LTFU^q90K{Ape8qVlu7iLI@9}@)J4GGa=izGvogI zxPvDrjpN(q+q#my(#wtOp2$+GJA?-&piAwWAAWtw$|T4Io1U86wK2sJMi_QVAXes#M7b^YlKsBzD&5el*gt z^{}&x>CqdFUM5nCcA10oDN%*P}SaSz#xo@3^kM}?YOYwX|)y+r=04~-dSB(M5gk!25zwe3Dg#3i zW)jCq574*`OyS+56>%gV4`4t>OzsI}N3HRP{qd!pc1XXgQGKfVj=`` zE6Ky2*brPeYQp;C%b-wJ-3!}Z;JK>||HdCa${<3NYcdRP5jy`uUCS=%&wKPKVWA#= zY=cYgxZcs``!mfr%;)^h5^pQddJPypV188VVE)6T{MQfOR%!|BIdhYiZ+D3zjD{IR zk~uwkn)(kSKLr}BoCPhsTNuTZVQ}N56wjy+!5*IPC@-8qzPY?nNYu&q6SJO6_%bdb z>Md}62m1hDd}yVX`90}K<*(JjcYKxR%w4$y2L@zAsfDiXZ^hEbOs zB?YV2rVKnG-ST!n(r`h?{Z=t(aT4OYYeA4;{6!JYX1EhggUWKGKU-9IKWXYN)^u-fB!3eBoHQWiIarvR#+<0^EbhcnUOO4w}B>cdaPnPHE zj-l;kU#4HGZ}legw8JEv);Idnw`L_kMCvei|z>))Ln~4cp=J7_X}p0lYUV19Jr$64(}Ja1oKFViU~iy zqrc;a)7Jc{Ajbpa++p^>=!R?qnUiFzU*)|!*Yu#R@v@|NnY67sY%^vHVa|7&B{v+@ z8xHnkZy#uLk-}rG`I@ugq zMH$IBMzUoTp(wIBX7)J9Ci9S4@d(*PGUAZU;aDML&p3|km6aWS_whWR-}n3d#~=57 z-uJlfalNkB>w3TSS2U5EI3|&_{YD6va{5%)vYD27`4PzlPLJ2g&d01KyQ^M^4ztT{M@7dHdZU!f~In* z;9kP)h`l6J(ITi>$-Gsp{#G_~-qw4rfZXu|aQAX6=T3P?z)p>y3 zhp>>z@z#NFJ47|P*CFNYx&E(x8HD!qdYLN9R86w_j^1$ZTYtCiIRa=By-DhNU}r_G z$_nlqh`*`Q^UZbU&FXJ6P^l}XSp?i#X|w`8in z?a8&0yOQ(fj`JFrBvS>d!9|^!39bINt@z_VmHya|$aY)sz22H^-xcJ{PUy z9c;;DTfRDU>R*9UeGTvq1lo^;)5#whzRt!%+g}ZVt#1V8-m=po zi3OOuxAW{Wx6!!K<;MH@u-v0(Oz{B`zPBQ8 zy=-S1`rOy**7F&nAzJnO0NL7b)otgv;vbROo#9LO%idJNrl(Xm$ml;V=}^jct;cHJ zYGlhflqd`lu=a|B%G>bYx`zH_^@>+jUU_K1*|7{!Dib<1z`yuZ#S>7Zk3>G6IgtF? z=K823DyI@tm}1;LBe^uS*Z#qCJUt-bu-bw7gy4{z`5IqryU>;5x?R=?trF(tRii#`N^4;r#cwT0eeG3QA zhMHF*}SuH)?wc zg)}t&DV~2M9s2<$$IlFKk)Pu-!#5jt7Om&8d;){}UDoeb8!;CX9c00x=cw?+4J|emKkE z;qdk8sdxkSfUztNjygFzoL~FRp}$g#ADk>k>ceJ^*^l6#52BU^nW=u&!j)rxp1%`u z%9*CeU-TD4IQcZ= zYT$=juJ<=!v2r0Hp*dJ5i+b;!5|*%KQeS=>x=;Q$^)(txUq`e;C(+FxZY^Z`nFUvW zn2}C?f@YLVQR@I`ehVM|0i#TPX?LsMA(BOvpeK~Zu;$?UeX_X@S!^h1Ab4F&uUdsN zwvzij>fSv4eQlSUM!OQO4rwcHeGqt$)R!S|N@o+YK1w$hr}4S>GNdQ>iB{t8KrM8l z^$2sB(D2Wv)kHq8sEbRhJCzJWQdFO6Q11O`H2+cb9b&~Sc3IdnMBrr|Y@=&G+Zf_r zI`99w!G(ot-KpuHKaqy2ef?eHQ&Y+Ak+qC@0iu=90^b(w4fd6Z@(qXS&QOW+kN&`* z-;>OyKNMsqqD|TRb+zV+SylgU3MgP5hYyHqD<$Xk;K8D!ztx~@6;QFKs9Pqh1)HR9 zj&5yV8ieaA3XjW?g)jr)S4Mv*^u8CDt@cux8jaDi{1Fj(+{@`~sPPdW6Kw<#)q+@C z|69PI`;`xu=KUx+o$tKb_c4atD1AZW*&z7ns(O*kSm#ea5gnMuQReYJ!dN4vFU82UBNBJ1732^rp7CfPqHN#7?h@)Q7${cHNVyJbrn`z<0tRA%ox^Z<`zN$FKnyy?_)7t*j9^kjgch?rMe#m!6ixWG^N-cn zowuDWLgw`MN5*+-f^7t;-X}4A8|~@f%ZI-OU9?