Dokumentation in gruppierten IT-Systemen


#1

Hallo,
wir haben IT-Systeme gruppiert, dass heißt z.B. alle Windows 2008 Server, welche im selben Netz sind, zusammengefaßt.
Beim dokumentieren der Maßnahmen hat man allerdings nur ein Feld Umsetzung/Erläuterung.
Wie dokumentiere ich direkt im Verinice für 30 unterschiedlich konfigurierte Windows 2008 Server?
beste Grüße,
Susanne Aust


#2

Hallo Frau Aust,

das BSI beschreibt im Standard 200-2 im Kapitel 8.1.1 Komplexitätsreduktion durch Gruppenbildung sehr gut, wann und wie Objekte gruppiert werden können/sollen. Ich denke das haben Sie mit der Gruppe Windows 2008 Server entsprechend umgesetzt.
Meines Verständnisses nach sind die einzelnen Server innerhalb dieser Gruppe aber nicht unterschiedlich konfiguriert sondern die Bausteinanforderungen unterschiedlich erfüllt bzw. die Maßnahmen unterschiedlich umgesetzt. Das ist letztlich aber eine Begrifflichkeit.
Die Frage ist, was genau Sie machen wollen/müssen:

  • Sind die Server so unterschiedlich konfiguriert, also (Zitat) nicht ähnlich konfiguriert, so müssten Sie feiner gruppieren.
  • Ist lediglich der Erfüllungs-/Umsetzungsstatus der Anforderungen/Maßnahmen innerhalb der Gruppe unterschiedlich, setzen Sie den Status auf Teilweise.

Falls Sie darüber hinaus den Umsetzungsstatus jedes einzelnen Objektes einer Gruppe sehen/dokumentieren möchten, empfehle ich dies über ein angehängtes Dokument abzubilden.

Alles andere ist in einem Informations Sicherheits Management System und/oder Tool kontraproduktiv.

MfG Michael Flürenbrock

Beitrag verschoben in Modernisierten IT-Grundschutz.


#3

Hallo Herr Flürenbrock,
wir haben ähnlich konfigurierte Server gruppiert und uns dabei an die Empfehlung des BSI gehalten.
Wir wollen nicht auf externe Dokumente verweisen, das würde zu umfangreich.
Wir dokumentieren durch Angabe des Hostnamen und dahinter die kurze Erläuterung.
Wenn alle Server dokumentiert sind, schalten wir von “teilweise” auf “ja” im Umsetzungsstatus um.

danke und Grüße,
S. Aust


#4

Hallo Frau Aust,

das ist eindeutig die empfohlene Vorgehensweise.

MfG Michael Flürenbrock