2 Schichtenmodell und Modellierung
2.2 Zuordnung anhand Schichtenmodell

Bei der Modellierung eines IT-Verbunds ist es zweckmäßig, die Zuordnung der Bausteine anhand des Schichtenmodells vorzunehmen. Daran anschließend folgt schließlich die Vollständigkeitsprüfung.
zu Schicht 1: Übergeordnete Aspekte der IT-Sicherheit
In dieser Schicht werden alle Aspekte des IT-Verbunds modelliert, die den technischen Komponenten übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten Regelungen. Diese Aspekte sollten für den gesamten IT-Verbund einheitlich geregelt sein, so dass die entsprechenden Bausteine in den meisten Fällen nur einmal für den gesamten IT-Verbund anzuwenden sind. Dem IT-Sicherheitsmanagement, der Organisation des IT-Betriebs sowie der Schulung und Sensibilisierung des Personals kommt dabei eine besondere Bedeutung zu. Die Umsetzung der diesbezüglichen Maßnahmen ist von grundlegender Bedeutung für die sichere Nutzung von Informations- und Kommunikationstechnik. Unabhängig von den eingesetzten technischen Komponenten sind die entsprechenden Bausteine daher immer anzuwenden.
- Der Baustein B 1.0 IT-Sicherheitsmanagement ist für den gesamten IT-Verbund einmal anzuwenden. Ein funktionierendes IT-Sicherheitsmanagement ist die wesentliche Grundlage für die Erreichung eines angemessenen Sicherheitsniveaus. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.1 Organisation muss für jeden IT-Verbund mindestens einmal herangezogen werden. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisation(-seinheit) zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte der Baustein auf jede Organisation(-seinheit) getrennt angewandt werden. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.2 Personal muss für jeden IT-Verbund mindestens einmal herangezogen werden. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisation(-seinheit) zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte der Baustein auf jede Organisation(-seinheit) getrennt angewandt werden. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.3 Notfallvorsorge-Konzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Verfügbarkeit haben oder wenn größere IT-Systeme bzw. umfangreiche Netze betrieben werden. Bei der Bearbeitung des Bausteins ist besonderes Augenmerk auf diese Komponenten zu richten. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.4 Datensicherungskonzept ist für den gesamten IT-Verbund einmal anzuwenden.
- Der Baustein B 1.6 Computer-Virenschutzkonzept ist für den gesamten IT-Verbund einmal anzuwenden.
- Der Baustein B 1.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Vertraulichkeit oder Integrität haben, oder wenn bereits kryptographische Verfahren im Einsatz sind.
- Der Baustein B 1.8 Behandlung von Sicherheitsvorfällen ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf einen der drei Grundwerte haben, oder wenn der Ausfall des gesamten IT-Verbunds einen Schaden in den Kategorien hoch oder sehr hoch zur Folge hat. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.9 Hard- und Software-Management muss für jeden IT-Verbund mindestens einmal herangezogen werden. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisation(-seinheit) zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte der Baustein auf jede Organisation(-seinheit) getrennt angewandt werden. Im Fall von Outsourcing gelten für die Anwendung dieses Bausteins besondere Regeln, die im BSI-Dokument "IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten" aufgeführt sind.
- Der Baustein B 1.10 Standardsoftware ist zumindest einmal für den gesamten IT-Verbund anzuwenden. Gibt es innerhalb des IT-Verbunds Teilbereiche mit unterschiedlichen Anforderungen oder Regelungen für die Nutzung von Standardsoftware, sollte Baustein B 1.10 auf diese Teilbereiche jeweils getrennt angewandt werden.
-
Der Baustein B 1.11 Outsourcing
ist zumindest dann anzuwenden, wenn die folgenden Bedingungen alle erfüllt sind:
- IT-Systeme, Anwendungen oder Geschäftsprozesse werden zu einem externen Dienstleister ausgelagert, und
- die Bindung an den Dienstleister erfolgt auf längere Zeit, und
- durch die Dienstleistung kann die IT-Sicherheit des Auftraggebers beeinflusst werden, und
- im Rahmen der Dienstleistungen erbringt der Dienstleister auch regelmäßig nennenswerte IT-Sicherheitsmanagement-Tätigkeiten.
- Der Baustein B 1.12 Archivierung ist auf den IT-Verbund anzuwenden, wenn aufgrund interner oder externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder bereits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird.
