Ein ressourcenschonender Weg ist die Kooperation mit anderen Behörden und Rechenzentrumsdienstleistern. Dabei werden Methoden wie der BSI IT-Grundschutz und Infrastrukturkomponenten bei einem Dienstleister gemeinsam genutzt. So wird die notwendige Sicherheit hergestellt und zugleich werden Kosten gespart.
Am Markt agieren mehrere Anbieter von IT-Grundschutz-Tools. Bei der Auswahl dieser Werkzeuge ist deren Mandantenfähigkeit ein wichtiger Aspekt, um die notwendige Separierung leisten zu können. Denn nur so können die externen Rechenzentren kostengünstig IT-Sicherheit zentral für alle Mandanten als Service anbieten.
HiScout als Anbieter einer mandantenfähigen Grundschutz-Lösung am Markt, setzt auf drei Mandaten-Konzepte. So können Anwender entsprechend ihrer Strukturen, dem Grad der Zusammenarbeit und zur Verfügung stehender Ressourcen den passenden Ansatz wählen.
Gemeinsame Instanz mit Trennung durch Rollen- und Rechtekonzept über Rubriken
Bei dieser Variante greifen alle Anwender über eine gemeinsame URL auf HiScout zu. Diese URL ist auf dem HiScout-Server einer „Benannten Konfiguration“ (BK) zugeordnet. Der Server erkennt den aufrufenden Anwender und ordnet ihn über das Login einem konkreten HiScout-User zu.
Ein HiScout-User gehört einer oder mehreren Gruppen an, die in (Ordner-)Rubriken wiederum mit bestimmten Berechtigungs-Rollen verknüpft sind. Diese Berechtigungen sind vor allem für die Stammdaten-Rubriken wichtig, denn hier erfolgt die Trennung der Mandanten-Daten.
Auf übergreifende Stammdatenrubriken - beispielsweise gemeinsam verwendete Ressourcen wie Infrastrukturkomponenten – haben alle Anwender Zugriff. Nicht gemeinsam genutzte Daten werden in mandantenspezifischen Stammdaten-Rubriken abgelegt. Darauf können nur die berechtigten Anwender eines Mandanten zugreifen.
Methoden und Metriken - z.B. für die Schutzbedarfsfeststellung - müssen gemeinsam genutzt werden. Die HiScout-Administratoren haben Zugang zu allen Rubriken.
Eigene Instanz mit Replikation gemeinsam genutzter Modelle und Daten auf identischen IT-Systemen
Die Anwender greifen bei dieser Variante über verschiedene URLs auf HiScout zu, die sich über die „Endungen“ unterscheiden. Jeder Link ist auf dem (identischen) HiScout-Server einer BK zugeordnet, die auf eine bestimmte Datenbankinstanz verweist. Dadurch lassen sich die Mandanten-Daten nicht „nur“ logisch über Rubriken separieren, sondern auch physisch über verschiedene Datenbankinstanzen. Übergreifende Stammdaten, die für alle gelten und auf die alle Zugriff haben sollen, müssen von einem „Master“ aus in die anderen Datenbankinstanzen hinein synchronisiert werden.
Methoden und Metriken können bei Bedarf unterschiedlich definiert werden. Die HiScout-Administratoren lassen sich für jede BK separat einrichten.
Eigene Instanz mit Replikation gemeinsam genutzter Modelle und Daten auf unterschiedlichen IT-Systemen
Dies ist die höchste Separierungsstufe der HiScout-Lösung. Sie gleicht dem vorherigen Mandantenkonzept, wird aber auf unterschiedlichen IT-Systemen betrieben - für eine maximale Separierung der Mandanten.
Am Markt agieren mehrere Anbieter von IT-Grundschutz-Tools. Bei der Auswahl dieser Werkzeuge ist deren Mandantenfähigkeit ein wichtiger Aspekt, um die notwendige Separierung leisten zu können. Denn nur so können die externen Rechenzentren kostengünstig IT-Sicherheit zentral für alle Mandanten als Service anbieten.
HiScout als Anbieter einer mandantenfähigen Grundschutz-Lösung am Markt, setzt auf drei Mandaten-Konzepte. So können Anwender entsprechend ihrer Strukturen, dem Grad der Zusammenarbeit und zur Verfügung stehender Ressourcen den passenden Ansatz wählen.
Gemeinsame Instanz mit Trennung durch Rollen- und Rechtekonzept über Rubriken
Bei dieser Variante greifen alle Anwender über eine gemeinsame URL auf HiScout zu. Diese URL ist auf dem HiScout-Server einer „Benannten Konfiguration“ (BK) zugeordnet. Der Server erkennt den aufrufenden Anwender und ordnet ihn über das Login einem konkreten HiScout-User zu.
Ein HiScout-User gehört einer oder mehreren Gruppen an, die in (Ordner-)Rubriken wiederum mit bestimmten Berechtigungs-Rollen verknüpft sind. Diese Berechtigungen sind vor allem für die Stammdaten-Rubriken wichtig, denn hier erfolgt die Trennung der Mandanten-Daten.
Auf übergreifende Stammdatenrubriken - beispielsweise gemeinsam verwendete Ressourcen wie Infrastrukturkomponenten – haben alle Anwender Zugriff. Nicht gemeinsam genutzte Daten werden in mandantenspezifischen Stammdaten-Rubriken abgelegt. Darauf können nur die berechtigten Anwender eines Mandanten zugreifen.
Methoden und Metriken - z.B. für die Schutzbedarfsfeststellung - müssen gemeinsam genutzt werden. Die HiScout-Administratoren haben Zugang zu allen Rubriken.
Eigene Instanz mit Replikation gemeinsam genutzter Modelle und Daten auf identischen IT-Systemen
Die Anwender greifen bei dieser Variante über verschiedene URLs auf HiScout zu, die sich über die „Endungen“ unterscheiden. Jeder Link ist auf dem (identischen) HiScout-Server einer BK zugeordnet, die auf eine bestimmte Datenbankinstanz verweist. Dadurch lassen sich die Mandanten-Daten nicht „nur“ logisch über Rubriken separieren, sondern auch physisch über verschiedene Datenbankinstanzen. Übergreifende Stammdaten, die für alle gelten und auf die alle Zugriff haben sollen, müssen von einem „Master“ aus in die anderen Datenbankinstanzen hinein synchronisiert werden.
Methoden und Metriken können bei Bedarf unterschiedlich definiert werden. Die HiScout-Administratoren lassen sich für jede BK separat einrichten.
Eigene Instanz mit Replikation gemeinsam genutzter Modelle und Daten auf unterschiedlichen IT-Systemen
Dies ist die höchste Separierungsstufe der HiScout-Lösung. Sie gleicht dem vorherigen Mandantenkonzept, wird aber auf unterschiedlichen IT-Systemen betrieben - für eine maximale Separierung der Mandanten.