~;17(IoY>*_xM-HOP=}!cc%v2E}Y34jnL?j(`#P* z2E*tG4_cWGlyOJkH>3V>dyGrF%P3$Rdjk)CJKr-yR1?K-I8fY8o@wHlP7~mnK7lXm zwG>NFpIDwqm5WhQziZkwt7}49mq@(cn%KfEHoo(NEJL>RaE%!n+0#4DI;)ormx+$A z`8uj`=-IZpU%$s`u-2PnD#B?2sSgH$d?*aA^?=F zdk7Yszs6wmF9%$IVgxJv=Ky||+ar59Y8~(Sq4q^Q5_eG}z>{P4ud!H`4aJhDj#&px zH`SJz{)cU0ufsCMXOQ=|MvbYRFJJpB=@vjOD{4f;a%K&? zW&GJM3^{XsEvG(IIY`7(YA+&uTU%u$O%Ti-yYKl6#Zrd=edk2ml}JQ-A%)%`<@oO! z9N^7Zx6lvF7-2ud^#U?r3`PJoV4%#e-fvWJ6{JEZF-7Q38}~&sLQMUYuVM43{P;() zp!XM>^u2j?!MHEgnT#=p9Wu%r*f*;9Ll_wH+lZ}>AEqE^e_#XHIQ%uG%RA{PYB~GekM0<0S6ZD( zA0q)%uf@+HNRa9@i76YlJPGzej@d!KnZ}J;mZ5KuKl(NjW=fpLYhUu)u4#$(Q2+VI zpyHN8LH-%ja%p=`(@u+lMq9mZ&em^#6%)$w z>7&)uM5pRL^3-gr=qVOeV5 zsdX6jcZ%b=Ptp=OShkh#^e~-6HCc(pXt!|=c%Ww3$iIU^r39v6GMP3vXsJZhhVrqN zk{zx3Z9FftJWdb7Q9RBxbaQZ^rB})n-pA$ zfwvxAb=xRx1XKTf9EyZ3Ttlt<5(;#$?J6<=s(5Wa9USv8;DeOW=l2Cum0>$As8Ca0 zO7geQH#uG6co^hx;TOf zZKAW9dDC3Yd1}^e9nd>!r8y9%SxqXx{a~v|-%9(rV6ckvzjEHry2^@v-Yo2KuB)Z& z4dPK+f9a$6KFyNM&6Ke&aLWGkB@Hz{uU8hFO~I${A3f0ekn$Z&YBX|RtE&GjO5&h> zN;$q=&2{ge7S0Y~i#zP^h3^k3&X0e8YcCS}s~3{x*S!Q;93K+t*l8IL+q2dzd(#@$ z-;%|!^=Me%iuna0JHYmr;~$pkzFw5gv|bisOMACRV!Zi4Zm+6It1zWuCGdur)5uq; z_Lc{&a*6vRe2dZu*{@>lv2?|@9^kk_cXMNAP7wU@18YYw%FZ`XR=^YRX1;J6Hjmfr z{zNPRd#~wA5!lS`FZ~;kV)c?)*wj|2;iEdq@OVIEjrL>C-gm_qE8o;}8kv*Ja>_}3 zf%mko5VkFIv8*Ymq~WLWWa`yGNq3;Hb0JE@w)G_qBq{DPC$ zjF+#5NWcOdNKx%kZ}#qB%DROu0&Wyrk=UTO4Yi+Y**!fRP9rnHbpPsC6MJ{_y;I=o zD3J}CFXg7#_0eOb)|bAHOx}z~-1HMxYl(MdEVrAXUfXXUp(3n_l$=J{r9AaKa!8y#oouW2(?olhQl#L;&{+`8u$ZBH8Cth?{I=|Q*dORp z%Rh**)SDtsY4^=#YJK-pO;vWHkT=V6v>W^#?2YkTeN0TCe0NRDg(diJx$bNEz;dLf z^A|z?0-t-50DX(R%p)JLE>c9$7E40fm$?5uu84?&>Bb5&W7~+DYS9wYriIZk{z( zxl;zgXbb)>OUkZ>>})x9QbAZOvEcRBEYl%^6)|(YF`tHj>CF2x-KK}>e^;#?6{NoS z^Pc$7k}L|C96xrOyKBF|*cmEx`?LZ9`4BTRMY$Y2Tpp8lvu20rA5mv*8zx@JOuK)K zZ+2>L^hANAWxt->J#o!DD*1o739$`!(sGPV90hW7bt_agvp+bIz@CNIy?gS6hw8eG$7C$;Br4M{wlF zATP(=6T|vTu5HB`)cF+mAyk{n~^EV$PZU)5n@!S3IRh{~K_8P;1uvmzxvA267y8WwThpI&`97u#J6z~@l{FSk%ChiQJJsey*Vzamjj`FV;IZ+Zt=a$ z;PJcsOvL0~Sp9@wksMY0gG&Mp&6YUr$7rxH;oiiR+Xa-C<0V|JFe8LdSUV;!)Gtlw zs)k_S>;o_&uEPhAT9v|(@hXZ}z1{5?Md!zKe}Rb~9H&#KH^wW%#`duaI^AUPlm0g& zHjcM`$r^FZPOlx{n>oSI25s+zzEp``@t2PxgQPD0LVW$sb$O|;A^QnO6(#t0!wDHo zf(ctDIy0AF_4?I@j2aZuRCu+|%d9QfakdW4S|j0^!NYe+wRb~bnse294umpwIC50> z&RR1j^W1_K31zv_BzkcdfQnWR%G@fc^x|KG)|(>GaR4kc_ue!w=oc*WL1S!DYhkbbW!DO@S0+z>D~Qbr#wJ6OpZGKDN9z7G6Mbci zgc2vKucBqVoh7&K|Go;hlSmJjXsFg~{EU$%6H3x7IiPq5)>=ntZ}DD+<;dcl?c#p0 zVbstEWa=6=0fnb@&K_rAl@e6V=YT(05tcmc@9i?