ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2023年版を発行
こんにちは、丸山満彦です。
ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2023を発行していますね。。。ちなみに2023年版はPDF版で858ページです(^^)
昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。
2022年版からの主な変更点は、以下の項目の追加のようです。。。
| CON.11.1 Geheimschutz (VS-NfD) | CON.11.1 秘密保持 (VS-NfD) |
| OPS.1.1.1 Allgemeiner IT-Betrieb | OPS.1.1.1 IT業務全般 |
| OPS.2.3 Nutzung von Outsourcing | OPS.2.3 アウトソーシングの活用 |
| OPS.3.2 Anbieten von Outsourcing | OPS.3.2 アウトソーシングの提供 |
| APP.5.4 Unified Communications und Collaboration (UCC) | APP.5.4 ユニファイドコミュニケーション&コラボレーション(UCC) |
| SYS.1.2.3 Windows Server | SYS.1.2.3 Windows Server |
| SYS.1.9 Terminalserver | SYS.1.9 ターミナルサーバー |
| SYS.2.5 Client-Virtualisierung | SYS.2.5 クライアント仮想化 |
| SYS.2.6 Virtual Desktop Infrastructure | SYS.2.6 仮想デスクトップインフラストラクチャー |
| NET.3.4 Network Access Control | NET.3.4 ネットワークアクセス制御 |
公共部門の利用者にとって特に興味深いのは、新しいモジュールCON.11.1 セキュリティ保護 秘密保持 (VS-NfD)ということらしいです。
モジュール OPS.2.3 アウトソーシングの活用 および OPS.3.2 アウトソーシングの提供は、モジュール OPS.2.1 お客様のためのアウトソーシングおよび OPS.3.1 サービスプロバイダーのためのアウトソーシングに代わるものだそうです。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
・2023.02.01 IT-Grundschutz-Kompendium Edition 2023 erschienen
・IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit
・[PDF]
目次
| Vorwort | 序文 |
| Dankesworte | 謝辞 |
| Inhaltsverzeichnis | 目次 |
| Neues im IT-Grundschutz-Kompendium | IT-Grundschutz Compendiumの新着情報 |
| IT-Grundschutz – Basis für Informationssicherheit | IT-Grundschutz - 情報セキュリティの基本 |
| Schichtenmodell und Modellierung | レイヤーモデルとモデリング |
| Rollen | 役割 |
| Glossar | 用語集 |
| Elementare Gefährdungen | 基本的な危険 |
| • G 0.1 Feuer | ・G0.1 火災 |
| • G 0.2 Ungünstige klimatische Bedingungen | ・G0.2 悪天候 |
| • G 0.3 Wasser | ・G0.3 水 |
| • G 0.4 Verschmutzung, Staub, Korrosion | ・G0.4 汚染, 粉塵, 腐食 |
| • G 0.5 Naturkatastrophen | ・G0.5 自然災害 |
| • G 0.6 Katastrophen im Umfeld | ・G0.6 環境に関する災害 |
| • G 0.7 Großereignisse im Umfeld | ・G0.7 環境に関する主な出来事 |
| • G 0.8 Ausfall oder Störung der Stromversorgung | ・G0.8 電源の故障・中断 |
| • G 0.9 Ausfall oder Störung von Kommunikationsnetzen | ・G0.9 通信網の障害・中断 |
| • G 0.10 Ausfall oder Störung von Versorgungsnetzen | ・G0.10 供給網の障害・中断 |
| • G 0.11 Ausfall oder Störung von Dienstleistern | ・G0.11 サービスプロバイダの障害・中断 |
| • G 0.12 Elektromagnetische Störstrahlung | ・G0.12 電磁妨害 |
| • G 0.13 Abfangen kompromittierender Strahlung | ・G0.13 危険な放射線の傍受 |
| • G 0.14 Ausspähen von Informationen (Spionage) | ・G0.14 情報のスパイ行為(諜報活動) |
| • G 0.15 Abhören | ・G0.15 盗聴 |
| • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten | ・G0.16 機器, データキャリア, 文書の盗難 |
| • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten | ・G0.17 機器, データキャリア, 文書の紛失 |
