Leitfaden zur Einführung von Intrusion-Detection-Systemen
Übersicht über die Phasen der IDS-Einführung
Die einzelnen Phasen der Einführung eines IDS sind im nachstehenden Phasenplan dargestellt:
Die Phasen werden nachstehend kurz erläutert:
- Bedarfsfeststellung Im Rahmen der Bedarfsfeststellung wird geklärt, in wie weit der Einsatz von IDS zur ergänzenden Absicherung des Netzübergangs zum Internet grundsätzlich sinnvoll ist. Nutzenaspekte – insbesondere der sicherheitstechnische Zusatznutzen – werden analysiert und mit einem IDS-Einsatz verbundene Zielsetzungen werden ermittelt. Eine Analyse der Kosten erfolgt später bei der Erstellung der Entscheidungsvorlage.
- Grobkonzept und Anforderungsanalyse Im Rahmen des Grobkonzepts und der Anforderungsanalyse wird beantwortet, in welcher Weise ein IDS in die bestehende technisch-organisatorische Infrastruktur zu integrieren ist und welche Anforderungen das einzusetzende IDS erfüllen muss, um die Zielsetzungen zu erreichen.
- Entscheidungsvorlage In der Entscheidungsvorlage wird auf Basis der Vorüberlegungen die Machbarkeit verifiziert. Es wird untersucht, ob IDS-Lösungen am Markt verfügbar sind, die den Anforderungen entsprechen. Daneben wird abgeschätzt, welche Kosten Anschaffung, Integration und Betrieb eines IDS verursachen. Dabei ist es sinnvoll, Kosten und Nutzen für unterschiedliche Lösungsansätze gegenüberzustellen. Verschiedene Lösungsansätze können sich dabei z. B. in unterschiedlichen Ausbaustufen eines IDS-Einsatzes oder in der Betrachtung von Produkten mit voneinander abweichender Funktionalität unterscheiden. In der Privatwirtschaft findet bei der Erstellung der Entscheidungsvorlage typischerweise bereits eine Produktvorauswahl statt. Teilweise orientiert sich die Darstellung von Lösungsalternativen bereits an konkreten Produkten, so dass mit der Entscheidung für eine Lösungsalternative die Produktentscheidung weitgehend vorweggenommen wird. Auf Basis der Entscheidungsvorlage entscheidet das Management, ob finanzielle Mittel und personelle Ressourcen für Einführung und Betrieb eines IDS bereit gestellt werden sollen und welche der dargestellten Lösungsalternativen verfolgt werden soll.
- Feinkonzept und Produktauswahl Grobkonzept und Anforderungsanalyse werden dem verabschiedeten Lösungsansatz angepasst und verfeinert. Es wird ein IDS-Produkt ausgewählt, das eingesetzt werden soll. Falls bei der Produktauswahl deutlich wird, dass es keine marktverfügbaren Produkte gibt, die die Anforderungen abdecken, oder der Kostenrahmen sich deutlich von den zuvor abgeschätzten Kosten unterscheidet, ist die Entscheidungsvorlage entsprechend zu überarbeiten.
- Integration Die Integration umfasst sowohl technische Aspekte, wie das Vorgehen zu Rollout, Inbetriebnahme und Konfiguration des IDS, als auch organisatorische Aspekte, wie die Personalplanung und die Einbettung der IDS-Alarmierung in die Incident-Handling-Prozesse.
- Betrieb Diese Phase umfasst den Betrieb des IDS. Sämtliche betriebsrelevanten Aspekte sind dabei in einem Betriebshandbuch zu regeln. Im Leitfaden werden die hierbei zu berücksichtigenden Punkte aufgeführt. Der Anwender wird zur Erstellung eines Betriebshandbuchs angeleitet.
Revision Die Ordnungsmäßigkeit des IDS-Betriebs ist regelmäßig durch eine geeignete Revision zu prüfen. Im Leitfaden werden Hinweise zur Revision von IDS gegeben. Diese umfassen typische Fragestellungen und Prüfmethoden.
- Kurz-URL:
- https://www.bsi.bund.de/dok/faq-sza