# z&+XS{Ty5PjRWYd)GjrXQI7Ex_I(Tr*#!gru36tOYe<(b}Dxw zf;eyB<(zZ=&k>Q5cmc_Vob6_v!h&;>+$#Pz@0tEI_tr?4o9{*9huTQ+6Reu8KwGwH zY|*YpGv8kR$aI%YQV4OB*^4`iBT)tldp0K1{=C!utA1tA$+O$DlO0zn?|c=2{^NI( zY{SxI`Wo1OzxM)h+KTA&!%5a#g3OYif6%Jh#(0qAnVMpmU7mS&yw)ZAakwj3s(FQN z7=HG6)t~niqt-&tk{nf7Kh%C(KF&W2k zfZ3T`706KsZjXD1s zt(!I`fEho;&<&G~`xA%v(?Y3LH(xH*)zAu9|^CA0E=4_j~RJAwM6n z2*&jC}x)u!0K zX%^5HfvHFfs;aY^BhFHXWgnm2PuPvs=oiWYlv0FspPD$nE+e z>_I@pH7Z9lvkmbNlaBH`YP2I@+e`5jNz#q{PT{nX7o;26zx=cpsu7o>Vs;z7_hN|d z9F`<7&sh`pUC&m#iCd9tFZ88e)VXry02@f|_ATA+f$z>H>PL=uiq#(l|{fQkEEq<%iP!@ zm8M(a&#R1m8u8xUec&@%d1LXk%@<` z+|;eJA^Z9Y7Z@2GR{XmI2mSeGfthorH;1iZo`(3!i@7HtZkDR$< z-jvsCa6%%-#mOe*E#COnUX}ce6|w4lLCE*qJNKVdq2P-XBnMun)e|yNa$Y16ZDNSf zqr*CuW@nt}rk3&4+dcqq0>ivE8~mxj=Q|=im-C+yzuBNCNKIbSq9C;PPEddfN?v%N z4aPePZ3%+U<`T;fV;+dbNbL))`~N0J)Xkmt`+b>2PLx|`xGyG zE_{$CT_?>wFJ203bCKnR_kLQ-R`nlV1J`$*o5H&Jh8hPk{t|ti?{zc$NarCLRiVct zn%xk3ftRb7wDm0_4Zq(ez?5%2qcDF+Ri8+LvU?l8G??FAzuRzG)yhW5k9kB&jX=3- z{0lvXZCv+FA%(P){<1J^xx+ny04it@*la2M&T&g4U zwhO;adeL?>NI?R&UzM4S*obCbBt6Aw&|yB1{DegK|yU)@UdL$4;jH6^i z+nqMAT#Qn#IpShr_cV8!Xjr{eQ7QEmRo-3<`WA|!pz1Q1K%md=x%x-a^HK)EKRSgL ztzJmV-O#glR(>f+?}|6G8@Ec7U|J}P`j!Y^!YTJBR6|HRybZ$OB?Ydnpa`LD*4xwnJ^fOy$3P8 zU8h7~X~p-P4N9$X!Bz4imH65A&l+}5y*ID-LT>DYmLz9!dGG@iQcFTL!9Ol!97W{M zZy0sAn5pzW?c^R;l<`2Q*`ttlbKLMSQ>SsNhI%0F>Rwxe5VdRn5^rd;Y{S@ab?9mN zd`85cx+UT8UX-utHHh87o@&Z{$MKTD(2bp)0J;aa#u9U#A3(4tmUGf`efCDAN2G^( zqV6nXF=2!Srdp5I%HPrpN;Z~lgS+$8*&KFF`qhSCLPMz?r*{)oYvGIC`Q9=j?~PXr z7lqCBX1NiRb+tSgdiSxCPE&ZlhH}Coqd-C%3=i@jhcMPTstS+MpFKoqlur zVzSL&BnJ0AaH(4p-S zLZhtrUFFn%>sFXkwtsv6TbB}Bsf9CzXHwhXTaxG|^QgcPw12DA5GQp;2wjtWh4r&^ zc}JOU$H`bhHZvI#ltjr^8TO!JG;tpO0HXKA$>hNOu|i08Qf;n#DGhp$t5(1HMi;sT zv`{(4kF$L)RM2A&nr44od>Z!rH9!=t9U7B)lTPg_)Rj>+n&W07B5BDB;nOE?^k_Z6Qzy#TGJrIViFKL z$?tSkL+Nx|$)Akm{078mDiRo%d+#3477WIuMKO})(S%y}3vSmMolhPfCbylR6cmI6y(33juj>^NxcU>yB2m&P(#NPb zFj{I=7seOQiOzRc@B4f_7W=z~PR!c;kaeh|zPXTxKAC-360O0337_3w4cGX5mM*i8 zRom1C-e%P-ERx+tK0%$7x)pMddMWktu%9xG0R&UW<8`rE{| zf2W5B`pvsy!&ZB1&0gAXGAzB!L2?nWiN6?klxLB=%pL*OTP5->X^{k`oeWIfUx`YF zL8=FWV-8=kECMex}R3Xe*@n7R2obkTC*RY@w(MWF; zu1(CzWE1V!Rz{p-rsh+GmN2O~jrO&#N{GXU3#&4Sf~o`10~F%0NeQ9_HJ^{t9a-9w zZbZWu2!