ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行
こんにちは、丸山満彦です。
ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2022を発行していますね。。。ちなみに2022年版は900ページです(^^)
昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。
2021年版からの主な変更点は、以下の項目の追加となるようです。。。
- OPS.1.1.7 システム管理
- OPS.1.2.6 NTPによる時刻の同期
- APP.4.4 クバネティス
- SYS.1.6 コンテナ化
- IND.3.2 産業環境でのリモートメンテナンス
- INF.13 テクニカル・ビルディング・マネジメント
- INF.14 ビルディングオートメーション
また、今年からDOCXやXML形式でも提供されるようです。。。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
・2022.02.08 IT-Grundschutz-Kompendium Edition 2022 erschienen
・IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit Edition 2022
・IT-Grundschutz-Bausteine Edition 2022
・[PDF] [Word in ZIP] [XML]
目次...
Vorwort | 序文 |
Dankesworte | 謝辞 |
Inhaltsverzeichnis | 目次 |
Neues im IT-Grundschutz-Kompendium | IT-Grundschutz Compendiumの最新情報 |
IT-Grundschutz – Basis für Informationssicherheit | IT-Grundschutz ・情報セキュリティの基礎 |
Schichtenmodell und Modellierung | レイヤーモデルとモデリング |
Rollen | 役割 |
Glossar | 用語集 |
Elementare Gefährdungen | 基本的な危険 |
• G 0.1 Feuer | ・G 0.1 火 |
• G 0.2 Ungünstige klimatische Bedingungen | ・G 0.2 不利な気候条件 |
• G 0.3 Wasser | ・G 0.3 水 |
• G 0.4 Verschmutzung, Staub, Korrosion | ・G 0.4 汚染、粉塵、腐食 |
• G 0.5 Naturkatastrophen | ・G 0.5 自然災害 |
• G 0.6 Katastrophen im Umfeld | ・G 0.6 周辺地域で発生した災害 |
• G 0.7 Großereignisse im Umfeld | ・G 0.7 周辺地域での主な出来事 |
• G 0.8 Ausfall oder Störung der Stromversorgung | ・G 0.8 電力供給の停止または中断 |
• G 0.9 Ausfall oder Störung von Kommunikationsnetzen | ・G 0.9 通信ネットワークの障害・混乱 |
• G 0.10 Ausfall oder Störung von Versorgungsnetzen | ・G 0.10 供給ネットワークの故障または破壊 |
• G 0.11 Ausfall oder Störung von Dienstleistern | ・G 0.11 サービス提供者の障害または混乱 |
• G 0.12 Elektromagnetische Störstrahlung | ・G 0.12 電磁妨害 |
• G 0.13 Abfangen kompromittierender Strahlung | ・G 0.13 危険な放射線の傍受 |
• G 0.14 Ausspähen von Informationen (Spionage) | ・G 0.14 情報のスパイ活動(スパイオナージ) |
• G 0.15 Abhören | ・G 0.15 盗聴 |
• G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten | ・G 0.16 機器、データキャリアまたは文書の盗難 |
• G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten | ・G 0.17 機器、データキャリアまたは文書の損失 |
• G 0.18 Fehlplanung oder fehlende Anpassung | ・G 0.18 誤った計画または適応の欠如 |
• G 0.19 Offenlegung schützenswerter Informationen | ・G 0.19 機密情報の開示 |
• G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle | ・G 0.20 信頼できない情報源からの情報または製品 |
• G 0.21 Manipulation von Hard- oder Software | ・G 0.21 ハードウェアまたはソフトウェアの操作 |
