« 米国 下院 アルゴリズム説明責任法案 2022 | Main | 個人情報保護委員会 マンガで学ぶ個人情報保護法 »

2022.02.09

ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2022を発行していますね。。。ちなみに2022年版は900ページです(^^)

昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。

2021年版からの主な変更点は、以下の項目の追加となるようです。。。

  • OPS.1.1.7 システム管理
  • OPS.1.2.6 NTPによる時刻の同期
  • APP.4.4 クバネティス
  • SYS.1.6 コンテナ化
  • IND.3.2 産業環境でのリモートメンテナンス
  • INF.13 テクニカル・ビルディング・マネジメント
  • INF.14 ビルディングオートメーション

また、今年からDOCXやXML形式でも提供されるようです。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.02.08 IT-Grundschutz-Kompendium Edition 2022 erschienen

IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit Edition 2022

IT-Grundschutz-Bausteine Edition 2022

 

・[PDF]  [Word in ZIP]  [XML]

20220208-234639

目次...

 

Vorwort 序文
Dankesworte 謝辞
Inhaltsverzeichnis 目次
Neues im IT-Grundschutz-Kompendium IT-Grundschutz Compendiumの最新情報
IT-Grundschutz – Basis für Informationssicherheit IT-Grundschutz ・情報セキュリティの基礎
Schichtenmodell und Modellierung レイヤーモデルとモデリング
Rollen 役割
Glossar 用語集
Elementare Gefährdungen 基本的な危険
• G 0.1 Feuer ・G 0.1 火
• G 0.2 Ungünstige klimatische Bedingungen ・G 0.2 不利な気候条件
• G 0.3 Wasser ・G 0.3 水
• G 0.4 Verschmutzung, Staub, Korrosion ・G 0.4 汚染、粉塵、腐食
• G 0.5 Naturkatastrophen ・G 0.5 自然災害
• G 0.6 Katastrophen im Umfeld ・G 0.6 周辺地域で発生した災害
• G 0.7 Großereignisse im Umfeld ・G 0.7 周辺地域での主な出来事
• G 0.8 Ausfall oder Störung der Stromversorgung ・G 0.8 電力供給の停止または中断
• G 0.9 Ausfall oder Störung von Kommunikationsnetzen ・G 0.9 通信ネットワークの障害・混乱
• G 0.10 Ausfall oder Störung von Versorgungsnetzen ・G 0.10 供給ネットワークの故障または破壊
• G 0.11 Ausfall oder Störung von Dienstleistern ・G 0.11 サービス提供者の障害または混乱
• G 0.12 Elektromagnetische Störstrahlung ・G 0.12 電磁妨害
• G 0.13 Abfangen kompromittierender Strahlung ・G 0.13 危険な放射線の傍受
• G 0.14 Ausspähen von Informationen (Spionage) ・G 0.14 情報のスパイ活動(スパイオナージ)
• G 0.15 Abhören ・G 0.15 盗聴
• G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten ・G 0.16 機器、データキャリアまたは文書の盗難
• G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten ・G 0.17 機器、データキャリアまたは文書の損失
• G 0.18 Fehlplanung oder fehlende Anpassung ・G 0.18 誤った計画または適応の欠如
• G 0.19 Offenlegung schützenswerter Informationen ・G 0.19 機密情報の開示
• G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle ・G 0.20 信頼できない情報源からの情報または製品
• G 0.21 Manipulation von Hard- oder Software ・G 0.21 ハードウェアまたはソフトウェアの操作
• G 0.22 Manipulation von Informationen ・G 0.22 情報の操作
• G 0.23 Unbefugtes Eindringen in IT-Systeme ・G 0.23 ITシステムへの無許可の侵入
• G 0.24 Zerstörung von Geräten oder Datenträgern ・G 0.24 機器またはデータキャリアの破壊
• G 0.25 Ausfall von Geräten oder Systemen ・G 0.25 機器・システムの故障
• G 0.26 Fehlfunktion von Geräten oder Systemen ・G 0.26 機器またはシステムの誤動作
• G 0.27 Ressourcenmangel ・G 0.27 リソースの不足
• G 0.28 Software-Schwachstellen oder -Fehler ・G 0.28 ソフトウェアの脆弱性またはエラー
• G 0.29 Verstoß gegen Gesetze oder Regelungen ・G 0.29 法律または規則の違反
