ARCH — Architektur
63 controls
5 MUSS
42 SOLLTE
16 KANN
Die Praktik Architektur definiert die grundlegende Struktur sowie die Sicherheitsprinzipien der IT-Infrastruktur und leitet daraus Anforderungen für einzelne IT-Komponenten ab – etwa für Anwendungen oder IT-Systeme. Ziel ist es, eine sichere und skalierbare Basis zu schaffen. Im Rahmen dieser Praktik werden Sicherheitsanforderungen systematisch in die Gesamtarchitektur eingebettet. Dazu gehören die Gestaltung der Netzarchitektur sowie die Entwicklung übergreifender Konzepte, beispielsweise für Kryptografie oder den Schutz vor Schadsoftware.
ARCH.1Grundlagen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.1.1 | Verfahren und Regelungen | MUSS | normal-SdT | 3 |
| ARCH.1.2 | Regelmäßige Überprüfung | MUSS | normal-SdT |
ARCH.2Netzdesign
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.2.1 | Netzsegmente github-security-controls · GH-SRV-01 +7 | SOLLTE | normal-SdT | |
| ARCH.2.2 | Einschränkung von Verbindungen zwischen Segmenten | SOLLTE | normal-SdT | 12 |
| ARCH.2.3 | Mikrosegmentierung | KANN | erhöht | |
| ARCH.2.4 | Inventar der Netze | SOLLTE | normal-SdT | |
| ARCH.2.5 | Netzplan | SOLLTE | normal-SdT | |
| ARCH.2.6 | Topologieüberwachung | SOLLTE | normal-SdT |
ARCH.3Wireless LAN
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.3.1 | Netzabdeckung | SOLLTE | normal-SdT | |
| ARCH.3.2 | Einschränkung in Sicherheitsbereichen | KANN | erhöht | |
| ARCH.3.3 | SSIDs | SOLLTE | normal-SdT | |
| ARCH.3.4 | Verschlüsselte Netzanbindung | SOLLTE | normal-SdT |
ARCH.4Zugangsbeschränkungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.4.1 | Netzzugangskontrolle | SOLLTE | normal-SdT | 2 |
| ARCH.4.2 | Autorisiertes Routing | SOLLTE | normal-SdT | |
| ARCH.4.3 | Authentifizierung von Routingprotokollen | SOLLTE | normal-SdT |
ARCH.5Perimeterschutz
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.5.1 | Einschränkung und Inspektion von Verbindungen | SOLLTE | normal-SdT | 13 |
| ARCH.5.2 | Blockieren direkter öffentlicher Verbindungen | SOLLTE | normal-SdT |
ARCH.6Vertraulichkeit und Integrität im Weitverkehrsnetz
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.6.1 | Kontrollierte Verbindungsführung | KANN | erhöht | |
| ARCH.6.2 | Verschlüsselung von Weiterverkehrsverbindungen | SOLLTE | normal-SdT |
ARCH.7Dedizierte Systeme
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.7.1 | Dedizierte Hostsysteme für Server | SOLLTE | normal-SdT | |
| ARCH.7.2 | Dedizierte Hardware | KANN | erhöht | |
| ARCH.7.3 | Entwicklungs- und Testumgebungen | SOLLTE | normal-SdT |
ARCH.8Ausfallsicherheit
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.8.1 | Redundanz im Kernnetz | SOLLTE | normal-SdT | |
| ARCH.8.2 | Redundante TK-Anbindung | KANN | erhöht | |
| ARCH.8.3 | Redundante Server | KANN | erhöht |
ARCH.9Kapazitätsmanagement
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| ARCH.9.1 | Dimensionierung der Netzanbindung | SOLLTE | normal-SdT | |
| ARCH.9.2 | Lastverteilung | KANN | erhöht | |
| ARCH.9.3 | Automatische Skalierung | KANN | erhöht | |
| ARCH.9.4 | Content Delivery Network | KANN | erhöht | |
| ARCH.9.5 | Schutz gegen volumetrische DoS-Angriffe | KANN | erhöht |