-BqBIng}_?Fm6DySpJhsYORz~z29SHnq0<+M8;wpl6C`!SlgtxTD=qk+Ir zio&(R{MXgd9RFGsHW{8a5m=wCKn>!g-O$yb(h%XJ%#L@;l;bF_2G+N+c~n9btczR! z2NV6*V?VVl&%3vzkq0bg>z`@5*X_R0c1bpb@YraDw94QS+7EpTH+jx@_GrmP(*ABX zY;)*WEGoVkQ?QZo-%zr>qrPH0Z%}Lk<5C$|=;yz(BHwDOGJC{!6H@D4Lfa8f;RZkr zSM=ofHW6^EsJD1L4$RoqU3p&VO$JYyenOY|xzSXQmB;S7xFy)DlSzD*AY`jf59cj} z*?zHLmzH&GLs={D$=%YDXl5L+`J+y{1unDhW{}`$#=}k zgFA**e3s)sHP0D<1<0#T)yqdmUs*(YG~6aurD?_b)fwAZUN!t1?h4%GzXNio&8+$Q zxco=9!`cFu?1?m4qMh?5WW3Y~cWVy`cAoDh>jj#^X$!77DY3~gxb=Xm-8jJ$ijT?G zK>Ru`^V6@1w%rF!eMi{;a=IR!KwWV;4Fn8IgfjwcFbHCHpTCPG23p(*`fTMhL8`p~ zmcU;YjcTJ;pE+xK_>=-mEcxh~yq}Mi_;A&ADTK*JqGuL=aGRAnl#r4(W&L2kLllU= z8ZWkcR=n{y%SY(?`F?1OzUoD=(e08tB4O|XJ^sqVpaTSt{$`k$+;!lIE=)7pH9?#V zoU4Rl5j-&?Q=3WCLG^%bHx$m4P+SI3<-vPDnf4--io^XfE-1p4?Q4rb`(+=CeTMm8 zlYAyg1}XCa{FdW{6|j0vxQQx6&#Wz}%N6sQMRZ;Ky7N^A(JQb!SqX>VdOZ^EMl^_S z=pdN^XF!N6<-)M)#1gX!O}*sywHgTBV`aU5_>2aT7(vE3halicnfCa_sP1#1(S>^C z{*OKjPL_K*p&GN!y<1hGsr3o%%ai{9; z)xrEW@UGn@7K!x~L~Dbr*8L+QUc zzqGXwQ)^+D!{o~7lF~iGbx;J_i()4MOM4nxSY66>01>FrVEmm@po_m?3Fv!VZnc#@ zmKspHh8RIvbdazvE*xP(ARF(F{z@5b(fQJ{dP(*a(Okitsec-XV4QnP%=BK1ZDt^p z@ha=skX@XN7sqkTZZv~8-oQR@@s}C@)(!7<#5?^3smFH*qGk50hQOE0kC~pdSCw*| zI=+?hlB6s~-P4&WtIqtLnJS}#k8ta86yEDkrbJ-NP**dxGrfw3N^Ff8EaA!ZlFrwH|HEUK!B4)x2GTuekV$H3?~-}Tuw?_A*cjbPrXGG#Y# zGpk6$-h9M6>&@Vd1>Gkz|Cx{=`H)81fQ#A0oHJ|Ca5nyQdtq@!^_HvL^p2#B-RTj0 zQpWSvo*X+#6}G$d2={rWdx)7FHnpxpnyz(LZX9vbM&nnUn5LbH5Vsa@$d^r}sj1CW znkrYhK#9b^3CM(*p%Bv~W4f&C=)FJH_hD{bN?%<1SPs|3ugm*#X8GjE`9_!8HS;~o zaoc-4w!&5V-8@3sWRl6((^B|jfaoE>CBLOa4k3c`2R-?T4Y!4wsYKn>a?Q~jenqFz5nzicAVgy+bAKb9he6k!|dvZSjXfPqmrB>c^!-%7@FaWC;zcatB! zRGyp6`@f2r{~~o=&8`4CNF&(+SL#7@20jtTUDNN90vEOzu~95q!-G+t8TzfU0*o2F zzm!)J86#lOIEFFHZ>_j2h9&vCFcOtdk_8KNyF3PHuXLY*RluIdF4cUA)|i{INx%Ge zfpqI1J5NohtQ?2uBkG31#S;=gebFch;j0@tTS_qua5;sMpG^6|c+6Hg(n`YSbsLew z^hYa72h({Y^_uz02h+kY*V4uA8qM(`#wnO4#c(6a6%Rj=<2ejtxkng_d^|Xk<(_Ov zd>|@^nW*+EsPZE?)`x01>=7_c>ZpGrH!<7N;?;7xcz}Riz(eiJHJp+MU+OhPU^BBd zFJ1%)>Cm(e+EzCS>DX%7h@tQ749$-e-x^;LE)5lWjIn~73RNO&{p{?RLT&vibuA7dtTQ>2zclc)d^ys`2uB~F(Sq{N0aFHT+Kz`A2|)y zTkoOU3ahn})A##SSXsvs5qyMyoy^O)8WgARiAeQoK4Ev;7b6U)o4@nOSe73ryt&}E zlbRf3K;V3a*kRUlMg!9IPKkf*Cv4}Ldah=HL}-V6dVm)hL{nZF!j5I!N?B1Nj@ia2 zI*msr_Wd1viF;vQCX8VFrkmo%gG1?rv^Eg9yc&@(LLHZcv}#7W>6)+vy<8YsC<`_~ zQ7>hpy$6x7u-1M{VFUm=e@d;ne_||Uqi)m0Dy_E$$T-XA@M(;4(s?kC_gD*j2#EN@6WHlclPzq%4wP{vrr{) zR?RmW{5+EVE)b_K4n^N=k(HuqyUHq<`wXx>OL(@&lCC|&HCc7+rFyikYgWqmB6?~J zFjJFV5?jsXTYCPsBr$w_LMHuPpE03Uo>__>!k9GrTgPwIv3NG$GF2xz?Tf0TkUagUP!h7`%+kRB4^Idlo zpcpC}#F11o?24m;Synt5lo@v0AN$;vhyMT@s0H7CF&<@(>T5n`6>K5;S$Nx=OvI)$H^nO{1)#(e^EA&`@prCJcBN6ujFjjlWnP27;RrVA zO7A{;pYZ}5e&N_YX>Tr?)4mJB_BvjNXK2pfE=KYG5iZs2k-pU|GWH|zGPI%P+c$FM z{7=pF0pkT*;GsS~if!