- Der Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung ist für den gesamten IT-Verbund einmal anzuwenden.
zu Schicht 2: Sicherheit der Infrastruktur
Die für den vorliegenden IT-Verbund relevanten baulichen Gegebenheiten werden mit Hilfe der Bausteine aus Schicht 2 "Sicherheit der Infrastruktur" modelliert. Jedem Gebäude, Raum oder Schutzschrank (bzw. Gruppen dieser Komponenten) wird dabei der entsprechende Baustein aus den IT-Grundschutz-Katalogen zugeordnet.
- Der Baustein B 2.1 Gebäude ist für jedes Gebäude bzw. jede Gebäudegruppe einmal anzuwenden.
- Der Baustein B 2.2 Verkabelung ist in der Regel einmal pro Gebäude bzw. Gebäudegruppe anzuwenden (zusätzlich zum Baustein B 2.1). Falls bestimmte Teilbereiche - beispielsweise Serverraum oder Leitstand - in Bezug auf die Verkabelung Besonderheiten aufweisen, kann es jedoch zweckmäßig sein, Baustein B 2.2 an diesen Stellen gesondert anzuwenden.
- Der Baustein B 2.3 Büroraum ist auf jeden Raum bzw. jede Gruppe von Räumen anzuwenden, in denen Informationstechnik genutzt wird, für die jedoch keiner der Bausteine B 2.4, B 2.5, B 2.6, B 2.8, B 2.9, B 2.10 oder B 2.11 herangezogen wird.
- Der Baustein B 2.4 Serverraum ist auf jeden Raum bzw. jede Gruppe von Räumen anzuwenden, in denen Server oder TK-Anlagen betrieben werden. Server sind IT-Systeme, die Dienste im Netz zur Verfügung stellen. Für Räumlichkeiten, auf die der Baustein B 2.9 angewandt wird, muss nicht zusätzlich der Baustein B 2.4 herangezogen werden.
- Der Baustein B 2.5 Datenträgerarchiv ist auf jeden Raum bzw. jede Gruppe von Räumen anzuwenden, in denen Datenträger gelagert oder archiviert werden.
- Der Baustein B 2.6 Raum für technische Infrastruktur ist auf jeden Raum bzw. jede Gruppe von Räumen anzuwenden, in denen technische Geräte betrieben werden, die keine oder nur wenig Bedienung erfordern (z. B. Verteilerschrank, Netzersatzanlage).
- Der Baustein B 2.7 Schutzschränke ist auf jeden Schutzschrank bzw. jede Gruppe von Schutzschränken einmal anzuwenden. Schutzschränke können gegebenenfalls als Ersatz für einen dedizierten Serverraum dienen.
- Der Baustein B 2.8 Häuslicher Arbeitsplatz ist auf jeden häuslichen Arbeitsplatz bzw. jede Gruppe (falls entsprechende Gruppen definiert wurden) einmal anzuwenden.
- Der Baustein B 2.9 Rechenzentrum ist auf jedes Rechenzentrum einmal anzuwenden. Als Rechenzentrum werden Einrichtungen und Räumlichkeiten bezeichnet, die für den Betrieb einer größeren, zentral für mehrere Stellen eingesetzten Datenverarbeitungsanlage erforderlich sind. Für Räumlichkeiten, auf die der Baustein B 2.9 angewandt wird, muss nicht zusätzlich der Baustein B 2.4 herangezogen werden.
- Der Baustein B 2.10 Mobiler Arbeitsplatz ist immer dann anzuwenden, wenn Mitarbeiter häufig nicht mehr nur innerhalb der Räumlichkeiten des Unternehmens bzw. der Behörde arbeiten, sondern an wechselnden Arbeitsplätzen außerhalb. Typische Zielobjekte für den Baustein B 2.10 sind Laptops.
- Der Baustein B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume ist auf jeden solchen Raum bzw. jede Gruppe (falls entsprechende Gruppen definiert wurden) einmal anzuwenden.
zu Schicht 3: Sicherheit der IT-Systeme
Sicherheitsaspekte, die sich auf IT-Systeme beziehen, werden in dieser Schicht abgedeckt. Diese Schicht ist zur Übersichtlichkeit nach Servern, Clients, Netzkomponenten und Sonstiges sortiert.
Analog zum Bereich "Sicherheit der Infrastruktur" können die Bausteine des Bereichs "Sicherheit der IT-Systeme" sowohl auf einzelne IT-Systeme als auch auf Gruppen solcher IT-Systeme angewandt werden. Dies wird im Folgenden nicht mehr gesondert hervorgehoben.