| • G 0.18 Fehlplanung oder fehlende Anpassung | ・G0.18 誤計画・調整不足 |
| • G 0.19 Offenlegung schützenswerter Informationen | ・G0.19 機微情報の開示 |
| • G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle | ・G0.20 信頼性の低い情報源からの情報または製品 |
| • G 0.21 Manipulation von Hard- oder Software | ・G0.21 ハードウェアまたはソフトウェアの操作 |
| • G 0.22 Manipulation von Informationen | ・G0.22 情報の操作 |
| • G 0.23 Unbefugtes Eindringen in IT-Systeme | ・G0.23 ITシステムへの不正侵入 |
| • G 0.24 Zerstörung von Geräten oder Datenträgern | ・G0.24 機器及びキャリアの破壊 |
| • G 0.25 Ausfall von Geräten oder Systemen | ・G0.25 機器・システムの不具合 |
| • G 0.26 Fehlfunktion von Geräten oder Systemen | ・G0.26 機器・システムの誤動作 |
| • G 0.27 Ressourcenmangel | ・G0.27 リソース不足 |
| • G 0.28 Software-Schwachstellen oder -Fehler | ・G0.28 ソフトウェアの脆弱性またはエラー |
| • G 0.29 Verstoß gegen Gesetze oder Regelungen | ・G0.29 法律・規制違反 |
| • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen | ・G0.30 機器・システムの不正使用・不正管理 |
| • G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen | ・G0.31 機器・システムの誤使用・誤操作 |
| • G 0.32 Missbrauch von Berechtigungen | ・G0.32 不正使用された権限 |
| • G 0.33 Personalausfall | ・G0.33 スタッフの欠勤 |
| • G 0.34 Anschlag | ・G0.34 アサルト |
| • G 0.35 Nötigung, Erpressung oder Korruption | ・G0.35 強要・強要・汚職 |
| • G 0.36 Identitätsdiebstahl | ・G0.36 個人情報漏洩 |
| • G 0.37 Abstreiten von Handlungen | ・G0.37 アクションの拒否 |
| • G 0.38 Missbrauch personenbezogener Daten | ・G0.38 個人情報の不正利用 |
| • G 0.39 Schadprogramme | ・G0.39 マルウェア |
| • G 0.40 Verhinderung von Diensten (Denial of Service) | ・G0.40 サービス妨害(DoS サービス不能)防止 |
| • G 0.41 Sabotage | ・G0.41 サボタージュ |
| • G 0.42 Social Engineering | ・G0.42 ソーシャルエンジニアリング |
| • G 0.43 Einspielen von Nachrichten | ・G0.43 メッセージの取り込み |
| • G 0.44 Unbefugtes Eindringen in Räumlichkeiten | ・G0.44 施設への不正侵入 |
| • G 0.45 Datenverlust | ・G0.45 データ消失 |
| • G 0.46 Integritätsverlust schützenswerter Informationen | ・G0.46 保護すべき情報の完全性の喪失 |
| • G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe | ・G0.47 ITを利用した攻撃による有害な副作用 |
| Prozess-Bausteine | プロセス構成要素 |
| ISMS: Sicherheitsmanagement | ISMS:セキュリティマネジメント |
| • ISMS.1 Sicherheitsmanagement | ・ISMS.1 セキュリティマネジメント |
| ORP: Organisation und Personal | ORP:組織・人事 |
| • ORP.1 Organisation | ・ORP.1 組織 |
| • ORP.2 Personal | ・ORP.2 人員 |
| • ORP.3 Sensibilisierung und Schulung zur Informationssicherheit | ・ORP.3 情報セキュリティの意識向上と教育 |
| • ORP.4 Identitäts- und Berechtigungsmanagement | ・ORP.4 身元および権限の管理 |
| • ORP.5 Compliance Management (Anforderungsmanagement) | ・ORP.5 コンプライアンス管理(要求事項の管理) |
| CON: Konzepte und Vorgehensweisen | CON:コンセプトと手順 |
| • CON.1 Kryptokonzept | ・CON.1 暗号の概念 |
| • CON.2 Datenschutz | ・CON.2 データ保護 |
| • CON.3 Datensicherungskonzept | ・CON.3 データバックアップの考え方 |
