« ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す | Main | 米国 インド 重要な新技術に関するイニシアティブの設立についての発表 (2023.01.31) »

2023.02.02

ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2023年版を発行

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2023を発行していますね。。。ちなみに2023年版はPDF版で858ページです(^^)

昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。

2022年版からの主な変更点は、以下の項目の追加のようです。。。

CON.11.1 Geheimschutz (VS-NfD) CON.11.1 秘密保持 (VS-NfD)
OPS.1.1.1 Allgemeiner IT-Betrieb OPS.1.1.1 IT業務全般
OPS.2.3 Nutzung von Outsourcing OPS.2.3 アウトソーシングの活用
OPS.3.2 Anbieten von Outsourcing OPS.3.2 アウトソーシングの提供
APP.5.4 Unified Communications und Collaboration (UCC) APP.5.4 ユニファイドコミュニケーション&コラボレーション(UCC)
SYS.1.2.3 Windows Server SYS.1.2.3 Windows Server
SYS.1.9 Terminalserver SYS.1.9 ターミナルサーバー
SYS.2.5 Client-Virtualisierung SYS.2.5 クライアント仮想化
SYS.2.6 Virtual Desktop Infrastructure SYS.2.6 仮想デスクトップインフラストラクチャー
NET.3.4 Network Access Control NET.3.4 ネットワークアクセス制御

公共部門の利用者にとって特に興味深いのは、新しいモジュールCON.11.1 セキュリティ保護 秘密保持 (VS-NfD)ということらしいです。

モジュール OPS.2.3 アウトソーシングの活用 および OPS.3.2 アウトソーシングの提供は、モジュール OPS.2.1 お客様のためのアウトソーシングおよび OPS.3.1 サービスプロバイダーのためのアウトソーシングに代わるものだそうです。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.02.01 IT-Grundschutz-Kompendium Edition 2023 erschienen

IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit

・[PDF

20230202-123423

目次

Vorwort 序文
Dankesworte 謝辞
Inhaltsverzeichnis 目次
Neues im IT-Grundschutz-Kompendium IT-Grundschutz Compendiumの新着情報
IT-Grundschutz – Basis für Informationssicherheit IT-Grundschutz - 情報セキュリティの基本
Schichtenmodell und Modellierung レイヤーモデルとモデリング
Rollen 役割
Glossar 用語集
Elementare Gefährdungen 基本的な危険
• G 0.1 Feuer ・G0.1 火災
• G 0.2 Ungünstige klimatische Bedingungen ・G0.2 悪天候
• G 0.3 Wasser ・G0.3 水
• G 0.4 Verschmutzung, Staub, Korrosion ・G0.4 汚染, 粉塵, 腐食
• G 0.5 Naturkatastrophen ・G0.5 自然災害
• G 0.6 Katastrophen im Umfeld ・G0.6 環境に関する災害
• G 0.7 Großereignisse im Umfeld ・G0.7 環境に関する主な出来事
• G 0.8 Ausfall oder Störung der Stromversorgung ・G0.8 電源の故障・中断
• G 0.9 Ausfall oder Störung von Kommunikationsnetzen ・G0.9 通信網の障害・中断
• G 0.10 Ausfall oder Störung von Versorgungsnetzen ・G0.10 供給網の障害・中断
• G 0.11 Ausfall oder Störung von Dienstleistern ・G0.11 サービスプロバイダの障害・中断
• G 0.12 Elektromagnetische Störstrahlung ・G0.12 電磁妨害
• G 0.13 Abfangen kompromittierender Strahlung ・G0.13 危険な放射線の傍受
• G 0.14 Ausspähen von Informationen (Spionage) ・G0.14 情報のスパイ行為(諜報活動)
• G 0.15 Abhören ・G0.15 盗聴
• G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten ・G0.16 機器, データキャリア, 文書の盗難
• G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten ・G0.17 機器, データキャリア, 文書の紛失
• G 0.18 Fehlplanung oder fehlende Anpassung ・G0.18 誤計画・調整不足
• G 0.19 Offenlegung schützenswerter Informationen ・G0.19 機微情報の開示
• G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle ・G0.20 信頼性の低い情報源からの情報または製品
• G 0.21 Manipulation von Hard- oder Software ・G0.21 ハードウェアまたはソフトウェアの操作
• G 0.22 Manipulation von Informationen ・G0.22 情報の操作
• G 0.23 Unbefugtes Eindringen in IT-Systeme ・G0.23 ITシステムへの不正侵入
• G 0.24 Zerstörung von Geräten oder Datenträgern ・G0.24 機器及びキャリアの破壊
• G 0.25 Ausfall von Geräten oder Systemen ・G0.25 機器・システムの不具合
• G 0.26 Fehlfunktion von Geräten oder Systemen ・G0.26 機器・システムの誤動作
• G 0.27 Ressourcenmangel ・G0.27 リソース不足
• G 0.28 Software-Schwachstellen oder -Fehler ・G0.28 ソフトウェアの脆弱性またはエラー
• G 0.29 Verstoß gegen Gesetze oder Regelungen ・G0.29 法律・規制違反
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen ・G0.30 機器・システムの不正使用・不正管理
• G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen ・G0.31 機器・システムの誤使用・誤操作
• G 0.32 Missbrauch von Berechtigungen ・G0.32 不正使用された権限
• G 0.33 Personalausfall ・G0.33 スタッフの欠勤
• G 0.34 Anschlag ・G0.34 アサルト
• G 0.35 Nötigung, Erpressung oder Korruption ・G0.35 強要・強要・汚職
• G 0.36 Identitätsdiebstahl ・G0.36 個人情報漏洩
• G 0.37 Abstreiten von Handlungen ・G0.37 アクションの拒否
• G 0.38 Missbrauch personenbezogener Daten ・G0.38 個人情報の不正利用
• G 0.39 Schadprogramme ・G0.39 マルウェア
• G 0.40 Verhinderung von Diensten (Denial of Service) ・G0.40 サービス妨害(DoS サービス不能)防止
• G 0.41 Sabotage ・G0.41 サボタージュ
• G 0.42 Social Engineering ・G0.42 ソーシャルエンジニアリング