Server
- Der Baustein B 3.101 Allgemeiner Server ist auf jedes IT-System anzuwenden, das Dienste (z. B. Datei- oder Druckdienste) als Server im Netz anbietet.
- Der Baustein B 3.102 Server unter Unix ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.103 Server unter Windows NT ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.104 Server unter Novell Netware 3.x ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.105 Server unter Novell Netware Version 4.x ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.106 Server unter Windows 2000 ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.107 S/390- und zSeries-Mainframe ist auf jeden Großrechner anzuwenden, der vom Typ S/390 oder zSeries ist.
- Der Baustein B 3.108 Windows Server 2003 ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.
Hinweis: Für jeden Server (und auch jeden Großrechner) muss neben dem Betriebssystem-spezifischen Baustein immer auch Baustein B 3.101 angewandt werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Server zusammengefasst sind.
Clients
- Der Baustein B 3.201 Allgemeiner Client ist auf jeden Client anzuwenden. Clients sind Arbeitsplatz-Computer, die regelmäßig oder zumindest zeitweise in einem Netz betrieben werden (im Gegensatz zu Einzelplatz-Systemen).
- Der Baustein B 3.202 Allgemeines nicht vernetztes IT-System ist auf jedes Einzelplatz-System anzuwenden. Einzelplatz-Systeme sind Arbeitsplatz-Computer, die gar nicht oder nur in Ausnahmefällen in einem Netz betrieben werden (im Gegensatz zu Clients).
- Der Baustein B 3.203 Laptop ist auf jeden mobilen Computer (Laptop) anzuwenden.
- Der Baustein B 3.204 Client unter Unix ist auf jeden Einzelplatz-Rechner oder Client anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.205 Client unter Windows NT ist auf jeden Einzelplatz-Rechner oder Client anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.206 Client unter Windows 95 ist auf jeden Einzelplatz-Rechner oder Client anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.207 Client unter Windows 2000 ist auf jeden Einzelplatz-Rechner oder Client anzuwenden, der mit diesem Betriebssystem arbeitet.
- Der Baustein B 3.208 Internet-PC ist auf jeden Computer anzuwenden, der ausschließlich für die Nutzung von Internet-Diensten vorgesehen ist und nicht mit dem internen Netz der Institution verbunden ist. In diesem speziellen Szenario brauchen keine weiteren Bausteine der IT-Grundschutz-Kataloge auf diesen Computer (bzw. diese Gruppe) angewandt werden.
- Der Baustein B 3.209 Client unter Windows XP ist auf jeden Einzelplatz-Rechner oder Client anzuwenden, der mit diesem Betriebssystem arbeitet.
Hinweis: Für jeden Client muss neben dem Betriebssystem-spezifischen Baustein immer auch entweder Baustein B 3.201 oder Baustein B 3.202 angewandt werden, da in diesen Bausteinen die plattformunabhängigen Sicherheitsaspekte für Clients zusammengefasst sind.
Netzkomponenten
- Der Baustein B 3.301 Sicherheitsgateway (Firewall) ist immer anzuwenden, wenn unterschiedlich vertrauenswürdige Netze gekoppelt werden. Ein typischer Anwendungsfall ist die Absicherung einer Außenverbindung (z. B. beim Übergang eines internen Netzes zum Internet oder bei Anbindungen zu Netzen von Geschäftspartnern). Aber auch bei einer Kopplung von zwei organisationsinternen Netzen mit unterschiedlich hohem Schutzbedarf ist der Baustein anzuwenden, z. B. bei der Trennung des Bürokommunikationsnetzes vom Netz der Entwicklungsabteilung, wenn dort besonders vertrauliche Daten verarbeitet werden.
- Der Baustein B 3.302 Router und Switches ist in jedem aktiven Netz, das im vorliegenden IT-Verbund eingesetzt wird, anzuwenden.
- Der Baustein B 3.303 Speichersysteme und Speichernetze ist immer dann anzuwenden, wenn für die Datenspeicherung dedizierte Speichersysteme eingesetzt werden. Typische Zielobjekte für diesen Baustein sind NAS-Systeme (Network Attached Storage) und SAN-Systeme (Storage Area Networks).
Sonstige IT-Systeme
- Der Baustein B 3.401 TK-Anlage ist auf jede TK-Anlage bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein B 3.402 Faxgerät ist auf jedes Faxgerät bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein B 3.403 Anrufbeantworter ist auf jeden Anrufbeantworter bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein B 3.404 Mobiltelefon sollte mindestens einmal angewandt werden, wenn die Benutzung von Mobiltelefonen in der betrachteten Organisation(-seinheit) nicht grundsätzlich untersagt ist.