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen ・G 0.30 デバイスおよびシステムの不正使用または管理
• G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen ・G 0.31 デバイスおよびシステムの不適切な使用または管理
• G 0.32 Missbrauch von Berechtigungen ・G 0.32 許可証の不正使用
• G 0.33 Personalausfall ・G 0.33 スタッフの欠勤
• G 0.34 Anschlag ・G 0.34 アサルト
• G 0.35 Nötigung, Erpressung oder Korruption ・G 0.35 強制、強要、汚職
• G 0.36 Identitätsdiebstahl ・G 0.36 個人情報の盗難
• G 0.37 Abstreiten von Handlungen ・G 0.37 アクションの拒否
• G 0.38 Missbrauch personenbezogener Daten ・G 0.38 個人情報の不正使用
• G 0.39 Schadprogramme ・G 0.39 悪意のあるプログラム
• G 0.40 Verhinderung von Diensten (Denial of Service) ・G 0.40 サービスの妨害(DoS(サービス不能)対策
• G 0.41 Sabotage ・G 0.41 サボタージュ
• G 0.42 Social Engineering ・G 0.42 ソーシャルエンジニアリング
• G 0.43 Einspielen von Nachrichten ・G 0.43 メッセージの取り込み
• G 0.44 Unbefugtes Eindringen in Räumlichkeiten ・G 0.44 施設への無断侵入
• G 0.45 Datenverlust ・G 0.45 データの損失
• G 0.46 Integritätsverlust schützenswerter Informationen ・G 0.46 保護するに値する情報の完全性の喪失
• G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe ・G 0.47 ITを駆使した攻撃の有害な副作用
Prozess-Bausteine プロセスビルディングブロック
ISMS: Sicherheitsmanagement ISMS:セキュリティマネジメント
ISMS.1 Sicherheitsmanagement ISMS.1 セキュリティ管理
ORP: Organisation und Personal ORP:組織と人員
ORP.1 Organisation ORP.1 オーガニゼーション
ORP.2 Personal ORP.2 人事
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit ORP.3 情報セキュリティに関する意識とトレーニング
ORP.4 Identitäts- und Berechtigungsmanagement ORP.4 アイデンティティと認証の管理
ORP.5 Compliance Management (Anforderungsmanagement) ORP.5 コンプライアンスマネジメント(要求管理)
CON: Konzepte und Vorgehensweisen CON:コンセプトと手順
CON.1 Kryptokonzept CON.1 Cryptoのコンセプト
CON.2 Datenschutz CON.2 データ保護
CON.3 Datensicherungskonzept CON.3 データ保護の概念
CON.6 Löschen und Vernichten CON.6 削除と破壊
CON.7 Informationssicherheit auf Auslandsreisen CON.7 海外旅行における情報セキュリティ
CON.8 Software-Entwicklung CON.8 ソフトウェア開発
CON.9 Informationsaustausch CON.9 情報共有
• CON.10 Entwicklung von Webanwendungen CON.10 Webアプリケーション開発
OPS: Betrieb OPS:オペレーション
OPS.1 Eigener Betrieb OPS.1 自社運用
OPS.1.1 Kern-IT-Betrieb ・OPS.1.1 コアITオペレーション
• OPS.1.1.2 Ordnungsgemäße IT-Administration ・・OPS.1.1.2 適切なIT管理
• OPS.1.1.3 Patch- und Änderungsmanagement ・・OPS.1.1.3 パッチおよび変更管理
• OPS.1.1.4 Schutz vor Schadprogrammen ・・OPS.1.1.4 マルウェアからの保護
• OPS.1.1.5 Protokollierung ・・OPS.1.1.5 ロギング
• OPS.1.1.6 Software-Tests und -Freigaben ・・OPS.1.1.6 ソフトウェアのテストと承認
• OPS.1.1.7 Systemmanagement ・・OPS.1.1.7 システム管理
OPS.1.2 Weiterführende Aufgaben ・OPS.1.2 高度なタスク
• OPS.1.2.2 Archivierung ・・OPS.1.2.2 アーカイビング
• OPS.1.2.4 Telearbeit ・・OPS.1.2.4 テレワーク
• OPS.1.2.5 Fernwartung ・・OPS.1.2.5 リモートメンテナンス
• OPS.1.2.6 NTP-Zeitsynchronisation ・・OPS.1.2.6 NTPによる時刻の同期
OPS.2 Betrieb von Dritten OPS.2 第三者による操作
• OPS.2.1 Outsourcing für Kunden ・OPS.2.1 お客様のためのアウトソーシング
• OPS.2.2 Cloud-Nutzung ・OPS.2.2 クラウドの利用
OPS.3 Betrieb für Dritte OPS.3 サードパーティ向け操作
