ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行
こんにちは、丸山満彦です。
ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2022を発行していますね。。。ちなみに2022年版は900ページです(^^)
昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。
2021年版からの主な変更点は、以下の項目の追加となるようです。。。
- OPS.1.1.7 システム管理
- OPS.1.2.6 NTPによる時刻の同期
- APP.4.4 クバネティス
- SYS.1.6 コンテナ化
- IND.3.2 産業環境でのリモートメンテナンス
- INF.13 テクニカル・ビルディング・マネジメント
- INF.14 ビルディングオートメーション
また、今年からDOCXやXML形式でも提供されるようです。。。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
・2022.02.08 IT-Grundschutz-Kompendium Edition 2022 erschienen
・IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit Edition 2022
・IT-Grundschutz-Bausteine Edition 2022
・[PDF] [Word in ZIP] [XML]
目次...
| Vorwort | 序文 |
| Dankesworte | 謝辞 |
| Inhaltsverzeichnis | 目次 |
| Neues im IT-Grundschutz-Kompendium | IT-Grundschutz Compendiumの最新情報 |
| IT-Grundschutz – Basis für Informationssicherheit | IT-Grundschutz ・情報セキュリティの基礎 |
| Schichtenmodell und Modellierung | レイヤーモデルとモデリング |
| Rollen | 役割 |
| Glossar | 用語集 |
| Elementare Gefährdungen | 基本的な危険 |
| • G 0.1 Feuer | ・G 0.1 火 |
| • G 0.2 Ungünstige klimatische Bedingungen | ・G 0.2 不利な気候条件 |
| • G 0.3 Wasser | ・G 0.3 水 |
| • G 0.4 Verschmutzung, Staub, Korrosion | ・G 0.4 汚染、粉塵、腐食 |
| • G 0.5 Naturkatastrophen | ・G 0.5 自然災害 |
| • G 0.6 Katastrophen im Umfeld | ・G 0.6 周辺地域で発生した災害 |
| • G 0.7 Großereignisse im Umfeld | ・G 0.7 周辺地域での主な出来事 |
| • G 0.8 Ausfall oder Störung der Stromversorgung | ・G 0.8 電力供給の停止または中断 |
| • G 0.9 Ausfall oder Störung von Kommunikationsnetzen | ・G 0.9 通信ネットワークの障害・混乱 |
| • G 0.10 Ausfall oder Störung von Versorgungsnetzen | ・G 0.10 供給ネットワークの故障または破壊 |
| • G 0.11 Ausfall oder Störung von Dienstleistern | ・G 0.11 サービス提供者の障害または混乱 |
| • G 0.12 Elektromagnetische Störstrahlung | ・G 0.12 電磁妨害 |
| • G 0.13 Abfangen kompromittierender Strahlung | ・G 0.13 危険な放射線の傍受 |
| • G 0.14 Ausspähen von Informationen (Spionage) | ・G 0.14 情報のスパイ活動(スパイオナージ) |
| • G 0.15 Abhören | ・G 0.15 盗聴 |
| • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten | ・G 0.16 機器、データキャリアまたは文書の盗難 |
| • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten | ・G 0.17 機器、データキャリアまたは文書の損失 |
| • G 0.18 Fehlplanung oder fehlende Anpassung | ・G 0.18 誤った計画または適応の欠如 |
| • G 0.19 Offenlegung schützenswerter Informationen | ・G 0.19 機密情報の開示 |
| • G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle | ・G 0.20 信頼できない情報源からの情報または製品 |
| • G 0.21 Manipulation von Hard- oder Software | ・G 0.21 ハードウェアまたはソフトウェアの操作 |