- Bestehen mehrere unterschiedliche Einsatzbereiche von Mobiltelefonen (beispielsweise mehrere Mobiltelefon-Pools), so ist der Baustein B 3.404 jeweils getrennt darauf anzuwenden.
- Der Baustein B 3.405 PDA sollte mindestens einmal angewandt werden, wenn die Benutzung von PDAs in der betrachteten Organisation(-seinheit) nicht grundsätzlich untersagt ist. Der Baustein B 3.201 Allgemeiner Client muss hier nicht zusätzlich angewandt werden.
zu Schicht 4: Sicherheit im Netz
In dieser Schicht werden Sicherheitsaspekte im Netz behandelt, die nicht an bestimmten IT-Systemen (z. B. Servern) festgemacht werden können. Vielmehr geht es um Sicherheitsaspekte, die sich auf die Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen.
Um die Komplexität zu verringern, ist es sinnvoll, bei der Untersuchung statt des Gesamtnetzes Teilbereiche jeweils einzeln zu betrachten. Die hierzu erforderliche Aufteilung des Gesamtnetzes in Teilnetze sollte anhand der beiden folgenden Kriterien vorgenommen werden:
- Im Rahmen der Schutzbedarfsfeststellung sind Verbindungen identifiziert worden, über die bestimmte Daten auf keinen Fall transportiert werden dürfen. Diese Verbindungen bieten sich als
- "Schnittstellen" zwischen Teilnetzen an, d. h. die Endpunkte einer solchen Verbindung sollten in verschiedenen Teilnetzen liegen. Umgekehrt sollten Verbindungen, die Daten mit hohem oder sehr hohem Schutzbedarf transportieren, möglichst keine Teilnetzgrenzen überschreiten. Dies führt zu einer Definition von Teilnetzen mit möglichst einheitlichem Schutzbedarf.
- Komponenten, die nur über eine Weitverkehrsverbindung miteinander verbunden sind, sollten nicht demselben Teilnetz zugeordnet werden, d. h. Teilnetze sollten sich nicht über mehrere Standorte oder Liegenschaften erstrecken. Dies ist sowohl aus Gründen der Übersichtlichkeit als auch im Hinblick auf eine effiziente Projektdurchführung wünschenswert.
Falls diese beiden Kriterien nicht zu einer geeigneten Aufteilung des Gesamtnetzes führen (beispielsweise weil einige resultierende Teilnetze zu groß oder zu klein sind), kann die Aufteilung in Teilnetze alternativ auch auf organisatorischer Ebene erfolgen. Dabei werden die Zuständigkeitsbereiche der einzelnen Administratoren(-Teams) als Teilnetze betrachtet.
Es ist nicht möglich, eine grundsätzliche Empfehlung darüber zu geben, welche Aufteilung in Teilnetze zu bevorzugen ist, falls die oben angegebenen Anforderungen mit dem vorliegenden IT-Verbund grundsätzlich nicht vereinbar sind. Stattdessen sollte im Einzelfall entschieden werden, welche Aufteilung des Gesamtnetzes im Hinblick auf die anzuwendenden Bausteine der IT-Grundschutz-Kataloge am praktikabelsten ist.
- Der Baustein B 4.1 Heterogene Netze ist in der Regel auf jedes Teilnetz einmal anzuwenden. Falls die Teilnetze klein sind und mehrere Teilnetze in der Zuständigkeit des gleichen Administratoren-Teams liegen, kann es jedoch ausreichend sein, den Baustein B 4.1 auf diese Teilnetze insgesamt einmal anzuwenden.
- Der Baustein B 4.2 Netz- und Systemmanagement ist auf jedes Netz- bzw. Systemmanagement-System anzuwenden, das im vorliegenden IT-Verbund eingesetzt wird.
- Der Baustein B 4.3 Modem ist auf alle Außenverbindungen anzuwenden, die über Modems realisiert sind.
- Der Baustein B 4.4 Remote Access ist pro entfernter Zugriffsmöglichkeit auf das interne Netz, die nicht über eine dedizierte Standleitung erfolgt, einmal anzuwenden (z. B. Telearbeit, Anbindung von Außendienstmitarbeitern über analoge Wählleitungen, ISDN oder Mobiltelefon).
- Der Baustein B 4.5 LAN-Anbindung eines IT-Systems über ISDN ist auf alle Außenverbindungen anzuwenden, die über ISDN realisiert sind.
