El enfoque de protección básica de TI ( en alemán : IT-Grundschutz ) de la Oficina Federal Alemana para la Seguridad de la Información (BSI) es una metodología para identificar e implementar medidas de seguridad informática en una organización. El objetivo es alcanzar un nivel adecuado y adecuado de seguridad de los sistemas informáticos. Para alcanzar este objetivo, la BSI recomienda "protecciones técnicas, organizativas, de personal y de infraestructura bien probadas". [1] Las organizaciones y agencias federales demuestran su enfoque sistemático para proteger sus sistemas de TI (p. ej., el sistema de gestión de seguridad de la información) obteniendo un certificado ISO/IEC 27001 sobre la base de IT-Grundschutz .
El término seguridad básica significa medidas de seguridad estándar para sistemas de TI típicos. Se utiliza en varios contextos con significados algo diferentes. Por ejemplo:
La base de un concepto básico de protección de TI no es inicialmente un análisis de riesgos detallado. Proviene de peligros generales. En consecuencia, se ignora la clasificación sofisticada según la magnitud del daño y la probabilidad de ocurrencia. Se establecen tres categorías de necesidades de protección. Con su ayuda se pueden determinar las necesidades de protección del objeto investigado. En base a esto, se seleccionan las medidas de seguridad apropiadas para el personal, técnicas, organizativas y de infraestructura de los catálogos de protección básica de TI.
Los catálogos de protección básica de TI de la Oficina Federal de Seguridad en Tecnologías de la Información ofrecen una "receta de receta" para un nivel de protección normal. Además de la probabilidad de ocurrencia y la magnitud potencial de los daños, también se consideran los costos de implementación. Con el uso de los catálogos de protección Baseline se prescinde de costosos análisis de seguridad que requieren conocimientos especializados, ya que desde el principio se trabaja con los peligros generales. Es posible que el profano en cuestión identifique las medidas a tomar y las implemente en cooperación con los profesionales.
La BSI concede un certificado de protección básica como confirmación de la implementación exitosa de la protección básica. En las etapas 1 y 2, esto se basa en la autodeclaración. En la etapa 3, un auditor independiente con licencia de BSI completa una auditoría. La internacionalización del proceso de certificación es posible desde 2006. La certificación ISO/IEC 27001 puede ocurrir simultáneamente con la certificación de protección básica de TI. (La norma ISO/IEC 27001 es la sucesora de BS 7799-2 ). Este proceso se basa en los nuevos estándares de seguridad de BSI. Este proceso conlleva un precio de desarrollo que prevalece desde hace algún tiempo. Las empresas que cuentan con la certificación según la norma BS 7799-2 están obligadas a realizar una evaluación de riesgos . Para hacerlo más cómodo, la mayoría se desvía del análisis de necesidades de protección según los Catálogos de Protección Base de TI. La ventaja no es sólo la conformidad con la estricta BSI , sino también la obtención de la certificación BS 7799-2 . Más allá de esto, BSI ofrece algunas ayudas como el modelo de política y el GSTOOL.
Está disponible un componente de protección de datos , que fue elaborado en cooperación con el Comisionado Federal Alemán para la Protección de Datos y Libertad de Información y las autoridades estatales de protección de datos y se integró en el Catálogo de Protección Base de TI. Este componente, sin embargo, no se considera en el proceso de certificación.
Los siguientes pasos se toman de acuerdo con el proceso de protección de línea base durante el análisis de la estructura y el análisis de las necesidades de protección:
La creación se produce en los siguientes pasos:
Una red de TI incluye la totalidad de los componentes de infraestructura , organizativos, de personal y técnicos que sirven para el cumplimiento de una tarea en un área de aplicación de procesamiento de información particular . De este modo, una red de TI puede abarcar todo el carácter de TI de una institución o división individual, que está dividido en estructuras organizativas como, por ejemplo, una red departamental, o como aplicaciones de TI compartidas , por ejemplo, un sistema de información de personal. Es necesario analizar y documentar la estructura tecnológica de la información en cuestión para generar un concepto de seguridad informática y en especial aplicar los Catálogos Base de Protección TI. Debido a que hoy en día los sistemas TI suelen estar muy interconectados, un plan de topología de red ofrece un punto de partida para el análisis. Se deben tener en cuenta los siguientes aspectos:
El propósito de la determinación de las necesidades de protección es investigar qué protección es suficiente y apropiada para la información y la tecnología de la información en uso. En este sentido, se considera el daño a cada aplicación y a la información procesada, que podría resultar de una violación de la confidencialidad, integridad o disponibilidad. En este contexto es importante una evaluación realista de los posibles daños posteriores. Se ha demostrado que resulta útil dividir las necesidades de protección en tres categorías: "bajas a medias", "altas" y "muy altas". "Público", "interno" y "secreto" se utilizan a menudo para mantener la confidencialidad.
