Diskussion:Grundschutz/Vorgehen: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „=== Beschreibung === Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben. * Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich. * Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet. === Festlegung des Informationsverbundes === {{:Grundschutz/Informationsverbund}} === Wahl der Vorgehen…“ |
K Textersetzung - „““ durch „"“ |
||
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
=== Festlegung des Informationsverbundes === | === Festlegung des Informationsverbundes === | ||
{{:Grundschutz/Informationsverbund}} | {{:IT-Grundschutz/Informationsverbund}} | ||
=== Wahl der Vorgehensweise === | === Wahl der Vorgehensweise === | ||
| Zeile 12: | Zeile 12: | ||
* Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen: | * Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen: | ||
* Die '''Basis-Absicherung''' ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten. | * Die '''Basis-Absicherung''' ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten. | ||
* Die '''Kern-Absicherung''' lenkt die Sicherheitsmaßnahmen auf die | * Die '''Kern-Absicherung''' lenkt die Sicherheitsmaßnahmen auf die "Kronjuwelen" einer Institution, also besonders wichtige Geschäftsprozesse und Assets. | ||
* Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab. | * Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab. | ||
* Die '''Standard-Absicherung''' entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2). | * Die '''Standard-Absicherung''' entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2). | ||
| Zeile 30: | Zeile 30: | ||
! !! Arbeitsschitt !! Beschreibung | ! !! Arbeitsschitt !! Beschreibung | ||
|- | |- | ||
| 1 || [[Grundschutz/Informationsverbund|Informationsverbund]] || Geltungsbereich festlegen | | 1 || [[IT-Grundschutz/Informationsverbund|Informationsverbund]] || Geltungsbereich festlegen | ||
|- | |- | ||
| 2 || [[Absicherung-Varianten]] || Absicherung | | 2 || [[Absicherung-Varianten]] || Absicherung | ||
|- | |- | ||
| 3 || [[Grundschutz/Strukturanalyse|Strukturanalyse]] || Strukturanalyse | | 3 || [[IT-Grundschutz/Strukturanalyse|Strukturanalyse]] || Strukturanalyse | ||
|- | |- | ||
| 3 || [[Grundschutz/Schutzbedarf|Schutzbedarf]] || Schutzbedarf | | 3 || [[IT-Grundschutz/Schutzbedarf|Schutzbedarf]] || Schutzbedarf | ||
|- | |- | ||
| 4 || [[Grundschutz/Modellierung|Modellierung]] || Modellierung | | 4 || [[IT-Grundschutz/Modellierung|Modellierung]] || Modellierung | ||
|- | |- | ||
| 5 || [[Grundschutz/Grundschutz-Check|IT-Grundschutz-Check]] || IT-Grundschutz-Check | | 5 || [[IT-Grundschutz/Grundschutz-Check|IT-Grundschutz-Check]] || IT-Grundschutz-Check | ||
|- | |- | ||
| 6 || [[Risikoanalyse]] || Verbleibende Risiken managen | | 6 || [[Risikoanalyse]] || Verbleibende Risiken managen | ||
| Zeile 46: | Zeile 46: | ||
| 7 || [[BSI/200-3/Konsolidierung|Maßnahmen konsolidieren]] || Maßnahmen konsolidieren | | 7 || [[BSI/200-3/Konsolidierung|Maßnahmen konsolidieren]] || Maßnahmen konsolidieren | ||
|- | |- | ||
| 8 || [[Kompendium/Umsetzungshinweise|Umsetzung]] || Umsetzung der Maßnahmen | | 8 || [[IT-Grundschutz/Kompendium/Umsetzungshinweise|Umsetzung]] || Umsetzung der Maßnahmen | ||
|} | |} | ||
| Zeile 54: | Zeile 54: | ||
==== Siehe auch ==== | ==== Siehe auch ==== | ||
{{Special:PrefixIndex/Sicherheitskonzept}} | {{Special:PrefixIndex/Sicherheitskonzept}} | ||
==== Links ==== | |||
===== Weblinks ===== | |||
= TMP = | = TMP = | ||
| Zeile 64: | Zeile 64: | ||
=== Festlegung des Informationsverbundes === | === Festlegung des Informationsverbundes === | ||
{{:Grundschutz/Informationsverbund}} | {{:IT-Grundschutz/Informationsverbund}} | ||
=== Erstaufnahme des Informationsverbundes === | === Erstaufnahme des Informationsverbundes === | ||
[[Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes]] | [[IT-Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes]] | ||
=== Wahl der Vorgehensweise === | === Wahl der Vorgehensweise === | ||