• G 0.43 Einspielen von Nachrichten ・G0.43 メッセージの取り込み
• G 0.44 Unbefugtes Eindringen in Räumlichkeiten ・G0.44 施設への不正侵入
• G 0.45 Datenverlust ・G0.45 データ消失
• G 0.46 Integritätsverlust schützenswerter Informationen ・G0.46 保護すべき情報の完全性の喪失
• G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe ・G0.47 ITを利用した攻撃による有害な副作用
Prozess-Bausteine プロセス構成要素
ISMS: Sicherheitsmanagement ISMS:セキュリティマネジメント
• ISMS.1 Sicherheitsmanagement ・ISMS.1 セキュリティマネジメント
ORP: Organisation und Personal ORP:組織・人事
• ORP.1 Organisation ・ORP.1 組織
• ORP.2 Personal ・ORP.2 人員
• ORP.3 Sensibilisierung und Schulung zur Informationssicherheit ・ORP.3 情報セキュリティの意識向上と教育
• ORP.4 Identitäts- und Berechtigungsmanagement ・ORP.4 身元および権限の管理
• ORP.5 Compliance Management (Anforderungsmanagement) ・ORP.5 コンプライアンス管理(要求事項の管理)
CON: Konzepte und Vorgehensweisen CON:コンセプトと手順
• CON.1 Kryptokonzept ・CON.1 暗号の概念
• CON.2 Datenschutz ・CON.2 データ保護
• CON.3 Datensicherungskonzept ・CON.3 データバックアップの考え方
• CON.6 LöschenundVernichten ・CON.6 消去および破壊
• CON.7 Informationssicherheit auf Auslandsreisen ・CON.7 海外出張時の情報セキュリティ
• CON.8 Software-Entwicklung ・CON.8 ソフトウェア開発
• CON.9 Informationsaustausch ・CON.9 情報交換
• CON.10 EntwicklungvonWebanwendungen ・CON.10 Webアプリケーション開発
• CON.11.1 GeheimschutzVS-NURFÜRDENDIENSTGEBRAUCH (VS-NfD) ・CON.11.1 サービス利用のみを目的とした情報セキュリティの秘密保持(VS-NfD)
OPS: Betrieb OPS:オペレーション
OPS.1 Eigener Betrieb OPS.1 自社運用
OPS.1.1 Kern-IT-Betrieb OPS.1.1 ITコア業務
• OPS.1.1.1 AllgemeinerIT-Betrieb ・OPS.1.1.1 IT運用全般
• OPS.1.1.2 OrdnungsgemäßeIT-Administration ・OPS.1.1.2 ProperITの管理
• OPS.1.1.3 Patch-undÄnderungsmanagement ・OPS.1.1.3 パッチと変更の管理
• OPS.1.1.4 SchutzvorSchadprogrammen ・OPS.1.1.4 マルウェアからの保護
• OPS.1.1.5 Protokollierung ・OPS.1.1.5 ロギング
• OPS.1.1.6 Software-Testsund-Freigaben ・OPS.1.1.6 ソフトウェアのテストと承認
• OPS.1.1.7 Systemmanagement ・OPS.1.1.7 システム管理
OPS.1.2 Weiterführende Aufgaben OPS.1.2 アドバンスト・タスク
• OPS.1.2.2 Archivierung ・OPS.1.2.2 アーカイビング
• OPS.1.2.4 Telearbeit ・OPS.1.2.4 テレワーク
• OPS.1.2.5 Fernwartung ・OPS.1.2.5 リモートメンテナンス
• OPS.1.2.6 NTP-Zeitsynchronisation ・OPS.1.2.6 NTP時刻同期
OPS.2 Betrieb von Dritten OPS.2 サードパーティ製オペレーション
• OPS.2.2 Cloud-Nutzung ・OPS.2.2 クラウド利用
• OPS.2.3 Nutzungvon Outsourcing  ・OPS.2.3 アウトソーシングの利用
OPS.3 Betrieb für Dritte  OPS.3 第三者による運営
• OPS.3.2 Anbietenvon Outsourcing ・OPS.3.2 アウトソーシングの提供
DER: Detektion und Reaktion DER:検出と応答
• DER.1 DetektionvonsicherheitsrelevantenEreignissen ・DER.1 セキュリティインシデントの検出
DER.2 Security Incident Management DER.2 セキュリティインシデント管理
• DER.2.1 Behandlung von Sicherheitsvorfällen ・DER.2.1 セキュリティインシデントへの対応
• DER.2.2 Vorsorge für die IT-Forensik ・DER.2.2 ITフォレンジックの準備
• DER.2.3 BereinigungweitreichenderSicherheitsvorfälle  ・DER.2.3 広範囲に及ぶセキュリティインシデントの対応
DER.3 Sicherheitsprüfungen DER.3 セキュリティ監査
• DER.3.1 Audits und Revisionen ・DER.3.1 監査・レビュー
• DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision ・DER.3.2 IS監査ガイドラインに基づく監査