Los sistemas de TI fuertemente interconectados suelen caracterizar la tecnología de la información en el gobierno y las empresas en la actualidad. Por lo tanto, como regla general, en el ámbito de un análisis y concepto de seguridad de TI es ventajoso considerar todo el sistema de TI y no solo los sistemas individuales. Para poder gestionar esta tarea, tiene sentido dividir lógicamente todo el sistema TI en partes y considerar cada parte por separado o incluso una red TI. La documentación detallada sobre su estructura es un requisito previo para el uso de los catálogos de protección básica de TI en una red de TI. Esto se puede lograr, por ejemplo, mediante el análisis de la estructura de TI descrito anteriormente. En última instancia, los componentes del catálogo de protección de referencia de TI deben asignarse a los componentes de la red de TI en cuestión en un paso de modelado.
El control de seguridad básico es un instrumento organizacional que ofrece una visión general rápida del nivel de seguridad de TI predominante. Con la ayuda de entrevistas, se investiga el status quo de una red de TI existente (según el modelo de protección básica de TI) en relación con la cantidad de medidas de seguridad implementadas a partir de los catálogos de protección básica de TI. El resultado es un catálogo en el que se indica el estado de aplicación "prescindible", "sí", "parcialmente" o "no" para cada medida pertinente. Al identificar medidas aún no implementadas o solo parcialmente, se destacan opciones de mejora para la seguridad de la tecnología de la información en cuestión.
El control de seguridad básico proporciona información sobre las medidas que aún faltan (comparación nominal versus real). De esto se desprende lo que queda por hacer para lograr una protección básica a través de la seguridad. No es necesario implementar todas las medidas sugeridas por esta verificación de referencia. ¡Hay que tener en cuenta las particularidades! Puede ser que en un servidor se estén ejecutando varias aplicaciones más o menos sin importancia, que tengan menores necesidades de protección. Sin embargo, en su conjunto estas aplicaciones deben contar con un mayor nivel de protección. Esto se llama (efecto acumulación).
Las aplicaciones que se ejecutan en un servidor determinan su necesidad de protección. En un sistema informático se pueden ejecutar varias aplicaciones de TI. Cuando esto ocurre, la aplicación con mayor necesidad de protección determina la categoría de protección del sistema de TI.
Por el contrario, es posible que una aplicación informática con grandes necesidades de protección no la transfiera automáticamente al sistema informático. Esto puede suceder porque el sistema informático está configurado de forma redundante o porque en él sólo se ejecuta una parte intrascendente. Esto se llama (efecto de distribución). Este es el caso, por ejemplo, de los clusters.
El control de seguridad básico mapea las medidas de protección básicas. Este nivel es suficiente para necesidades de protección bajas a medias. Según estimaciones de BSI, esto representa alrededor del 80% de todos los sistemas de TI. Para sistemas con necesidades de protección altas o muy altas, se suelen utilizar conceptos de seguridad de la información basados en el análisis de riesgos, como por ejemplo las normas de la serie ISO/IEC 27000 .
Durante su reestructuración y expansión de los Catálogos de Protección Base de TI en 2005, la BSI separó la metodología del Catálogo de Protección Base de TI. Los estándares BSI 100-1, BSI 100-2 y BSI 100-3 contienen información sobre la construcción de un sistema de gestión de seguridad de la información (SGSI), la metodología o enfoque de protección básica y la creación de un análisis de seguridad para niveles elevados y muy elevados. Las necesidades de protección se basan en una investigación de protección de referencia completa.
Actualmente se está preparando la norma BSI 100-4, la norma "Gestión de emergencias". Contiene elementos de BS 25999 , Gestión de la continuidad del servicio ITIL combinados con los componentes relevantes del Catálogo de protección de referencia de TI y aspectos esenciales para una Gestión de la continuidad del negocio (BCM) adecuada. La implementación de estos estándares hace que la certificación sea posible de conformidad con BS 25999 -2. La BSI ha presentado el diseño de los estándares BSI 100-4 para comentarios en línea a continuación. [5]
De esta manera , BSI adapta sus estándares a normas internacionales como la ISO/IEC 27001 .