| • G 0.22 Manipulation von Informationen | ・G 0.22 情報の操作 |
| • G 0.23 Unbefugtes Eindringen in IT-Systeme | ・G 0.23 ITシステムへの無許可の侵入 |
| • G 0.24 Zerstörung von Geräten oder Datenträgern | ・G 0.24 機器またはデータキャリアの破壊 |
| • G 0.25 Ausfall von Geräten oder Systemen | ・G 0.25 機器・システムの故障 |
| • G 0.26 Fehlfunktion von Geräten oder Systemen | ・G 0.26 機器またはシステムの誤動作 |
| • G 0.27 Ressourcenmangel | ・G 0.27 リソースの不足 |
| • G 0.28 Software-Schwachstellen oder -Fehler | ・G 0.28 ソフトウェアの脆弱性またはエラー |
| • G 0.29 Verstoß gegen Gesetze oder Regelungen | ・G 0.29 法律または規則の違反 |
| • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen | ・G 0.30 デバイスおよびシステムの不正使用または管理 |
| • G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen | ・G 0.31 デバイスおよびシステムの不適切な使用または管理 |
| • G 0.32 Missbrauch von Berechtigungen | ・G 0.32 許可証の不正使用 |
| • G 0.33 Personalausfall | ・G 0.33 スタッフの欠勤 |
| • G 0.34 Anschlag | ・G 0.34 アサルト |
| • G 0.35 Nötigung, Erpressung oder Korruption | ・G 0.35 強制、強要、汚職 |
| • G 0.36 Identitätsdiebstahl | ・G 0.36 個人情報の盗難 |
| • G 0.37 Abstreiten von Handlungen | ・G 0.37 アクションの拒否 |
| • G 0.38 Missbrauch personenbezogener Daten | ・G 0.38 個人情報の不正使用 |
| • G 0.39 Schadprogramme | ・G 0.39 悪意のあるプログラム |
| • G 0.40 Verhinderung von Diensten (Denial of Service) | ・G 0.40 サービスの妨害(DoS(サービス不能)対策 |
| • G 0.41 Sabotage | ・G 0.41 サボタージュ |
| • G 0.42 Social Engineering | ・G 0.42 ソーシャルエンジニアリング |
| • G 0.43 Einspielen von Nachrichten | ・G 0.43 メッセージの取り込み |
| • G 0.44 Unbefugtes Eindringen in Räumlichkeiten | ・G 0.44 施設への無断侵入 |
| • G 0.45 Datenverlust | ・G 0.45 データの損失 |
| • G 0.46 Integritätsverlust schützenswerter Informationen | ・G 0.46 保護するに値する情報の完全性の喪失 |
| • G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe | ・G 0.47 ITを駆使した攻撃の有害な副作用 |
| Prozess-Bausteine | プロセスビルディングブロック |
| ISMS: Sicherheitsmanagement | ISMS:セキュリティマネジメント |
| ISMS.1 Sicherheitsmanagement | ISMS.1 セキュリティ管理 |
| ORP: Organisation und Personal | ORP:組織と人員 |
| ORP.1 Organisation | ORP.1 オーガニゼーション |
| ORP.2 Personal | ORP.2 人事 |
| ORP.3 Sensibilisierung und Schulung zur Informationssicherheit | ORP.3 情報セキュリティに関する意識とトレーニング |
| ORP.4 Identitäts- und Berechtigungsmanagement | ORP.4 アイデンティティと認証の管理 |
| ORP.5 Compliance Management (Anforderungsmanagement) | ORP.5 コンプライアンスマネジメント(要求管理) |
| CON: Konzepte und Vorgehensweisen | CON:コンセプトと手順 |
| CON.1 Kryptokonzept | CON.1 Cryptoのコンセプト |
| CON.2 Datenschutz | CON.2 データ保護 |
| CON.3 Datensicherungskonzept | CON.3 データ保護の概念 |