|^;gacQ)B%OgIfO*-kTud66~A#_o1aG>N^j#=oaKR%UJ_VH z*!hDZxTkx!EYhb;>ru5>)(6re$-DAf1zsfboNqFs6#$bq9&_aNTL*=cBEsVzo$ZLL zbEF(ZZSrrUY;@cz-rR;OzM9~_jSJ?U?WeJ7h*1e1=jG|~m6#KfR_YXBL%G#57jkxL z;=-Q`@zJVc#(B^9hD?=cUo$)Wrh5f8dR0s&N2ex|V>eX(s%1-hJ%d03ftf$?2Cg&| zu1RB^uk;2V0y+lUy=^-%Iy0nH^tw%w%7hV&RK7#KX`a(s{|WbyaL&pX$st24yuXrS zcfOANK*}#^upAb`60&~(lEJS8Is}MG+QKDXlQL|jSS-#?8`~v25R`imaR3kBL<`%G zqHtZ*28WdlY`;n|MEiA_xA*pal@9U3pH$T7q196Oy~TwO$!@Qw2?x%iNatS%T9Tzw zvZ1d2ad)PcZ+@L|`5rJ;?4KYOJXIKGjc z4wk7{rlm^~U(e-nlt;0otIowIL4qw(YLsxVx}#gFX3gDOExqRBQ{AZZyI7%vonL45 zDli$|KcX?`w;#tn;3XNzChIGB*ELGu@CdCSI|+U3QdJR!SL+QX zpAk6h>lG3X`cxth#eRMoa^N@W^qyrTc>mzmlO8%o*Wf$xPuj93++%Dq?3!=K$8`(3 zQf7N;5;)*VxVDcI=`BJzuT3Wbel1mdt|f2pqf zF?gaaBS&VmI9pdivD;E{qlGrBs{N7pP@!G(aZKD=h)&`RMKE~aE-W}7FcYYUEv)nU z_0MF&vIxdCNzHeO5K;Qe12-sK$J-r~FT)1p8k!_l)O_ZkvR&57n90%8`}9l<`lQ+W z^=~bYwaO%+4YEnn4TztTiE#qA8kFY>lS^5GH^i?yg*BMegirQFIT=(+J)XVb*|5Q8 zaZM`39gyR)AHGi3IaCuRmxFrAe;l$p!I;potKGif$9tkkUZc*BJw@MK{d*&cRoAn& z0b4hDFOhU3YXDsOd@&mi0aezxY-tZ@n%N}vmv|i1Ha+1O9`DGyU;e}ljOB*#Zy0N0 z%}Lz7uD>z{K-kS~91Cw+T(|*!Vk{L!S#&pFEfC+7{ieToqmd}$iRn$6-&$*P<~jR~ z$;1Pr$<7x_=}kmK|FJNI*07nTVypBE*w~@{Sa=pbf>C@q`Hk7mV6W;y%lq~V>f@ha zug8b>aGwnx=DEGx@v+(?3-zTZ_D*$#H1m4C>slC??&AqbY8n; zrx=*QqL*@?_iwqzc6URz8C6@5%ll)Mn2Y!wZQ@59C@ya}*!{W0n=TVjF1GfYevc19 zjPXs>fp_V(#fTTpKjF4!_(&Nj9`?HuBzn@4#;PD?6<_49%y*n`kWx%ga!^|<| zOSxW6ozy?AB2onTK0KhqIhMXGWeEjAx;!s84kPq6|IK~Lhkt+YSpx~xqmb_~T+z$W zw*>d_>Q5h(XOKb^oC%x4K-*QODLEpOhU(nzcNfIL>;EmZ7;?+)}or4a>t zOo}*GK(dWi>F)C4;LkaTxux1G{>#j8JNdGRoB2*lS5W;x4i0_wQ@g<8o53~>_z?0H z*mY@C6jp}D@JR!U%KCfrwg%bPPip$>QnhM6kd~H}Z7WKQ?PKETRn+bT;;LPsE6Ko%V0xHzS>XRv0{R}c{|vbTdTmWCG^k`af8%pX`R2^ zoDd1L{SnPKth}*SgnZ`yJtgk>ILb}zDNgiJ=#SCDKRffMUw#Ffg07_eqXm4Z>%S4! zr+?9PqtJfiOQ*|*s?NBc+i~q{kwC*+;;N48CVm0}ZWtk3M}Uy?@A-S)Xm~0kb+U?1 z{IPNvrr}*sY6U2zJ!dvyI1R^wqb=1qBVLG;H0RNc+f54Rb+DZe@bw{s_=c`K6@L$l zB+0cFD5AWjUFWsvV+!uHzP$DPqL%IQFoj^Z=eu>9yTQ{67$JV9G6LQn{{%TC4Jw1v9PWFNponjR zz?WN0&nkRdoq+;x!*XW4D2D#$BtR;;2*vLhEBsEHD|kbs{(G*F(K5UwrY(1EDL@43}{5NC-p{pyaw5 zl?YM-)Wy%n#AkzieSgypqW8H@ZUfX|1-uX4y?F;87?mrKW4p53T-d_7@^?f$&!O@~Dz<#P}p^q%7$?PH_QJUM?lYL!=meT;RSFcv=^6VD0q z1+x0HO)h`PikZw%6AEZ84u47=mCo@|y0!m?