| • CON.6 LöschenundVernichten | ・CON.6 消去および破壊 |
| • CON.7 Informationssicherheit auf Auslandsreisen | ・CON.7 海外出張時の情報セキュリティ |
| • CON.8 Software-Entwicklung | ・CON.8 ソフトウェア開発 |
| • CON.9 Informationsaustausch | ・CON.9 情報交換 |
| • CON.10 EntwicklungvonWebanwendungen | ・CON.10 Webアプリケーション開発 |
| • CON.11.1 GeheimschutzVS-NURFÜRDENDIENSTGEBRAUCH (VS-NfD) | ・CON.11.1 サービス利用のみを目的とした情報セキュリティの秘密保持(VS-NfD) |
| OPS: Betrieb | OPS:オペレーション |
| OPS.1 Eigener Betrieb | OPS.1 自社運用 |
| OPS.1.1 Kern-IT-Betrieb | OPS.1.1 ITコア業務 |
| • OPS.1.1.1 AllgemeinerIT-Betrieb | ・OPS.1.1.1 IT運用全般 |
| • OPS.1.1.2 OrdnungsgemäßeIT-Administration | ・OPS.1.1.2 ProperITの管理 |
| • OPS.1.1.3 Patch-undÄnderungsmanagement | ・OPS.1.1.3 パッチと変更の管理 |
| • OPS.1.1.4 SchutzvorSchadprogrammen | ・OPS.1.1.4 マルウェアからの保護 |
| • OPS.1.1.5 Protokollierung | ・OPS.1.1.5 ロギング |
| • OPS.1.1.6 Software-Testsund-Freigaben | ・OPS.1.1.6 ソフトウェアのテストと承認 |
| • OPS.1.1.7 Systemmanagement | ・OPS.1.1.7 システム管理 |
| OPS.1.2 Weiterführende Aufgaben | OPS.1.2 アドバンスト・タスク |
| • OPS.1.2.2 Archivierung | ・OPS.1.2.2 アーカイビング |
| • OPS.1.2.4 Telearbeit | ・OPS.1.2.4 テレワーク |
| • OPS.1.2.5 Fernwartung | ・OPS.1.2.5 リモートメンテナンス |
| • OPS.1.2.6 NTP-Zeitsynchronisation | ・OPS.1.2.6 NTP時刻同期 |
| OPS.2 Betrieb von Dritten | OPS.2 サードパーティ製オペレーション |
| • OPS.2.2 Cloud-Nutzung | ・OPS.2.2 クラウド利用 |
| • OPS.2.3 Nutzungvon Outsourcing | ・OPS.2.3 アウトソーシングの利用 |
| OPS.3 Betrieb für Dritte | OPS.3 第三者による運営 |
| • OPS.3.2 Anbietenvon Outsourcing | ・OPS.3.2 アウトソーシングの提供 |
| DER: Detektion und Reaktion | DER:検出と応答 |
| • DER.1 DetektionvonsicherheitsrelevantenEreignissen | ・DER.1 セキュリティインシデントの検出 |
| DER.2 Security Incident Management | DER.2 セキュリティインシデント管理 |
| • DER.2.1 Behandlung von Sicherheitsvorfällen | ・DER.2.1 セキュリティインシデントへの対応 |
| • DER.2.2 Vorsorge für die IT-Forensik | ・DER.2.2 ITフォレンジックの準備 |
| • DER.2.3 BereinigungweitreichenderSicherheitsvorfälle | ・DER.2.3 広範囲に及ぶセキュリティインシデントの対応 |
| DER.3 Sicherheitsprüfungen | DER.3 セキュリティ監査 |
| • DER.3.1 Audits und Revisionen | ・DER.3.1 監査・レビュー |
| • DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision | ・DER.3.2 IS監査ガイドラインに基づく監査 |
| • DER.4 Notfallmanagement | ・DER.4 危機管理 |
| System-Bausteine | システム構成 |
| APP: Anwendungen | APP:アプリケーション |
| APP.1 Client-Anwendungen | APP.1 クライアントアプリケーション |
| • APP.1.1 Office-Produkte | ・APP.1.1 オフィス製品 |
| • APP.1.2 Webbrowser | ・APP.1.2 ウェブブラウザ |
| • APP.1.4 Mobile Anwendungen (Apps) | ・APP.1.4 モバイルアプリケーション (アプリ) |
| APP.2 Verzeichnisdienst | APP.2 ディレクトリサービス |
| • APP.2.1 Allgemeiner Verzeichnisdienst | ・APP.2.1 一般的なディレクトリサービス |
| • APP.2.2 ActiveDirectory Domain Services | ・APP.2.2 アクティブディレクトリーサービス |
| • APP.2.3 OpenLDAP | ・APP.2.3 OpenLDAP |