• DER.4 Notfallmanagement ・DER.4 危機管理
System-Bausteine システム構成
APP: Anwendungen APP:アプリケーション
APP.1 Client-Anwendungen APP.1 クライアントアプリケーション
• APP.1.1 Office-Produkte ・APP.1.1 オフィス製品
• APP.1.2 Webbrowser ・APP.1.2 ウェブブラウザ
• APP.1.4 Mobile Anwendungen (Apps) ・APP.1.4 モバイルアプリケーション (アプリ)
APP.2 Verzeichnisdienst APP.2 ディレクトリサービス
• APP.2.1 Allgemeiner Verzeichnisdienst ・APP.2.1 一般的なディレクトリサービス
• APP.2.2 ActiveDirectory Domain Services ・APP.2.2 アクティブディレクトリーサービス
• APP.2.3 OpenLDAP ・APP.2.3 OpenLDAP
APP.3 Netzbasierte Dienste APP.3 ネットワーク系サービス
• APP.3.1 Webanwendungen und Webservices ・APP.3.1 WebアプリケーションとWebサービス
• APP.3.2 Webserver ・APP.3.2 ウェブサーバー
• APP.3.3 Fileserver ・APP.3.3 ファイルサーバー
• APP.3.4 Samba ・APP.3.4 Samba
• APP.3.6 DNS-Server ・APP.3.6 DNSサーバ
APP.4 Business-Anwendungen APP.4 ビジネスアプリケーション
• APP.4.2 SAP-ERP-System ・APP.4.2 SAP ERPシステム
• APP.4.3 Relationale Datenbanken ・APP.4.3 リレーショナルデータベース
• APP.4.4 Kubernetes ・APP.4.4 Kubernetes
• APP.4.6 SAP ABAP-Programmierung ・APP.4.6 SAPABAPプログラミング
APP.5 E-Mail/Groupware/Kommunikation APP.5 電子メール/グループウェア/コミュニケーション
• APP.5.2 Microsoft Exchange und Outlook ・APP.5.2 MicrosoftExchangeとOutlook
• APP.5.3 Allgemeiner E-Mail-Client und -Server ・APP.5.3 一般的な電子メールクライアントとサーバー
• APP.5.4 Unified Communications und Collaboration (UCC) ・APP.5.4 ユニファイドコミュニケーションとコラボレーション(UCC)
• APP.6 Allgemeine Software ・APP.6 ソフトウエア全般
• APP.7 EntwicklungvonIndividualsoftware ・APP.7 個別ソフトウエアの開発
SYS: IT-Systeme  SYS:ITシステム 
SYS.1 Server SYS.1 サーバー
• SYS.1.1 Allgemeiner Server ・SYS.1.1 GeneralServer
• SYS.1.2 Windows Server ・SYS.1.2 WindowsServer
◦ SYS.1.2.2 Windows Server 2012 ・・SYS.1.2.2 Windows Server 2012
◦ SYS.1.2.3 Windows Server ・・SYS.1.2.3 Windows Server
• SYS.1.3 Serverunter Linux und Unix ・SYS.1.3 Linux・Unixのサーバー
• SYS.1.5 Virtualisierung ・SYS.1.5 仮想化
• SYS.1.6 Containerisierung ・SYS.1.6 コンテナ化
• SYS.1.7 IBM Z ・SYS.1.7 IBM Z
• SYS.1.8 Speicherlösungen ・SYS.1.8 ストレージソリューション
• SYS.1.9 Terminalserver ・SYS.1.9 ターミナルサーバー
SYS.2 Desktop-Systeme SYS.2 デスクトップシステム
• SYS.2.1 AllgemeinerClient ・SYS.2.1 GeneralClient
• SYS.2.2 Windows-Clients ・SYS.2.2 Windowsクライアント
◦ SYS.2.2.3 Clients unter Windows SYS.2.2.3 Windows版クライアント
• SYS.2.3 Clients unter Linux und Unix ・SYS.2.3 LinuxおよびUnix上のクライアント
• SYS.2.4 ClientsuntermacOS ・SYS.2.4クライアント(macOS版)
• SYS.2.5 Client-Virtualisierung ・SYS.2.5 クライアント仮想化
• SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices ・SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices
• SYS.3.1 Laptops ・SYS.3.1 ノートパソコン
• SYS.3.2 Tablet und Smartphone ・SYS.3.2 タブレットとスマートフォン
◦ SYS.3.2.1 Allgemeine Smartphones und Tablets ・・SYS.3.2.1 一般的なスマートフォンとタブレット
◦ SYS.3.2.2 Mobile Device Management (MDM) ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM)
◦ SYS.3.2.3 iOS (for Enterprise) ・・SYS.3.2.3 iOS(エンタープライズ向け)