+P)ruYVeOira$IyUy)Vt;Vv6qHWx_h zJOgJUxgFp*G?3^s@#^-nIZ(GxK)4ib-R#|WzAT%8R1P6_wSA`G_I1D`H;idEI{rH-cM+=)uj^_% zOgqi-Tt|+;eo~1=i1cjmh}@|TZptw?h&|yyquOy7Et~n|P(rZ�EVA30rWTO_slF z?=ejcCRf;=Y~Jje3N7r-1I=TN$HvXZ!cP}KZra0r>6BAIS*ZR!&qa@iN>>bz^qY;5 zfVviLNvV54y$layk3DO-@LBb5(FW)Yj!~p{&zdO6KhQ?AN9gt=DQecVaYC?QV|;YZ z267UX7mR*a&Q=GQbD^*JuigCQ=?f!=JUFd!82>UBa3|{aIuu^R9y@&lP}vXGM;A~< z-#b$Se2P)VAm_{6b{%TCwaSueCS6|=I$cg25;3A4LA9RoI)!NwL@~<*Up6uc1CyLA zS#)D0L^^wS6@dQ8cluy)^zD4y1IVZus^3F1ZqoDdXP|h- zFpAd3bGZr_A%ZVhunF&v?rs7cNo%isEuav6a!ZYe7^e5Y_i)h znQ33^J24(Id}^X!9nJe}3@4E20pZxcc@WMASC)%`4v`dND`4%yu7)-EAK))uQ&|8S zv}Or@_+>N#^WL=LtE1vMF8GZ&bt>u!2&VXqg$qBwvF@)lUB}=F{EJDGmr{&HoA!P`&4LnGLlr&q}x&+z!&`GdPph9`5|WD9Pv5t8Do7l6QN+ zw5%v#Q&c}>ZbGy#a>=we>z~%zeFOP?=IssT_nJDD3Jx|ZiuXcx-&6Y=ewKjSp&wm; z{)QCkZD-@0Pnm;8uira!Y7oKX1_qL(s4MRZhir$F80VP`;)c>^+I1I0Xrgqnr92=N`taRNbf zi-IxTqYsb-=I;7-KqOad0dJ6OgNPZab*rCtV=uY40!-J<#~VbA*|R|gt)b~Fq%>4* zXdZ~?eXp@`)6yfm(WmP|4gJdz_`*?hlE@VoFAhD^0vem_?}x%>dGP~r(R;? zZth%^PQfB|SzGQzY4rzzTjsLUpOV>MUk1<#`Qev)j;th}ISXyy0JIaxqV-WauVXyz zhM42FS!9e*1o+!_@Y-=^KS-)D)8Y8JhWiVIrA%$W#gW15o_!3OCcvq`Q;R-BGP#iB z5ttS=K5F2Z3Eui{Lg$+8Y8}L$eoqAugyx{7$!h^h)b(Fvulpc!w_qQU4woaw+8z zHR{EH5ThP-m6UL(!F$SIqzL5(saH^U58R!S7Ii-*s(MDeX#4IcSP<{+KyEIe?aUVt`U&AH|D8;yS;Fd_Q;kD4##^E1<*$!XL_c|_|a~7h* zrJWr(XPk&P0A~M6y{94U?t66aX)E|nhTZKco8 zrhmm;7K3KDmcyYlFQ+@%WTb-P1PstQRHvamhL#|OwPQ2R;a!ixXKZ?-*UgdjzaVvX z>|e!mb>hos5Ux_Qe#*p4+kqEyB`A^*?bQTD$Y+}@d+V7``oI$3k^IKb%YC0k51sKyP8m-i9L&Tyd`rBg-K+TnUjGr9K9<3)m*Pes z2U1x#aAaB<)!KMhQ%8C0h#~f zt)G|Z-j%hhvVc4w_7U(`S4YpbY*?>OunQWX$3ELuf9kk=f`$qrWp5l8h&+h2CT4!FA zy;7`b31jSN|FiLHxxKE~Xl>+dGKwY&{ z7WDq|c7VtMV^A-kcsbq7X}B`L#W zgb2SVWr-&c%dBLO+fcbXnQGk!+#Uj-b|grQo*nR+R63ks9-4CkuNH_BqeJg~P4>bF zcPp8oF)D`>sku!cWxZ`I9>Z<~X2i4Ns+W-x^|U4Nk3?I3hT1W!fgQSNcF4s%{kfK! za|>;}m#92tQPp)RUc$yIiqhGk-xTr}xyFQAgEKT)UZ4T3auN+p!XIG%)usrodj7*Z#{C4uf-&6SGSI5Os8|Cz z`m%YGWY@0RgUqs1+7d63mm46j;Os(O3vu-khf~~?-H7%PH>Oa9)Q0@e0v>x{cuBcn z6HvK2nYcI7dD8u@eQ%eSns^8O&~mJ=K*g<|mq7y77pSC?b_z+uGk(AD$856b1=6jacF?8? z`OUv-M6covC%m<0nm#ryImRWz%I73V%-aKn&xQuU6m6FIlnc@g5VkFe_iOB$Y2!hH zmV^B=<DiF`vT4@Fj4R`pn^V3adB(pW-`iI=Ho6%3&3abQS<>OdudYDJYJQ*0h;o^ z@+j&FfF?6JFvol&@;8X-jLJ2&uU4^gI_{rnXWoArlz9KHlS%ELVPPjAW4`I_)-lCE zBu*aNy@(R{PYyhmzuXEqMa-}Jcgy>$pG_*?({%oqgX;H7ZArV}!