• G 0.22 Manipulation von Informationen | ・G 0.22 情報の操作 |
• G 0.23 Unbefugtes Eindringen in IT-Systeme | ・G 0.23 ITシステムへの無許可の侵入 |
• G 0.24 Zerstörung von Geräten oder Datenträgern | ・G 0.24 機器またはデータキャリアの破壊 |
• G 0.25 Ausfall von Geräten oder Systemen | ・G 0.25 機器・システムの故障 |
• G 0.26 Fehlfunktion von Geräten oder Systemen | ・G 0.26 機器またはシステムの誤動作 |
• G 0.27 Ressourcenmangel | ・G 0.27 リソースの不足 |
• G 0.28 Software-Schwachstellen oder -Fehler | ・G 0.28 ソフトウェアの脆弱性またはエラー |
• G 0.29 Verstoß gegen Gesetze oder Regelungen | ・G 0.29 法律または規則の違反 |
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen | ・G 0.30 デバイスおよびシステムの不正使用または管理 |
• G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen | ・G 0.31 デバイスおよびシステムの不適切な使用または管理 |
• G 0.32 Missbrauch von Berechtigungen | ・G 0.32 許可証の不正使用 |
• G 0.33 Personalausfall | ・G 0.33 スタッフの欠勤 |
• G 0.34 Anschlag | ・G 0.34 アサルト |
• G 0.35 Nötigung, Erpressung oder Korruption | ・G 0.35 強制、強要、汚職 |
• G 0.36 Identitätsdiebstahl | ・G 0.36 個人情報の盗難 |
• G 0.37 Abstreiten von Handlungen | ・G 0.37 アクションの拒否 |
• G 0.38 Missbrauch personenbezogener Daten | ・G 0.38 個人情報の不正使用 |
• G 0.39 Schadprogramme | ・G 0.39 悪意のあるプログラム |
• G 0.40 Verhinderung von Diensten (Denial of Service) | ・G 0.40 サービスの妨害(DoS(サービス不能)対策 |
• G 0.41 Sabotage | ・G 0.41 サボタージュ |
• G 0.42 Social Engineering | ・G 0.42 ソーシャルエンジニアリング |
• G 0.43 Einspielen von Nachrichten | ・G 0.43 メッセージの取り込み |
• G 0.44 Unbefugtes Eindringen in Räumlichkeiten | ・G 0.44 施設への無断侵入 |
• G 0.45 Datenverlust | ・G 0.45 データの損失 |
• G 0.46 Integritätsverlust schützenswerter Informationen | ・G 0.46 保護するに値する情報の完全性の喪失 |
• G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe | ・G 0.47 ITを駆使した攻撃の有害な副作用 |
Prozess-Bausteine | プロセスビルディングブロック |
ISMS: Sicherheitsmanagement | ISMS:セキュリティマネジメント |
ISMS.1 Sicherheitsmanagement | ISMS.1 セキュリティ管理 |
ORP: Organisation und Personal | ORP:組織と人員 |
ORP.1 Organisation | ORP.1 オーガニゼーション |
ORP.2 Personal | ORP.2 人事 |
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit | ORP.3 情報セキュリティに関する意識とトレーニング |
ORP.4 Identitäts- und Berechtigungsmanagement | ORP.4 アイデンティティと認証の管理 |
ORP.5 Compliance Management (Anforderungsmanagement) | ORP.5 コンプライアンスマネジメント(要求管理) |
CON: Konzepte und Vorgehensweisen | CON:コンセプトと手順 |
CON.1 Kryptokonzept | CON.1 Cryptoのコンセプト |
CON.2 Datenschutz | CON.2 データ保護 |
CON.3 Datensicherungskonzept | CON.3 データ保護の概念 |