• OPS.3.1 Outsourcing für Dienstleister ・OPS.3.1 サービスプロバイダーのためのアウトソーシング
DER: Detektion und Reaktion DER: 検知と対応
DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.1 セキュリティ・インシデントの検知
DER.2 Security Incident Management DER.2 セキュリティ・インシデント管理
• DER.2.1 Behandlung von Sicherheitsvorfällen ・DER.2.1 セキュリティ・インシデントの処理
• DER.2.2 Vorsorge für die IT-Forensik ・DER.2.2 ITフォレンジックへの対応
• DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle ・DER.2.3 広範囲にわたるセキュリティインシデントの後始末
DER.3 Sicherheitsprüfungen DER.3 セキュリティ監査
• DER.3.1 Audits und Revisionen ・DER.3.1 オーディットとレビュー
• DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision ・DER.3.2 IS監査ガイドに基づく監査の実施
DER.4 Notfallmanagement DER.4 危機管理
System-Bausteine システム構成
APP: Anwendungen APP:アプリケーション
APP.1 Client-Anwendungen APP.1 クライアント・アプリケーション
• APP.1.1 Office-Produkte ・APP.1.1 オフィス製品
• APP.1.2 Webbrowser ・APP.1.2 ウェブブラウザ
• APP.1.4 Mobile Anwendungen (Apps) ・APP.1.4 モバイルアプリケーション(アプリ)
APP.2 Verzeichnisdienst APP.2 ディレクトリサービス
• APP.2.1 Allgemeiner Verzeichnisdienst ・APP.2.1 一般的なディレクトリサービス
• APP.2.2 Active Directory ・APP.2.2 アクティブ・ディレクトリ
• APP.2.3 OpenLDAP ・APP.2.3 OpenLDAP
APP.3 Netzbasierte Dienste APP.3 ネットワークベースのサービス
• APP.3.1 Webanwendungen und Webservices ・APP.3.1 ウェブアプリケーションとウェブサービス
• APP.3.2 Webserver ・APP.3.2 ウェブサーバ
• APP.3.3 Fileserver ・APP.3.3 ファイルサーバー
• APP.3.4 Samba ・APP.3.4 Samba
• APP.3.6 DNS-Server ・APP.3.6 DNSサーバー
APP.4 Business-Anwendungen APP.4 ビジネスアプリケーション
• APP.4.2 SAP-ERP-System ・APP.4.2 SAP ERPシステム
• APP.4.3 Relationale Datenbanken ・APP.4.3 リレーショナル・データベース
• APP.4.4 Kubernetes ・APP.4.4 クバネティス
• APP.4.6 SAP ABAP-Programmierung ・APP.4.6 SAP ABAP プログラミング
APP.5 E-Mail/Groupware/Kommunikation APP.5 電子メール/グループウェア/コミュニケーション
• APP.5.2 Microsoft Exchange und Outlook ・APP.5.2 Microsoft ExchangeとOutlook
• APP.5.3 Allgemeiner E-Mail-Client und -Server ・APP.5.3 一般的な電子メールクライアントとサーバー
APP.6 Allgemeine Software APP.6 一般的なソフトウェア
APP.7 Entwicklung von Individualsoftware APP.7 個別ソフトウェアの開発
SYS: IT-Systeme SYS: ITシステム
SYS.1 Server SYS.1サーバー
• SYS.1.1 Allgemeiner Server ・SYS.1.1 汎用サーバー
• SYS.1.2 Windows Server ・SYS.1.2 Windows Server
◦ SYS.1.2.2 Windows Server 2012 ・・SYS.1.2.2 Windows Server 2012
• SYS.1.3 Server unter Linux und Unix ・SYS.1.3 LinuxおよびUnixサーバー
• SYS.1.5 Virtualisierung ・SYS.1.5 仮想化
• SYS.1.6 Containerisierung ・SYS.1.6 コンテナ化
• SYS.1.7 IBM Z ・SYS.1.7 IBM Z
• SYS.1.8 Speicherlösungen ・SYS.1.8 ストレージソリューション
SYS.2 Desktop-Systeme SYS.2 デスクトップシステム
• SYS.2.1 Allgemeiner Client ・SYS.2.1 一般顧客
• SYS.2.2 Windows-Clients ・SYS.2.2 Windowsクライアント
◦ SYS.2.2.2 Clients unter Windows 8.1 ・・SYS.2.2.2 Windows 8.1 クライアント
◦ SYS.2.2.3 Clients unter Windows 10 ・・SYS.2.2.3 Windows 10搭載のクライアント
• SYS.2.3 Clients unter Linux und Unix ・SYS.2.3 LinuxおよびUnix上のクライアント
• SYS.2.4 Clients unter macOS ・SYS.2.4 macOS上のクライアント
SYS.3 Mobile Devices SYS.3 モバイルデバイス
