STM — Strukturmodellierung
Die Praktik Strukturmodellierung bildet die Grundlage für eine systematische Analyse der Informationssicherheit einer Institution. Ziel der Strukturmodellierung ist aus dem Stand-der-Technik-Kompendium ein individuelles Anforderungspaket für die Institution zu generieren. Auf Basis der Geschäftsprozesse und Informationen wird der individuelle Schutzbedarf festgelegt. Mit der Zuordnung einzelner Praktiken und Zielobjekte erfolgen eine Auswahl von Anforderungen auf der Grundlage des vorgegebenen Schutzniveaus. Blaupausen unterstützen die Filterung der Anforderungen. Eine Klassifizierung des Schutzbedarfs der Zielobjekte erfolgt auf Anforderungsebene. Die individuelle Anpassung der Anforderungen durch Auswahlmöglichkeiten erleichtern eine Skalierung. Eine Erweiterung des Anforderungspakets durch spezifische Anforderungen erhöht die Flexibilität. Für diese Anforderungen ist eine Risikobetrachtung erforderlich. Die Strukturmodellierung liefert essentielle Eingangsdaten für die nachgelagerten Praktiken wie Umsetzung und Monitoring-Evaluation und ermöglicht eine zielgerichtete und risikoorientierte Planung von Anforderungen und Sicherheitsmaßnahmen.
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.1.1 | Definition und Abgrenzung des Informationsverbunds | MUSS | normal-SdT | |
| STM.1.2 | Dokumentation der externen Schnittstellen | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.2.1 | Erstellung eines Anforderungspakets | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.3.1 | ISMS-Anforderungen des Informationsverbundes | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.4.1 | Erfassung relevanter Assets | MUSS | normal-SdT | |
| STM.4.2 | Dokumentation relevanter Assets | MUSS | normal-SdT | |
| STM.4.3 | Mapping des Assets auf die Zielobjektkategorien | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.5.1 | Modellierung der Anforderungen mit Zielobjekt | MUSS | normal-SdT | |
| STM.5.2 | Vererbung von Zielobjektkategorien | MUSS | normal-SdT | |
| STM.5.3 | Konsolidierung und Redundanzprüfung | MUSS | normal-SdT | |
| STM.5.4 | Modellierung der Anforderungen ohne Zielobjektkategorie | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.6.1 | Auf Grund anforderungsloser Assets | MUSS | normal-SdT | |
| STM.6.2 | Auf Grund externer Verpflichtungen | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.7.1 | Überprüfung des gesetzten Sicherheitsniveaus | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.8.1 | Risikobetrachtung bei fehlenden Anforderungen | MUSS | normal-SdT |
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| STM.9.1 | Verteilung der führenden Zuständigkeiten | MUSS | normal-SdT | |
| STM.9.2 | Weitere Parameter | MUSS | normal-SdT |