- Der Baustein B 4.6 WLAN ist auf alle Kommunikationsnetze anzuwenden, die gemäß der Standard-Reihe IEEE 802.11 und deren Erweiterungen realisiert sind.
- Der Baustein B 4.7 VoIP (Voice over Internet Protocol) ist auf alle Kommunikationsnetze anzuwenden, in denen VoIP-Technologie zum Einsatz kommt. Tauschen leitungsvermittelnde TK-Anlagen Informationen untereinander über ein IP-Netz aus, ist der Baustein B 4.7 VoIP ebenfalls anzuwenden.
zu Schicht 5: Sicherheit in Anwendungen
In der untersten Schicht des zu modellierenden IT-Verbunds erfolgt die Nachbildung der Anwendungen. Moderne Anwendungen beschränken sich nur selten auf ein einzelnes IT-System. Insbesondere behörden- bzw. unternehmensweite Kernanwendungen sind in der Regel als Client-Server-Applikationen realisiert. In vielen Fällen greifen Server selbst wieder auf andere, nachgeschaltete Server, z. B. Datenbank-Systeme, zu. Die Sicherheit der Anwendungen muss daher unabhängig von den IT-Systemen und Netzen betrachtet werden.
- Der Baustein B 5.1 Peer-to-Peer-Dienste ist auf jeden Client anzuwenden, der Peer-to-Peer-Dienste (beispielsweise freigegebene Verzeichnisse) im Netz anbietet.
- Der Baustein B 5.2 Datenträgeraustausch sollte für jede Anwendung einmal herangezogen werden, die als Datenquelle für einen Datenträgeraustausch dient oder auf diesem Wege eingegangene Daten weiterverarbeitet.
- Der Baustein B 5.3 E-Mail ist auf jedes E-Mail-System (intern oder extern) des betrachteten IT-Verbunds anzuwenden.
- Der Baustein B 5.4 Webserver ist auf jeden WWW-Dienst (z. B. Intranet oder Internet) des betrachteten IT-Verbunds anzuwenden.
- Der Baustein B 5.5 Lotus Notes ist auf jedes Workgroup-System, das auf dem Produkt Lotus Notes basiert, bzw. auf jede entsprechende Gruppe im IT-Verbund einmal anzuwenden.
- Der Baustein B 5.6 Faxserver ist auf jeden Faxserver bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein B 5.7 Datenbanken sollte pro Datenbanksystem bzw. pro Gruppe von Datenbanksystemen einmal angewandt werden.
- Der Baustein B 5.8 Telearbeit ist zusätzlich auf jedes IT-System anzuwenden, das für Telearbeit verwendet wird.
- Der Baustein B 5.9 Novell eDirectory sollte auf jeden Verzeichnisdienst, der mit Hilfe von Novell eDirectory realisiert ist, einmal angewandt werden.
- Der Baustein B 5.10 Internet Information Server ist - zusätzlich zu Baustein B 5.4 - auf jeden WWW-Dienst anzuwenden, der mit diesem Produkt betrieben wird.
- Der Baustein B 5.11 Apache Webserver ist - zusätzlich zu Baustein B 5.4 - auf jeden WWW-Dienst anzuwenden, der mit diesem Produkt betrieben wird.
- Der Baustein B 5.12 Exchange 2000 / Outlook 2000 ist - zusätzlich zu Baustein B 5.3 - auf jedes Workgroup- oder E-Mail-System anzuwenden, das auf Microsoft Exchange bzw. Outlook basiert.
- Der Baustein B 5.13 SAP System ist auf jede Applikation für Geschäftsprozesse (oder Gruppe solcher Applikationen) anzuwenden, die auf Software des Herstellers SAP basiert.
Prüfung auf Vollständigkeit
Abschließend muss überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu erneut den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente muss entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein.
Falls das Gesamtnetz in der Schicht 4 in Teilnetze aufgeteilt wurde, muss geprüft werden, ob
- jedes Teilnetz vollständig nachgebildet wurde und
- durch die Summe aller Teilnetze das Gesamtnetz vollständig dargestellt wird.
Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.
Falls sich bei der Überprüfung Lücken in der Modellierung zeigen, sind die entsprechenden fehlenden Bausteine hinzuzufügen. Andernfalls besteht die Gefahr, dass wichtige Bestandteile des
Gesamtsystems oder wichtige Sicherheitsaspekte bei der Anwendung des IT-Grundschutzes nicht berücksichtigt werden.