| Zeile 74: | Zeile 74: | ||
* Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen: | * Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen: | ||
* Die '''Basis-Absicherung''' ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten. | * Die '''Basis-Absicherung''' ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten. | ||
* Die '''Kern-Absicherung''' lenkt die Sicherheitsmaßnahmen auf die | * Die '''Kern-Absicherung''' lenkt die Sicherheitsmaßnahmen auf die "Kronjuwelen" einer Institution, also besonders wichtige Geschäftsprozesse und Assets. | ||
* Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab. | * Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab. | ||
* Die '''Standard-Absicherung''' entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2). | * Die '''Standard-Absicherung''' entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2). | ||
| Zeile 92: | Zeile 92: | ||
! !! Arbeitsschitt !! Beschreibung | ! !! Arbeitsschitt !! Beschreibung | ||
|- | |- | ||
| 1 || [[Grundschutz/Informationsverbund|Informationsverbund]] || Geltungsbereich festlegen | | 1 || [[IT-Grundschutz/Informationsverbund|Informationsverbund]] || Geltungsbereich festlegen | ||
|- | |- | ||
| 2 || [[Absicherung-Varianten]] || Absicherung | | 2 || [[Absicherung-Varianten]] || Absicherung | ||
|- | |- | ||
| 3 || [[Grundschutz/Strukturanalyse|Strukturanalyse]] || Strukturanalyse | | 3 || [[IT-Grundschutz/Strukturanalyse|Strukturanalyse]] || Strukturanalyse | ||
|- | |- | ||
| 3 || [[Grundschutz/Schutzbedarf|Schutzbedarf]] || Schutzbedarf | | 3 || [[IT-Grundschutz/Schutzbedarf|Schutzbedarf]] || Schutzbedarf | ||
|- | |- | ||
| 4 || [[Grundschutz/Modellierung|Modellierung]] || Modellierung | | 4 || [[IT-Grundschutz/Modellierung|Modellierung]] || Modellierung | ||
|- | |- | ||
| 5 || [[Grundschutz/Grundschutz-Check|IT-Grundschutz-Check]] || IT-Grundschutz-Check | | 5 || [[IT-Grundschutz/Grundschutz-Check|IT-Grundschutz-Check]] || IT-Grundschutz-Check | ||
|- | |- | ||
| 6 || [[Risikoanalyse]] || Verbleibende Risiken managen | | 6 || [[Risikoanalyse]] || Verbleibende Risiken managen | ||
| Zeile 108: | Zeile 108: | ||
| 7 || [[BSI/200-3/Konsolidierung|Maßnahmen konsolidieren]] || Maßnahmen konsolidieren | | 7 || [[BSI/200-3/Konsolidierung|Maßnahmen konsolidieren]] || Maßnahmen konsolidieren | ||
|- | |- | ||
| 8 || [[Kompendium/Umsetzungshinweise|Umsetzung]] || Umsetzung der Maßnahmen | | 8 || [[IT-Grundschutz/Kompendium/Umsetzungshinweise|Umsetzung]] || Umsetzung der Maßnahmen | ||
|} | |} | ||
Aktuelle Version vom 31. März 2025, 22:07 Uhr
Beschreibung
Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.
- Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
- Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.
Festlegung des Informationsverbundes
IT-Grundschutz/Informationsverbund - Im IT-Grundschutz betrachteter Bereich
Beschreibung
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
- Informationstechnik ist durch vernetzte IT-Systeme geprägt
- Gesamte IT betrachten
- Nicht einzelne IT-Systeme
- Teilverbünde definieren
Teile und Herrsche
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll
- IT-Struktur in logisch getrennte Teile zerlegen
- Jeweils einen Teil (Informationsverbund) getrennt betrachten
- Ausprägungen
Informationsverbund
- gesamte IT einer Institution
- einzelne Bereiche
- Gliederung
- Organisatorische Strukturen
- beispielsweise Abteilungsnetz
- Gemeinsame IT-Anwendungen
- beispielsweise Personalinformationssystem
- IT-Strukturanalyse
- Detaillierte Informationen über die Struktur des Informationsverbundes
- Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
- Komponenten
| Komponente | Beschreibung |
|---|---|
| Infrastruktur | |
| Organisation | |
| Personen | |
| Technik |
Festlegung eines Informationsverbundes
Größe
- Sinnvolle Mindestgröße
- Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
- Größeren Institutionen
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.