| CON.6 Löschen und Vernichten | CON.6 削除と破壊 |
| CON.7 Informationssicherheit auf Auslandsreisen | CON.7 海外旅行における情報セキュリティ |
| CON.8 Software-Entwicklung | CON.8 ソフトウェア開発 |
| CON.9 Informationsaustausch | CON.9 情報共有 |
| • CON.10 Entwicklung von Webanwendungen | CON.10 Webアプリケーション開発 |
| OPS: Betrieb | OPS:オペレーション |
| OPS.1 Eigener Betrieb | OPS.1 自社運用 |
| OPS.1.1 Kern-IT-Betrieb | ・OPS.1.1 コアITオペレーション |
| • OPS.1.1.2 Ordnungsgemäße IT-Administration | ・・OPS.1.1.2 適切なIT管理 |
| • OPS.1.1.3 Patch- und Änderungsmanagement | ・・OPS.1.1.3 パッチおよび変更管理 |
| • OPS.1.1.4 Schutz vor Schadprogrammen | ・・OPS.1.1.4 マルウェアからの保護 |
| • OPS.1.1.5 Protokollierung | ・・OPS.1.1.5 ロギング |
| • OPS.1.1.6 Software-Tests und -Freigaben | ・・OPS.1.1.6 ソフトウェアのテストと承認 |
| • OPS.1.1.7 Systemmanagement | ・・OPS.1.1.7 システム管理 |
| OPS.1.2 Weiterführende Aufgaben | ・OPS.1.2 高度なタスク |
| • OPS.1.2.2 Archivierung | ・・OPS.1.2.2 アーカイビング |
| • OPS.1.2.4 Telearbeit | ・・OPS.1.2.4 テレワーク |
| • OPS.1.2.5 Fernwartung | ・・OPS.1.2.5 リモートメンテナンス |
| • OPS.1.2.6 NTP-Zeitsynchronisation | ・・OPS.1.2.6 NTPによる時刻の同期 |
| OPS.2 Betrieb von Dritten | OPS.2 第三者による操作 |
| • OPS.2.1 Outsourcing für Kunden | ・OPS.2.1 お客様のためのアウトソーシング |
| • OPS.2.2 Cloud-Nutzung | ・OPS.2.2 クラウドの利用 |
| OPS.3 Betrieb für Dritte | OPS.3 サードパーティ向け操作 |
| • OPS.3.1 Outsourcing für Dienstleister | ・OPS.3.1 サービスプロバイダーのためのアウトソーシング |
| DER: Detektion und Reaktion | DER: 検知と対応 |
| DER.1 Detektion von sicherheitsrelevanten Ereignissen | DER.1 セキュリティ・インシデントの検知 |
| DER.2 Security Incident Management | DER.2 セキュリティ・インシデント管理 |
| • DER.2.1 Behandlung von Sicherheitsvorfällen | ・DER.2.1 セキュリティ・インシデントの処理 |
| • DER.2.2 Vorsorge für die IT-Forensik | ・DER.2.2 ITフォレンジックへの対応 |
| • DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle | ・DER.2.3 広範囲にわたるセキュリティインシデントの後始末 |
| DER.3 Sicherheitsprüfungen | DER.3 セキュリティ監査 |
| • DER.3.1 Audits und Revisionen | ・DER.3.1 オーディットとレビュー |
| • DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision | ・DER.3.2 IS監査ガイドに基づく監査の実施 |
| DER.4 Notfallmanagement | DER.4 危機管理 |
| System-Bausteine | システム構成 |
| APP: Anwendungen | APP:アプリケーション |
| APP.1 Client-Anwendungen | APP.1 クライアント・アプリケーション |
| • APP.1.1 Office-Produkte | ・APP.1.1 オフィス製品 |
| • APP.1.2 Webbrowser | ・APP.1.2 ウェブブラウザ |
| • APP.1.4 Mobile Anwendungen (Apps) | ・APP.1.4 モバイルアプリケーション(アプリ) |
| APP.2 Verzeichnisdienst | APP.2 ディレクトリサービス |
| • APP.2.1 Allgemeiner Verzeichnisdienst | ・APP.2.1 一般的なディレクトリサービス |
| • APP.2.2 Active Directory | ・APP.2.2 アクティブ・ディレクトリ |