+>gdEKlXkTF13B zzNO?5_5T+SQXQu%j5nCH5jnu}%Pc_hzF;X{WE>;S;yt6Lo$~i>+Hw zTbxhMG=dKMdD9l$&8w%9lFotLYl~+L2_a#V-D*y*8q-GACum-wlB^5fZm*mOHH%C; zy%jsmwB=ya46-|S9=Gbum7*7wliO$|!8-_#vJi=+f5#Ajc(x4rBS6A2H>5X)o}y&;2pf0dAi_8N3=kNh z$p07G&2TiHx9)5?FjfAm)W1azehL?pIvSU3D)V}a($4PPwTC$eK*VI-+0RFTs;r%WWWz~Ar7(a2qzEetL-j%JLzHufehYla_s2oYl}CeXmb#^EfiqKnL7v=GXb3J1mqSoW-4H~^B7YD!K@De?|@=4ozSUlPUv z^v<$4bZJ!24etjN&N*tt*`+99sH(9dJGkPOH4Gih-Ml^nmMFY-Gl|dqK5Ui_{rNQ|p)4*qK$ut>DF)?WRA8N_ zXiGejyz8@`?i4obuhQdVBoIp}rP^7pUo?L!@MaKN{!{I4aiDcoajo?TNI&iz;>AM%E4hUj!1)6_^lMyWEr{a}I2{A{RwZ_(NO z`6$NfjxO5}1M)ithH9z?~3kzV>NUans|te4Q49oytv^q(#;&-t@u*v3QEd#~<)bNT** z<)<;4Zc5BiOD0>pOXsyp5ci6%q;Nzlt40}0 zkE)@XmC=kOy%e*tiJ+)QD}0X$xD8yd?eSH%Hjl1AzhWDzpVP)M)hD&L?=TJn(at=;Ywv5?ce?elph`O~2+dj0H#@IZ~i)b$kE-gZ_nrcjtCXRM~? zH6)tJP1MpRN5P-F=bhO?0(233Rc#?BNZ{Bd+~#x8{a5G0&sJbnQyVD#Xc2Z<#%|I< z+7r^T+UMA5P2r7FaI?)X%C;+qstpCVp)_?)VwLuwaLP@bF0g&P19kKzNS*$6Im3v^ z@Ff&JH@XyH8_1n!8Y*B-fipL(!5Rq=ZiYfp`qeZVjA@UY+C>5gCp^vNtAhvu7)Pwi z9$yj&eG&Qs+wkK&u;GGYr|?&Vv?*(tbVBDcHy^-q=OBxpXE892IzOx=;F@GBB!tJ`tBi?XBZ2}h3u7}fAiK?S!{p-i=nYCY}Pn&!q z(3iOrHy`e$Jkx`v;|3`hYXX25dH9%0sN9zRUaI)?2)7!x!EhF?^gu763AZUlzRB+^&gdFhr7xK0dec0{1oSfl2P$+@Rt0(KNNu^<-po(}drER_HAA|9S?GEc8a z)9%<{(&EL_K|Ii>wTn|p1z}{EmIT;~0d$V_t_)LYd5BZEgryDCADe*G637dgl$Vn& zm2kPBIZI`j3<~R3dD1AMcFAnr1opydrGa9HzkaxaRIQF`IGeSBfWN?G>1InO(#nEbUxG*2lgC8o4=eXE3y%)C&D~2e;Xdn&-SQ7jvLXT4exIae`=M$(c8ehD+0K;w}c5 ziy^q?`Q|XW)24=?>Jimjl~=vy?Mr`WdCKdPXnBat&BG%BD7K+jlR%RT3k1jHUD#0% zPQ!dEShr9~HM^dK*{bF^;vlN0wQa892vk+%s^U&gJ;df zJeEXrcIg)*eQ<7F2dQM;){*L~n(QnUGV68_?uC&`mJ~gowh10Hzjf6H+Kinha}&yG zxPCCUhdGv8BGE72oE~@TRs7;jaZpHG)pKl1u`xYPDTw}t+_FY}>#_k`7fS(G(LCSl zoA4r=fu1Bx)$qZ~zWQvX)>O<>=&f+3^Pbr8qGHj<&6TWtGje`4AGKH)Vk>};?!5HF zp}d<%c2aKQ(E|Eg4W!+hKC{;I0-+f$sz4vOyyYCth3?s6CBd_KsG?Uv3j!J`w6+gv zq;@#CJEsB481+gw!e+*EkV;pZ9h5i~8iSA6goB_zEn)-m@ji)u!$o8?Ai_DVNr_13 zJ@X8&cKkPEcHfdNftohg&3pHThCD$VB@6^4)k%Zx4Qu(FGWDL8Dv!<7t1(+F%Dbj~ z7E615bs3$mr?~eUdJQWaPUvr;EHGldGR(ssap8r!0>7+4v(CH80v15RL*OnHu8erm{wsjskOe zf~v|}b=WQ*6c~j0YV#6~eM?b#j3H8_h@E<~eJKJz5G(X${#`IvRWh1RmpE4GF%HWO z95#TWUCRK>MvRpotqc@E+fnU!@~Km_qObBoEG*>4OUmibaknlf4^J}#AoADsXeRc| z+u|%Biv=!Y3*;RSh5ak~=Ey)O5qATWCN?OM_uPSYcs_#_y?pYZ9iY5Vz5D|M>P^t9$?$Ga?(3{u0(xWdhtbNAbYY8pSCZ{3?|x--xvwQ-K2wbX>S z!6j$M6)s#0<8O!;|0?qGUPi_b6EE$=m+sur8}wxR)?bZMV<&l^d`mS2cO#GyO1nR$ zEQw>*Y2t{wf>}$n>22f?OXdQ9e?#%F;z8Hh{A9PC3#;8KpYq*CUHn>l$ z=|$)|OQ*Y>?UlJGn8$_PQD6?}zD$wyX%D8R4Y!