Teilbereiche
- Gut abgrenzbar
- organisatorischen Strukturen
- Anwendungen
- Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
- Sinnvolle Teilbereiche
- Organisationseinheiten
- Geschäftsprozesse/Fachaufgaben
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
Schnittstellen
Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
- Insbesondere bei der Zusammenarbeit mit externer Partnern
Wahl der Vorgehensweise
Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.
- Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
- Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
- Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
- Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die "Kronjuwelen" einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
- Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
- Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
- Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.
Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.
In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.
- Die folgende Abbildung zeigt die zugehörigen Schritte:
Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.
- Die Basis-Absicherung wird darüber hinaus in einem eigenenLeitfaden zur Basis-Absicherung nach -Grundschutz ausführlich beschrieben.
IT-Grundschutzvorgehensweise
| Arbeitsschitt | Beschreibung | |
|---|---|---|
| 1 | Informationsverbund | Geltungsbereich festlegen |
| 2 | Absicherung-Varianten | Absicherung |
| 3 | Strukturanalyse | Strukturanalyse |
| 3 | Schutzbedarf | Schutzbedarf |
| 4 | Modellierung | Modellierung |
| 5 | IT-Grundschutz-Check | IT-Grundschutz-Check |
| 6 | Risikoanalyse | Verbleibende Risiken managen |
| 7 | Maßnahmen konsolidieren | Maßnahmen konsolidieren |
| 8 | Umsetzung | Umsetzung der Maßnahmen |
Anhang
Siehe auch
Links
Weblinks
TMP
Beschreibung
Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.
- Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
- Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.
Festlegung des Informationsverbundes
IT-Grundschutz/Informationsverbund - Im IT-Grundschutz betrachteter Bereich
Beschreibung
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
- Informationstechnik ist durch vernetzte IT-Systeme geprägt
- Gesamte IT betrachten
- Nicht einzelne IT-Systeme
- Teilverbünde definieren
Teile und Herrsche
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll
- IT-Struktur in logisch getrennte Teile zerlegen
- Jeweils einen Teil (Informationsverbund) getrennt betrachten
- Ausprägungen
Informationsverbund
- gesamte IT einer Institution
- einzelne Bereiche
- Gliederung
- Organisatorische Strukturen
- beispielsweise Abteilungsnetz
- Gemeinsame IT-Anwendungen
- beispielsweise Personalinformationssystem
- IT-Strukturanalyse
- Detaillierte Informationen über die Struktur des Informationsverbundes
- Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
- Komponenten
| Komponente | Beschreibung |
|---|---|
| Infrastruktur | |
| Organisation | |
| Personen | |
| Technik |
Festlegung eines Informationsverbundes
Größe
- Sinnvolle Mindestgröße
- Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
- Größeren Institutionen
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.
Teilbereiche
- Gut abgrenzbar
- organisatorischen Strukturen
- Anwendungen
- Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
- Sinnvolle Teilbereiche
- Organisationseinheiten
- Geschäftsprozesse/Fachaufgaben
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
Schnittstellen
Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
- Insbesondere bei der Zusammenarbeit mit externer Partnern
Erstaufnahme des Informationsverbundes
IT-Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes
Wahl der Vorgehensweise
Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.
- Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
- Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
- Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
- Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die "Kronjuwelen" einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
- Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
- Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
- Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.
Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.
In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.
- Die folgende Abbildung zeigt die zugehörigen Schritte:
Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.
- Die Basis-Absicherung wird darüber hinaus in einem eigenenLeitfaden zur Basis-Absicherung nach -Grundschutz ausführlich beschrieben.
IT-Grundschutzvorgehensweise
| Arbeitsschitt | Beschreibung | |
|---|---|---|
| 1 | Informationsverbund | Geltungsbereich festlegen |
| 2 | Absicherung-Varianten | Absicherung |
| 3 | Strukturanalyse | Strukturanalyse |
| 3 | Schutzbedarf | Schutzbedarf |
| 4 | Modellierung | Modellierung |
| 5 | IT-Grundschutz-Check | IT-Grundschutz-Check |
| 6 | Risikoanalyse | Verbleibende Risiken managen |
| 7 | Maßnahmen konsolidieren | Maßnahmen konsolidieren |
| 8 | Umsetzung | Umsetzung der Maßnahmen |