| • APP.2.3 OpenLDAP | ・APP.2.3 OpenLDAP |
| APP.3 Netzbasierte Dienste | APP.3 ネットワークベースのサービス |
| • APP.3.1 Webanwendungen und Webservices | ・APP.3.1 ウェブアプリケーションとウェブサービス |
| • APP.3.2 Webserver | ・APP.3.2 ウェブサーバ |
| • APP.3.3 Fileserver | ・APP.3.3 ファイルサーバー |
| • APP.3.4 Samba | ・APP.3.4 Samba |
| • APP.3.6 DNS-Server | ・APP.3.6 DNSサーバー |
| APP.4 Business-Anwendungen | APP.4 ビジネスアプリケーション |
| • APP.4.2 SAP-ERP-System | ・APP.4.2 SAP ERPシステム |
| • APP.4.3 Relationale Datenbanken | ・APP.4.3 リレーショナル・データベース |
| • APP.4.4 Kubernetes | ・APP.4.4 クバネティス |
| • APP.4.6 SAP ABAP-Programmierung | ・APP.4.6 SAP ABAP プログラミング |
| APP.5 E-Mail/Groupware/Kommunikation | APP.5 電子メール/グループウェア/コミュニケーション |
| • APP.5.2 Microsoft Exchange und Outlook | ・APP.5.2 Microsoft ExchangeとOutlook |
| • APP.5.3 Allgemeiner E-Mail-Client und -Server | ・APP.5.3 一般的な電子メールクライアントとサーバー |
| APP.6 Allgemeine Software | APP.6 一般的なソフトウェア |
| APP.7 Entwicklung von Individualsoftware | APP.7 個別ソフトウェアの開発 |
| SYS: IT-Systeme | SYS: ITシステム |
| SYS.1 Server | SYS.1サーバー |
| • SYS.1.1 Allgemeiner Server | ・SYS.1.1 汎用サーバー |
| • SYS.1.2 Windows Server | ・SYS.1.2 Windows Server |
| ◦ SYS.1.2.2 Windows Server 2012 | ・・SYS.1.2.2 Windows Server 2012 |
| • SYS.1.3 Server unter Linux und Unix | ・SYS.1.3 LinuxおよびUnixサーバー |
| • SYS.1.5 Virtualisierung | ・SYS.1.5 仮想化 |
| • SYS.1.6 Containerisierung | ・SYS.1.6 コンテナ化 |
| • SYS.1.7 IBM Z | ・SYS.1.7 IBM Z |
| • SYS.1.8 Speicherlösungen | ・SYS.1.8 ストレージソリューション |
| SYS.2 Desktop-Systeme | SYS.2 デスクトップシステム |
| • SYS.2.1 Allgemeiner Client | ・SYS.2.1 一般顧客 |
| • SYS.2.2 Windows-Clients | ・SYS.2.2 Windowsクライアント |
| ◦ SYS.2.2.2 Clients unter Windows 8.1 | ・・SYS.2.2.2 Windows 8.1 クライアント |
| ◦ SYS.2.2.3 Clients unter Windows 10 | ・・SYS.2.2.3 Windows 10搭載のクライアント |
| • SYS.2.3 Clients unter Linux und Unix | ・SYS.2.3 LinuxおよびUnix上のクライアント |
| • SYS.2.4 Clients unter macOS | ・SYS.2.4 macOS上のクライアント |
| SYS.3 Mobile Devices | SYS.3 モバイルデバイス |
| • SYS.3.1 Laptops | ・SYS.3.1 ノートパソコン |
| • SYS.3.2 Tablet und Smartphone | ・SYS.3.2 タブレットとスマートフォン |
| ◦ SYS.3.2.1 Allgemeine Smartphones und Tablets | ・・SYS.3.2.1 一般的なスマートフォンとタブレット |
| ◦ SYS.3.2.2 Mobile Device Management (MDM) | ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM) |
| ◦ SYS.3.2.3 iOS (for Enterprise) | ・・SYS.3.2.3 iOS(エンタープライズ向け) |
| ◦ SYS.3.2.4 Android | ・・SYS.3.2.4 Android |
| • SYS.3.3 Mobiltelefon | ・SYS.3.3 携帯電話 |
| SYS.4 Sonstige Systeme | SYS.4 その他のシステム |
| • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte | ・SYS.4.1 プリンタ,複写機,複合機 |
| • SYS.4.3 Eingebettete Systeme | ・SYS.4.3 組込みシステム |
| • SYS.4.4 Allgemeines IoT-Gerät | ・SYS.4.4 一般的なIoTデバイス |
| • SYS.4.5 Wechseldatenträger | ・SYS.4.5 リムーバブル・ストレージ・デバイス |
| IND: Industrielle IT | IND:産業用IT |
| IND.1 Prozessleit- und Automatisierungstechnik | IND.1 プロセスコントロールとオートメーション技術 |
| IND.2 ICS-Komponenten | IND.2 ICSコンポーネント |
| • IND.2.1 Allgemeine ICS-Komponente | ・IND.2.1 一般的なICSコンポーネント |
| • IND.2.2 Speicherprogrammierbare Steuerung (SPS) | ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC) |
| • IND.2.3 Sensoren und Aktoren | ・IND.2.3 センサーとアクチュエーター |
| • IND.2.4 Maschine | ・IND.2.4 マシン |
| • IND.2.7 Safety Instrumented Systems | ・IND.2.7 安全計装システム |
| IND.3 Produktionsnetze | IND.3 生産ネットワーク |
| • IND.3.2 Fernwartung im industriellen Umfeld | ・IND.3.2 産業環境におけるリモートメンテナンス |
| NET: Netze und Kommunikation | NET:ネットワークとコミュニケーション |
| NET.1 Netze | NET.1 ネットワーク |
| • NET.1.1 Netzarchitektur und -design | ・NET.1.1 ネットワークアーキテクチャとデザイン |
| • NET.1.2 Netzmanagement | ・NET.1.2 ネットワーク管理 |
| NET.2 Funknetze | NET.2 ワイヤレスネットワーク |
| • NET.2.1 WLAN-Betrieb | ・NET.2.1.WLAN操作 |
| • NET.2.2 WLAN-Nutzung | ・NET.2.2.WLANの使い方 |
| NET.3 Netzkomponenten | NET.3 ネットワークコンポーネント |
| • NET.3.1 Router und Switches | ・NET.3.1 ルーターとスイッチ |
| • NET.3.2 Firewall | ・NET.3.2 ファイアウォール |
| • NET.3.3 VPN | ・NET.3.3 VPN |
| NET.4: Telekommunikation | NET.4: 通信 |
| • NET.4.1 TK-Anlagen | ・NET.4.1 PBXシステム |
| • NET.4.2 VoIP | ・NET.4.2 VoIP |
| • NET.4.3 Faxgeräte und Faxserver | ・NET.4.3 ファクス機とファクスサーバー |
| INF: Infrastruktur | INF:インフラ |
| INF.1 Allgemeines Gebäude | INF.1 一般的な建物 |
| INF.2 Rechenzentrum sowie Serverraum | INF.2 コンピューターセンターとサーバールーム |
| INF.5 Raum sowie Schrank für technische Infrastruktur | INF.5 技術インフラのための部屋とキャビネット |
| INF.6 Datenträgerarchiv | INF.6 データメディアアーカイブ |
| INF.7 Büroarbeitsplatz | INF.7 オフィスの仕事場 |
| INF.8 Häuslicher Arbeitsplatz | INF.8 ホームワークプレイス |
| INF.9 Mobiler Arbeitsplatz | INF.9 モバイルワークプレイス |
| INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume | INF.10 会議,イベント,トレーニングルーム |
| INF.11 Allgemeines Fahrzeug | INF.11 一般車両 |
| INF.12 Verkabelung | INF.12 ケーブル配線 |
| INF.13 Technisches Gebäudemanagement | INF.13 技術的なビル管理 |
| INF.14 Gebäudeautomation | INF.14 ビルディングオートメーション |
2018年以降の過去の版はこちら
・Archiv - IT-Grundschutz-Kompendium
リンクが切れているのでなんの参考にもなりませんが。。。(^^;;
● まるちゃんの情報セキュリティ気まぐれ日記
・2005.08.24 ドイツのITベースライン保護
Comments