_EvN03l-v|X`ow%;y73YXp9ULEd zt0q=;Gfc|{`8Kt}#ra&-q&!o$lWessfU7B^MyVUlW(!3S8SkZjJIx+A`d@D(HE{+rw;H1b*Nn~$kA~UZNJPF5M>J*YHO#4OMeLpZ5V&_1=j^m{9v-o6 zbsT3^3c`~oLanoghR^Pet0rzMx^?QT^`7V}DHb|Ic!V=`wexw%>D$^eXSN);)c3zI zQzxxcba0%oM5p4(#E0{4d2A$J@lTu&sHmter1$+i+xN`tDQ_bhUy{<$1f>zV-X%#c zFvl9AfG^1+Uf0M#VRl)6_*VwwT;duXxURZdpH|q_-ylZ#v%jH_W{=`seC1oUv=5wg zsX0?&gB5}Abr{95TH%tRe8VniLc8zIyWUd_sTsXzCYXXyM%0?RoMrj!_v7AEYG7B_ z6#~Y_Ean(&YU3*(-Q4tD9zD;U4y#?ez-CwIpV>$`Wm*U^YUSC-sPZ07S9DkrbDv&c zzWXZmLPM@I5m#T_(53ohcNHuHf_BM^Z6oDTJ^69vR?DN&L3%}Yu82m;%Z<`xZ*^k! zdj?ij$uYB{4C*Xjq-mTEP`q>H9aftGwN^lj=|St^@rl3cfACO8nC|EL1=9iZNN-fWooFwp0mM z-F}y?wGa3QJ-g{8ewWx_Vaf-lOocG}WTM9JZ3)9zmJ*YP*7UF;=DFEzwn^Cte4#6b zmdkg#oa{(VsHK;ChqgBcE5YximsdP>Us(ig=F+@Y>mNFXHntuoEyI~BQrF=5 zq$%uvCe1C+$?Y|-{#m0WJU;L|xGHmysP=h~@>j&P zkU8qiLE?Ff%@t){_Fr1Lu8yI{3P?7)ViiB5U|83#lIK=|tqUCt9XH#getC?8gQJOJ z`ci7kr!tdZ|C{jxl^9%aQ|#9=AG->&oo}R2dSuvdd5iJ z)F`QtJ{E8mN@w-nt9N9{Sz6VP1kpTXyQgqM3v1N4g9Y2yXZ?f?3=6`$*7ATee?~0yy!H2s87XlaofEyLdRC8^de2-HuNUyL z*yo|w@-g}rqn|f5NyGHL^aYr z3{!N}I?62U_hgL1i9{-tsp-77!)_O?r!ZQ(($7RUcGoZo+B5jsPa*_cCm^D=J#f0K zym)>4KISV~eo)G+qAj~jVo0p2pSmRz=c=Z+ur9%+BDJKf=B?(ti`$Fe9A1%<5Z@M6 zkQ08plGokI1PhZzhI(y#V*-~;Z^^d(kP_tRaqibSPqu+sT9L{TZ5a$e`C9QfiGRA= zW^b>*=T#(Oj5@;UHoqn@^gkprYO!)vsqh<8C3EF}pqfC?>-CxD`$!G*2v- zY?=a9G0BY{xV^>NR6EFm()HdZe z;#@zvbP>G%#(DU;(a-N_|L4wO|C-+~dL}h%tujg&dRQVcHXfdJ6FM=n?kCmUu>1j$ofUpcTI0;cR6;+p8dw<>2hKgB}}vdciu>!PeJB#Gc;B*YXzlq7DUlT0Xu} zuMfrKED*ZU#L~I2w$>i*j*hN?~Qvx?M*-6BlP`{CF3kIMJAwY{=2zzy?(6k zQb&%fsH<*D1CeLuA7`idtb}%c z2qo3%)>aB+8*oUQ23r%2*GB850%YBc+2>&Nvbhqi}oy6bbA2vEN2;B+fEjS5!~Ccw_-OSF{W_M*e*T_gAK#QLG38F3A$rmttznEOo}@i-TzMr) zoP%nDC|T_pcGcSoQimM8_onOe&u-`%<&*Q8dW141w>Un}SoW+fZO1{}@4hc8b2qds zq>1~0sV;r{FG+2FU0;a{WpNoU6SZ|qIH|K*=W@GFr;LlQ=*(MrL!;%4QSuzmJ# z%J@0u(ryV*Mq2_1g!Z4xXzk+if4cZzT})4Gx<4UC8M;QWOC7ozGiApgs$^*RTF@I_ z0ntJW8>hvFbSG$h(5Niryq8xzwe$L{`tb$Dt&}grIj&|Tsdv|%T^sn-h^K=G4}RU0 zUtR5Mh!Tq5EqK_}a+4hzA-J;>HF-PS-xi9PY%Z)WikKJZPb|*);Mj!dPZGGD7ZF$6 zuWDjOP}B693e_zdIWG}L5FnZ(A5|E7XSsIiyWg|qrfr`^N6%==(k~C9``C1kQkI(7 zC@&g6QE;$P2r;%-q$WZ{PF^73z7L`;wJZ#y9-@4*Hxyg zc)uT9kgncE^Uqv5VLCY6zI2uCf$v-XWFo7_T6$mC`c;1cSK_y|#lshd{MXf(y;yV0 z9jN#@Vw|h-@55XbdEWzZ-^0q-%LUX6Ixe!839QgzAsh z-_V~jaQE=Ki*WxNX{z|U$E%>@2+%&uAEcg4|F7fj4hRIuN1gsi{*B96WFUfz5CWkF zt^dj88S7uU{8fz4>+3xil<**=rG!8^{&{Si`z?lpwHw0rx`&(Nefz&kBj+4DW7-FS z2wx-qS3k5Y@o>|Ln}&Z%Bk?zB{`7qR*^gl%e8^w?;D1l(pZ>!?84QU2lfi$yiGP#- jY4QI_eoNvX4f|bO=(Q> literal 0 HcmV?d00001