| APP.3 Netzbasierte Dienste | APP.3 ネットワーク系サービス |
| • APP.3.1 Webanwendungen und Webservices | ・APP.3.1 WebアプリケーションとWebサービス |
| • APP.3.2 Webserver | ・APP.3.2 ウェブサーバー |
| • APP.3.3 Fileserver | ・APP.3.3 ファイルサーバー |
| • APP.3.4 Samba | ・APP.3.4 Samba |
| • APP.3.6 DNS-Server | ・APP.3.6 DNSサーバ |
| APP.4 Business-Anwendungen | APP.4 ビジネスアプリケーション |
| • APP.4.2 SAP-ERP-System | ・APP.4.2 SAP ERPシステム |
| • APP.4.3 Relationale Datenbanken | ・APP.4.3 リレーショナルデータベース |
| • APP.4.4 Kubernetes | ・APP.4.4 Kubernetes |
| • APP.4.6 SAP ABAP-Programmierung | ・APP.4.6 SAPABAPプログラミング |
| APP.5 E-Mail/Groupware/Kommunikation | APP.5 電子メール/グループウェア/コミュニケーション |
| • APP.5.2 Microsoft Exchange und Outlook | ・APP.5.2 MicrosoftExchangeとOutlook |
| • APP.5.3 Allgemeiner E-Mail-Client und -Server | ・APP.5.3 一般的な電子メールクライアントとサーバー |
| • APP.5.4 Unified Communications und Collaboration (UCC) | ・APP.5.4 ユニファイドコミュニケーションとコラボレーション(UCC) |
| • APP.6 Allgemeine Software | ・APP.6 ソフトウエア全般 |
| • APP.7 EntwicklungvonIndividualsoftware | ・APP.7 個別ソフトウエアの開発 |
| SYS: IT-Systeme | SYS:ITシステム |
| SYS.1 Server | SYS.1 サーバー |
| • SYS.1.1 Allgemeiner Server | ・SYS.1.1 GeneralServer |
| • SYS.1.2 Windows Server | ・SYS.1.2 WindowsServer |
| ◦ SYS.1.2.2 Windows Server 2012 | ・・SYS.1.2.2 Windows Server 2012 |
| ◦ SYS.1.2.3 Windows Server | ・・SYS.1.2.3 Windows Server |
| • SYS.1.3 Serverunter Linux und Unix | ・SYS.1.3 Linux・Unixのサーバー |
| • SYS.1.5 Virtualisierung | ・SYS.1.5 仮想化 |
| • SYS.1.6 Containerisierung | ・SYS.1.6 コンテナ化 |
| • SYS.1.7 IBM Z | ・SYS.1.7 IBM Z |
| • SYS.1.8 Speicherlösungen | ・SYS.1.8 ストレージソリューション |
| • SYS.1.9 Terminalserver | ・SYS.1.9 ターミナルサーバー |
| SYS.2 Desktop-Systeme | SYS.2 デスクトップシステム |
| • SYS.2.1 AllgemeinerClient | ・SYS.2.1 GeneralClient |
| • SYS.2.2 Windows-Clients | ・SYS.2.2 Windowsクライアント |
| ◦ SYS.2.2.3 Clients unter Windows | SYS.2.2.3 Windows版クライアント |
| • SYS.2.3 Clients unter Linux und Unix | ・SYS.2.3 LinuxおよびUnix上のクライアント |
| • SYS.2.4 ClientsuntermacOS | ・SYS.2.4クライアント(macOS版) |
| • SYS.2.5 Client-Virtualisierung | ・SYS.2.5 クライアント仮想化 |
| • SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices | ・SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices |
| • SYS.3.1 Laptops | ・SYS.3.1 ノートパソコン |
| • SYS.3.2 Tablet und Smartphone | ・SYS.3.2 タブレットとスマートフォン |
| ◦ SYS.3.2.1 Allgemeine Smartphones und Tablets | ・・SYS.3.2.1 一般的なスマートフォンとタブレット |
| ◦ SYS.3.2.2 Mobile Device Management (MDM) | ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM) |
| ◦ SYS.3.2.3 iOS (for Enterprise) | ・・SYS.3.2.3 iOS(エンタープライズ向け) |
| ◦ SYS.3.2.4 Android | ・・SYS.3.2.4 Android |
| • SYS.3.3 Mobiltelefon | ・SYS.3.3 携帯電話 |
| SYS.4 Sonstige Systeme | SYS.4 その他のシステム |
| • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte | ・SYS.4.1 プリンタ,複写機,複合機 |
| • SYS.4.3 Eingebettete Systeme | ・SYS.4.3 組込みシステム |
| • SYS.4.4 Allgemeines IoT-Gerät | ・SYS.4.4 一般的なIoTデバイス |
| • SYS.4.5 Wechseldatenträger | ・SYS.4.5 リムーバブル・ストレージ・デバイス |
| IND: Industrielle IT | IND:産業用IT |
| IND.1 Prozessleit- und Automatisierungstechnik | IND.1 プロセスコントロールとオートメーション技術 |
| IND.2 ICS-Komponenten | IND.2 ICSコンポーネント |
| • IND.2.1 Allgemeine ICS-Komponente | ・IND.2.1 一般的なICSコンポーネント |
| • IND.2.2 Speicherprogrammierbare Steuerung (SPS) | ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC) |
| • IND.2.3 Sensoren und Aktoren | ・IND.2.3 センサーとアクチュエーター |
| • IND.2.4 Maschine | ・IND.2.4 マシン |
| • IND.2.7 Safety Instrumented Systems | ・IND.2.7 安全計装システム |
| IND.3 Produktionsnetze | IND.3 生産ネットワーク |
| • IND.3.2 Fernwartung im industriellen Umfeld | ・IND.3.2 産業環境におけるリモートメンテナンス |
| NET: Netze und Kommunikation | NET:ネットワークとコミュニケーション |
| NET.1 Netze | NET.1 ネットワーク |
| • NET.1.1 Netzarchitektur und -design | ・NET.1.1 ネットワークアーキテクチャとデザイン |
| • NET.1.2 Netzmanagement | ・NET.1.2 ネットワーク管理 |
| NET.2 Funknetze | NET.2 ワイヤレスネットワーク |
| • NET.2.1 WLAN-Betrieb | ・NET.2.1.WLAN操作 |
| • NET.2.2 WLAN-Nutzung | ・NET.2.2.WLANの使い方 |
| NET.3 Netzkomponenten | NET.3 ネットワークコンポーネント |
| • NET.3.1 Router und Switches | ・NET.3.1 ルーターとスイッチ |
| • NET.3.2 Firewall | ・NET.3.2 ファイアウォール |
| • NET.3.3 VPN | ・NET.3.3 VPN |
| • NET.3.4 Network Access Control | ・NET.3.4 ネットワークアクセスコントロール |
| NET.4: Telekommunikation | NET.4: 通信 |
| • NET.4.1 TK-Anlagen | ・NET.4.1 PBXシステム |
| • NET.4.2 VoIP | ・NET.4.2 VoIP |
| • NET.4.3 Faxgeräte und Faxserver | ・NET.4.3 ファクス機とファクスサーバー |
| INF: Infrastruktur | INF:インフラ |
| INF.1 Allgemeines Gebäude | INF.1 一般的な建物 |
| INF.2 Rechenzentrum sowie Serverraum | INF.2 コンピューターセンターとサーバールーム |
| INF.5 Raum sowie Schrank für technische Infrastruktur | INF.5 技術インフラのための部屋とキャビネット |
| INF.6 Datenträgerarchiv | INF.6 データメディアアーカイブ |
| INF.7 Büroarbeitsplatz | INF.7 オフィスの仕事場 |
| INF.8 Häuslicher Arbeitsplatz | INF.8 ホームワークプレイス |
| INF.9 Mobiler Arbeitsplatz | INF.9 モバイルワークプレイス |
| INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume | INF.10 会議,イベント,トレーニングルーム |
| INF.11 Allgemeines Fahrzeug | INF.11 一般車両 |
| INF.12 Verkabelung | INF.12 ケーブル配線 |
| INF.13 Technisches Gebäudemanagement | INF.13 技術的なビル管理 |
| INF.14 Gebäudeautomation | INF.14 ビルディングオートメーション |
分割版
・[ZIP] PDF in ZIP
・[ZIP] DOCX in ZIP
クロスリファレンス
・[EXLX] Kreuzreferenztabellen zum IT-Grundschutz-Kompendium
XML版
・[XML] XML-Version des IT-Grundschutz-Kompendiums
変更履歴
・Änderungsdokumente (Edition 2023)
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.02.09 ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行
Comments