• SYS.3.1 Laptops ・SYS.3.1 ノートパソコン
• SYS.3.2 Tablet und Smartphone ・SYS.3.2 タブレットとスマートフォン
◦ SYS.3.2.1 Allgemeine Smartphones und Tablets ・・SYS.3.2.1 一般的なスマートフォンとタブレット
◦ SYS.3.2.2 Mobile Device Management (MDM) ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM)
◦ SYS.3.2.3 iOS (for Enterprise) ・・SYS.3.2.3 iOS(エンタープライズ向け)
◦ SYS.3.2.4 Android ・・SYS.3.2.4 Android
• SYS.3.3 Mobiltelefon ・SYS.3.3 携帯電話
SYS.4 Sonstige Systeme SYS.4 その他のシステム
• SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte ・SYS.4.1 プリンタ,複写機,複合機
• SYS.4.3 Eingebettete Systeme ・SYS.4.3 組込みシステム
• SYS.4.4 Allgemeines IoT-Gerät ・SYS.4.4 一般的なIoTデバイス
• SYS.4.5 Wechseldatenträger ・SYS.4.5 リムーバブル・ストレージ・デバイス
IND: Industrielle IT IND:産業用IT
IND.1 Prozessleit- und Automatisierungstechnik IND.1 プロセスコントロールとオートメーション技術
IND.2 ICS-Komponenten IND.2 ICSコンポーネント
• IND.2.1 Allgemeine ICS-Komponente ・IND.2.1 一般的なICSコンポーネント
• IND.2.2 Speicherprogrammierbare Steuerung (SPS) ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC)
• IND.2.3 Sensoren und Aktoren ・IND.2.3 センサーとアクチュエーター
• IND.2.4 Maschine ・IND.2.4 マシン
• IND.2.7 Safety Instrumented Systems ・IND.2.7 安全計装システム
IND.3 Produktionsnetze IND.3 生産ネットワーク
• IND.3.2 Fernwartung im industriellen Umfeld ・IND.3.2 産業環境におけるリモートメンテナンス
NET: Netze und Kommunikation NET:ネットワークとコミュニケーション
NET.1 Netze NET.1 ネットワーク
• NET.1.1 Netzarchitektur und -design ・NET.1.1 ネットワークアーキテクチャとデザイン
• NET.1.2 Netzmanagement ・NET.1.2 ネットワーク管理
NET.2 Funknetze NET.2 ワイヤレスネットワーク
• NET.2.1 WLAN-Betrieb ・NET.2.1.WLAN操作
• NET.2.2 WLAN-Nutzung ・NET.2.2.WLANの使い方
NET.3 Netzkomponenten NET.3 ネットワークコンポーネント
• NET.3.1 Router und Switches ・NET.3.1 ルーターとスイッチ
• NET.3.2 Firewall ・NET.3.2 ファイアウォール
• NET.3.3 VPN ・NET.3.3 VPN
NET.4: Telekommunikation NET.4: 通信
• NET.4.1 TK-Anlagen ・NET.4.1 PBXシステム
• NET.4.2 VoIP ・NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver ・NET.4.3 ファクス機とファクスサーバー
INF: Infrastruktur INF:インフラ
INF.1 Allgemeines Gebäude INF.1 一般的な建物
INF.2 Rechenzentrum sowie Serverraum INF.2 コンピューターセンターとサーバールーム
INF.5 Raum sowie Schrank für technische Infrastruktur INF.5 技術インフラのための部屋とキャビネット
INF.6 Datenträgerarchiv INF.6 データメディアアーカイブ
INF.7 Büroarbeitsplatz INF.7 オフィスの仕事場
INF.8 Häuslicher Arbeitsplatz INF.8 ホームワークプレイス
INF.9 Mobiler Arbeitsplatz INF.9 モバイルワークプレイス
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume INF.10 会議,イベント,トレーニングルーム
INF.11 Allgemeines Fahrzeug INF.11 一般車両
INF.12 Verkabelung INF.12 ケーブル配線
INF.13 Technisches Gebäudemanagement INF.13 技術的なビル管理
INF.14 Gebäudeautomation INF.14 ビルディングオートメーション

 

2018年以降の過去の版はこちら

Archiv - IT-Grundschutz-Kompendium

 


 

リンクが切れているのでなんの参考にもなりませんが。。。(^^;;

まるちゃんの情報セキュリティ気まぐれ日記

・2005.08.24 ドイツのITベースライン保護

|

« 米国 下院 アルゴリズム説明責任法案 2022 | Main | 個人情報保護委員会 マンガで学ぶ個人情報保護法 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 下院 アルゴリズム説明責任法案 2022 | Main | 個人情報保護委員会 マンガで学ぶ個人情報保護法 »