◦ SYS.3.2.4 Android ・・SYS.3.2.4 Android
• SYS.3.3 Mobiltelefon ・SYS.3.3 携帯電話
SYS.4 Sonstige Systeme SYS.4 その他のシステム
• SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte ・SYS.4.1 プリンタ,複写機,複合機
• SYS.4.3 Eingebettete Systeme ・SYS.4.3 組込みシステム
• SYS.4.4 Allgemeines IoT-Gerät ・SYS.4.4 一般的なIoTデバイス
• SYS.4.5 Wechseldatenträger ・SYS.4.5 リムーバブル・ストレージ・デバイス
IND: Industrielle IT IND:産業用IT
IND.1 Prozessleit- und Automatisierungstechnik IND.1 プロセスコントロールとオートメーション技術
IND.2 ICS-Komponenten IND.2 ICSコンポーネント
• IND.2.1 Allgemeine ICS-Komponente ・IND.2.1 一般的なICSコンポーネント
• IND.2.2 Speicherprogrammierbare Steuerung (SPS) ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC)
• IND.2.3 Sensoren und Aktoren ・IND.2.3 センサーとアクチュエーター
• IND.2.4 Maschine ・IND.2.4 マシン
• IND.2.7 Safety Instrumented Systems ・IND.2.7 安全計装システム
IND.3 Produktionsnetze IND.3 生産ネットワーク
• IND.3.2 Fernwartung im industriellen Umfeld ・IND.3.2 産業環境におけるリモートメンテナンス
NET: Netze und Kommunikation NET:ネットワークとコミュニケーション
NET.1 Netze NET.1 ネットワーク
• NET.1.1 Netzarchitektur und -design ・NET.1.1 ネットワークアーキテクチャとデザイン
• NET.1.2 Netzmanagement ・NET.1.2 ネットワーク管理
NET.2 Funknetze NET.2 ワイヤレスネットワーク
• NET.2.1 WLAN-Betrieb ・NET.2.1.WLAN操作
• NET.2.2 WLAN-Nutzung ・NET.2.2.WLANの使い方
NET.3 Netzkomponenten NET.3 ネットワークコンポーネント
• NET.3.1 Router und Switches ・NET.3.1 ルーターとスイッチ
• NET.3.2 Firewall ・NET.3.2 ファイアウォール
• NET.3.3 VPN ・NET.3.3 VPN
• NET.3.4 Network Access Control ・NET.3.4 ネットワークアクセスコントロール
NET.4: Telekommunikation NET.4: 通信
• NET.4.1 TK-Anlagen ・NET.4.1 PBXシステム
• NET.4.2 VoIP ・NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver ・NET.4.3 ファクス機とファクスサーバー
INF: Infrastruktur INF:インフラ
INF.1 Allgemeines Gebäude INF.1 一般的な建物
INF.2 Rechenzentrum sowie Serverraum INF.2 コンピューターセンターとサーバールーム
INF.5 Raum sowie Schrank für technische Infrastruktur INF.5 技術インフラのための部屋とキャビネット
INF.6 Datenträgerarchiv INF.6 データメディアアーカイブ
INF.7 Büroarbeitsplatz INF.7 オフィスの仕事場
INF.8 Häuslicher Arbeitsplatz INF.8 ホームワークプレイス
INF.9 Mobiler Arbeitsplatz INF.9 モバイルワークプレイス
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume INF.10 会議,イベント,トレーニングルーム
INF.11 Allgemeines Fahrzeug INF.11 一般車両
INF.12 Verkabelung INF.12 ケーブル配線
INF.13 Technisches Gebäudemanagement INF.13 技術的なビル管理
INF.14 Gebäudeautomation INF.14 ビルディングオートメーション

 

 

分割版

IT-Grundschutz-Bausteine

・[ZIP] PDF in ZIP

・[ZIP] DOCX in ZIP

クロスリファレンス

・[EXLX] Kreuzreferenztabellen zum IT-Grundschutz-Kompendium

XML版

・[XML] XML-Version des IT-Grundschutz-Kompendiums

変更履歴

・Änderungsdokumente (Edition 2023)

・[PDF

20230202-124516

 


 

まるちゃんの情報セキュリティ気まぐれ日記

2022.02.09 ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行

|

« ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す | Main | 米国 インド 重要な新技術に関するイニシアティブの設立についての発表 (2023.01.31) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す | Main | 米国 インド 重要な新技術に関するイニシアティブの設立についての発表 (2023.01.31) »