Kenntlichmachung von BSI-Konformität bei Outsourcing-Komponenten

Hallo zusammen,

wir nutzen verinice.PRO und das IT-Grundschutz-Kompendium 11.1 Edition 2023.

Situation:
Man nutzt einen Outsourcing-Anbieter, wie ein Rechenzentrum, welches BSI-Konformität vorweisen kann. Dieses bietet u.a. den Betrieb eines Reverse Proxy an.

Frage:
Gibt es ein Best Practice, wie man z.B. einen Reverse-Proxy, der BSI-konform konfiguriert ist, als solchen in einem Informationsverbund im Rahmen des IT-Grundschutz-Checks markiert? Oder muss man in jedes Feld der relevanten Bausteine (in diesem Beispiel APP.3.2 Webserver und APP.6 Allgemeine Software) einen Eintrag setzen wie „Diese Komponente wird BSI-Grundschutz-konform betrieben“, ohne, dass wir eine konkrete Überprüfung dessen durchführen? Wünschenswert für uns wäre, dass man über eine Kenntlichmachung an dem Reverse-Proxy die Anforderungen nicht mehr bearbeiten muss. Ist dies möglich?

Vielen Dank im Voraus.

Viele Grüße,
Boris

Hallo,

wenn ich von dem Anbieter nur den Proxy nutze, dann modelliere ich OPS.2.3 an den Proxy. Wenn’s mehr Dienste sind, dann erstelle ich lieber einen Geschäftsprozess und modelliere OPS.2.3 da dran.
Im Vertrag muss dann aber auch festgehalten werden, dass der Dienstleister nachweisbar Grundschutz umsetzt. Bei hohem Schutzbedarf wird’s komplizierter, dann muss das Risikomanagement zusammenpassen (OPS.2.3.A6).

Viele Grüße
Ulf

1 Like