CON.6 Löschen und Vernichten | CON.6 削除と破壊 |
CON.7 Informationssicherheit auf Auslandsreisen | CON.7 海外旅行における情報セキュリティ |
CON.8 Software-Entwicklung | CON.8 ソフトウェア開発 |
CON.9 Informationsaustausch | CON.9 情報共有 |
• CON.10 Entwicklung von Webanwendungen | CON.10 Webアプリケーション開発 |
OPS: Betrieb | OPS:オペレーション |
OPS.1 Eigener Betrieb | OPS.1 自社運用 |
OPS.1.1 Kern-IT-Betrieb | ・OPS.1.1 コアITオペレーション |
• OPS.1.1.2 Ordnungsgemäße IT-Administration | ・・OPS.1.1.2 適切なIT管理 |
• OPS.1.1.3 Patch- und Änderungsmanagement | ・・OPS.1.1.3 パッチおよび変更管理 |
• OPS.1.1.4 Schutz vor Schadprogrammen | ・・OPS.1.1.4 マルウェアからの保護 |
• OPS.1.1.5 Protokollierung | ・・OPS.1.1.5 ロギング |
• OPS.1.1.6 Software-Tests und -Freigaben | ・・OPS.1.1.6 ソフトウェアのテストと承認 |
• OPS.1.1.7 Systemmanagement | ・・OPS.1.1.7 システム管理 |
OPS.1.2 Weiterführende Aufgaben | ・OPS.1.2 高度なタスク |
• OPS.1.2.2 Archivierung | ・・OPS.1.2.2 アーカイビング |
• OPS.1.2.4 Telearbeit | ・・OPS.1.2.4 テレワーク |
• OPS.1.2.5 Fernwartung | ・・OPS.1.2.5 リモートメンテナンス |
• OPS.1.2.6 NTP-Zeitsynchronisation | ・・OPS.1.2.6 NTPによる時刻の同期 |
OPS.2 Betrieb von Dritten | OPS.2 第三者による操作 |
• OPS.2.1 Outsourcing für Kunden | ・OPS.2.1 お客様のためのアウトソーシング |
• OPS.2.2 Cloud-Nutzung | ・OPS.2.2 クラウドの利用 |
OPS.3 Betrieb für Dritte | OPS.3 サードパーティ向け操作 |
• OPS.3.1 Outsourcing für Dienstleister | ・OPS.3.1 サービスプロバイダーのためのアウトソーシング |
DER: Detektion und Reaktion | DER: 検知と対応 |
DER.1 Detektion von sicherheitsrelevanten Ereignissen | DER.1 セキュリティ・インシデントの検知 |
DER.2 Security Incident Management | DER.2 セキュリティ・インシデント管理 |
• DER.2.1 Behandlung von Sicherheitsvorfällen | ・DER.2.1 セキュリティ・インシデントの処理 |
• DER.2.2 Vorsorge für die IT-Forensik | ・DER.2.2 ITフォレンジックへの対応 |
• DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle | ・DER.2.3 広範囲にわたるセキュリティインシデントの後始末 |
DER.3 Sicherheitsprüfungen | DER.3 セキュリティ監査 |
• DER.3.1 Audits und Revisionen | ・DER.3.1 オーディットとレビュー |
• DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision | ・DER.3.2 IS監査ガイドに基づく監査の実施 |
DER.4 Notfallmanagement | DER.4 危機管理 |
System-Bausteine | システム構成 |
APP: Anwendungen | APP:アプリケーション |
APP.1 Client-Anwendungen | APP.1 クライアント・アプリケーション |
• APP.1.1 Office-Produkte | ・APP.1.1 オフィス製品 |
• APP.1.2 Webbrowser | ・APP.1.2 ウェブブラウザ |
• APP.1.4 Mobile Anwendungen (Apps) | ・APP.1.4 モバイルアプリケーション(アプリ) |
APP.2 Verzeichnisdienst | APP.2 ディレクトリサービス |
• APP.2.1 Allgemeiner Verzeichnisdienst | ・APP.2.1 一般的なディレクトリサービス |
• APP.2.2 Active Directory | ・APP.2.2 アクティブ・ディレクトリ |
