Bei der Modellierung wählen Sie diejenigen IT-Grundschutz-Bausteine aus, die Sie für die Sicherheit des betrachteten Informationsverbundes benötigen. Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und entscheiden Sie, ob und auf welche Zielobjekte ein Baustein angewendet werden kann. Hilfestellungen dazu finden Sie in Kapitel 2.2 Zuordnung anhand Schichtenmodell des IT-Grundschutz-Kompendiums.

Im Ergebnis sind idealerweise alle Zielobjekte des Informationsverbundes angemessen durch IT-Grundschutz-Bausteine abgebildet. Für Zielobjekte, für die es keinen hinreichend passenden Baustein gibt, muss explizit eine Risikoanalyse durchgeführt werden. Die im Rahmen der Risikoanalyse identifizierten Gefährdungen und Sicherheitsanforderungen können in einem benutzerdefinierten Baustein zusammengeführt werden.

Folgende Punkte sollten Sie darüber hinaus bei der Modellierung berücksichtigen:

• Die prozessorientierten Bausteine beschreiben Aspekte, die den technischen Aspekten eines Informationsverbundes übergeordnet und üblicherweise einheitlich zu regeln sind. Diese Bausteine sind daher in der Regel einmal pro Informationsverbund anzuwenden. Besonders wichtig sind die Bausteine zum Informationssicherheitsmanagement, der Organisation des IT-Betriebs, der Schulung und Sensibilisierung des Personals sowie der Detektion von und Reaktion auf Sicherheitsvorfälle.
• Die systemorientierten Bausteine beziehen sich auf bestimmte technische Objekte und sind auf jedes technische System oder jede Gruppe technischer Systeme anzuwenden, die jeweils im Baustein adressiert werden. Dies können bestimmte Anwendungen, IT-Systeme (z. B. Client, Server oder mobile Geräte), Objekte aus dem Bereich der industriellen IT, Netze oder auch Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung) sein.

• Für eine Reihe technischer Systeme sind mehrere Bausteine anzuwenden, um die Gesamtheit der für das System relevanten Sicherheitsanforderungen abzudecken: So gibt es für Clients und Server zum einen betriebssystemunabhängige Bausteine (SYS.2.1 Allgemeiner Client, SYS.1.1 Allgemeiner Server), in denen die grundsätzlichen Sicherheitsanforderungen dieser Systeme beschrieben werden, zum anderen aber auch betriebssystemspezifische Bausteine (z. B. SYS.2.2.3 Client unter Windows 10, SYS.1.2.2 Windows Server 2012), in denen ergänzend die besonderen Anforderungen dargestellt sind, die für dieses Betriebssystem gelten. Für einen Webserver, der mit einer Unix-Variante betrieben wird, sind damit die folgenden drei Bausteine in das IT-Grundschutz-Modell aufzunehmen:

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix
  • APP.3.2 Webserver

Virtuelle Systeme sind in gleicher Weise zu modellieren wie physische, es sind also die Funktionen der Systeme, ihr Betriebssystem und die bereitgestellten Anwendungen und Dienste zu berücksichtigen. Wird z. B. ein Unix-Server als Virtualisierungsserver betrieben, so sind auf diesen die drei Bausteine SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung anzuwenden. Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden. Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden IT-Grundschutz-Baustein. Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken.

Nicht jeder Baustein ist relevant. Zum Beispiel müssen Sie den Baustein CON.7 Informationssicherheit auf Auslandsreisen natürlich nur dann anwenden, wenn solche Reisen in Ihrer Einrichtung üblich sind, und ebenso selbstverständlich erübrigt sich die Anwendung spezieller technischer Bausteine wie SYS.2.2.2 Clients unter Windows 8.1, wenn dieser Typ von IT-Systemen bei Ihnen nicht eingesetzt wird. Geben Sie in solchen Fällen gleichwohl eine hinreichende Begründung für die Nichtanwendung eines Bausteins an, sie muss aussagekräftig, aber nicht lang sein.