• APP.2.3 OpenLDAP | ・APP.2.3 OpenLDAP |
APP.3 Netzbasierte Dienste | APP.3 ネットワークベースのサービス |
• APP.3.1 Webanwendungen und Webservices | ・APP.3.1 ウェブアプリケーションとウェブサービス |
• APP.3.2 Webserver | ・APP.3.2 ウェブサーバ |
• APP.3.3 Fileserver | ・APP.3.3 ファイルサーバー |
• APP.3.4 Samba | ・APP.3.4 Samba |
• APP.3.6 DNS-Server | ・APP.3.6 DNSサーバー |
APP.4 Business-Anwendungen | APP.4 ビジネスアプリケーション |
• APP.4.2 SAP-ERP-System | ・APP.4.2 SAP ERPシステム |
• APP.4.3 Relationale Datenbanken | ・APP.4.3 リレーショナル・データベース |
• APP.4.4 Kubernetes | ・APP.4.4 クバネティス |
• APP.4.6 SAP ABAP-Programmierung | ・APP.4.6 SAP ABAP プログラミング |
APP.5 E-Mail/Groupware/Kommunikation | APP.5 電子メール/グループウェア/コミュニケーション |
• APP.5.2 Microsoft Exchange und Outlook | ・APP.5.2 Microsoft ExchangeとOutlook |
• APP.5.3 Allgemeiner E-Mail-Client und -Server | ・APP.5.3 一般的な電子メールクライアントとサーバー |
APP.6 Allgemeine Software | APP.6 一般的なソフトウェア |
APP.7 Entwicklung von Individualsoftware | APP.7 個別ソフトウェアの開発 |
SYS: IT-Systeme | SYS: ITシステム |
SYS.1 Server | SYS.1サーバー |
• SYS.1.1 Allgemeiner Server | ・SYS.1.1 汎用サーバー |
• SYS.1.2 Windows Server | ・SYS.1.2 Windows Server |
◦ SYS.1.2.2 Windows Server 2012 | ・・SYS.1.2.2 Windows Server 2012 |
• SYS.1.3 Server unter Linux und Unix | ・SYS.1.3 LinuxおよびUnixサーバー |
• SYS.1.5 Virtualisierung | ・SYS.1.5 仮想化 |
• SYS.1.6 Containerisierung | ・SYS.1.6 コンテナ化 |
• SYS.1.7 IBM Z | ・SYS.1.7 IBM Z |
• SYS.1.8 Speicherlösungen | ・SYS.1.8 ストレージソリューション |
SYS.2 Desktop-Systeme | SYS.2 デスクトップシステム |
• SYS.2.1 Allgemeiner Client | ・SYS.2.1 一般顧客 |
• SYS.2.2 Windows-Clients | ・SYS.2.2 Windowsクライアント |
◦ SYS.2.2.2 Clients unter Windows 8.1 | ・・SYS.2.2.2 Windows 8.1 クライアント |
◦ SYS.2.2.3 Clients unter Windows 10 | ・・SYS.2.2.3 Windows 10搭載のクライアント |
• SYS.2.3 Clients unter Linux und Unix | ・SYS.2.3 LinuxおよびUnix上のクライアント |
• SYS.2.4 Clients unter macOS | ・SYS.2.4 macOS上のクライアント |
SYS.3 Mobile Devices | SYS.3 モバイルデバイス |
• SYS.3.1 Laptops | ・SYS.3.1 ノートパソコン |
• SYS.3.2 Tablet und Smartphone | ・SYS.3.2 タブレットとスマートフォン |
◦ SYS.3.2.1 Allgemeine Smartphones und Tablets | ・・SYS.3.2.1 一般的なスマートフォンとタブレット |
◦ SYS.3.2.2 Mobile Device Management (MDM) | ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM) |
◦ SYS.3.2.3 iOS (for Enterprise) | ・・SYS.3.2.3 iOS(エンタープライズ向け) |
◦ SYS.3.2.4 Android | ・・SYS.3.2.4 Android |
• SYS.3.3 Mobiltelefon | ・SYS.3.3 携帯電話 |
SYS.4 Sonstige Systeme | SYS.4 その他のシステム |
• SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte | ・SYS.4.1 プリンタ,複写機,複合機 |
• SYS.4.3 Eingebettete Systeme | ・SYS.4.3 組込みシステム |
• SYS.4.4 Allgemeines IoT-Gerät | ・SYS.4.4 一般的なIoTデバイス |
• SYS.4.5 Wechseldatenträger | ・SYS.4.5 リムーバブル・ストレージ・デバイス |
IND: Industrielle IT | IND:産業用IT |
IND.1 Prozessleit- und Automatisierungstechnik | IND.1 プロセスコントロールとオートメーション技術 |
IND.2 ICS-Komponenten | IND.2 ICSコンポーネント |
• IND.2.1 Allgemeine ICS-Komponente | ・IND.2.1 一般的なICSコンポーネント |
• IND.2.2 Speicherprogrammierbare Steuerung (SPS) | ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC) |
• IND.2.3 Sensoren und Aktoren | ・IND.2.3 センサーとアクチュエーター |
• IND.2.4 Maschine | ・IND.2.4 マシン |
• IND.2.7 Safety Instrumented Systems | ・IND.2.7 安全計装システム |
IND.3 Produktionsnetze | IND.3 生産ネットワーク |
• IND.3.2 Fernwartung im industriellen Umfeld | ・IND.3.2 産業環境におけるリモートメンテナンス |
NET: Netze und Kommunikation | NET:ネットワークとコミュニケーション |
NET.1 Netze | NET.1 ネットワーク |
• NET.1.1 Netzarchitektur und -design | ・NET.1.1 ネットワークアーキテクチャとデザイン |
• NET.1.2 Netzmanagement | ・NET.1.2 ネットワーク管理 |
NET.2 Funknetze | NET.2 ワイヤレスネットワーク |
• NET.2.1 WLAN-Betrieb | ・NET.2.1.WLAN操作 |
• NET.2.2 WLAN-Nutzung | ・NET.2.2.WLANの使い方 |
NET.3 Netzkomponenten | NET.3 ネットワークコンポーネント |
• NET.3.1 Router und Switches | ・NET.3.1 ルーターとスイッチ |
• NET.3.2 Firewall | ・NET.3.2 ファイアウォール |
• NET.3.3 VPN | ・NET.3.3 VPN |
NET.4: Telekommunikation | NET.4: 通信 |
• NET.4.1 TK-Anlagen | ・NET.4.1 PBXシステム |
• NET.4.2 VoIP | ・NET.4.2 VoIP |
• NET.4.3 Faxgeräte und Faxserver | ・NET.4.3 ファクス機とファクスサーバー |
INF: Infrastruktur | INF:インフラ |
INF.1 Allgemeines Gebäude | INF.1 一般的な建物 |
INF.2 Rechenzentrum sowie Serverraum | INF.2 コンピューターセンターとサーバールーム |
INF.5 Raum sowie Schrank für technische Infrastruktur | INF.5 技術インフラのための部屋とキャビネット |
INF.6 Datenträgerarchiv | INF.6 データメディアアーカイブ |
INF.7 Büroarbeitsplatz | INF.7 オフィスの仕事場 |
INF.8 Häuslicher Arbeitsplatz | INF.8 ホームワークプレイス |
INF.9 Mobiler Arbeitsplatz | INF.9 モバイルワークプレイス |
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume | INF.10 会議,イベント,トレーニングルーム |
INF.11 Allgemeines Fahrzeug | INF.11 一般車両 |
INF.12 Verkabelung | INF.12 ケーブル配線 |
INF.13 Technisches Gebäudemanagement | INF.13 技術的なビル管理 |
INF.14 Gebäudeautomation | INF.14 ビルディングオートメーション |
2018年以降の過去の版はこちら
・Archiv - IT-Grundschutz-Kompendium
リンクが切れているのでなんの参考にもなりませんが。。。(^^;;
● まるちゃんの情報セキュリティ気まぐれ日記
・2005.08.24 ドイツのITベースライン保護
Comments