IT-Grundschutz: Unterschied zwischen den Versionen
(44 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 10: | Zeile 10: | ||
* [[Informationstechnik|Informationstechnik (IT)]] | * [[Informationstechnik|Informationstechnik (IT)]] | ||
= | ; Bestandteile | ||
{| class="wikitable options" | |||
|- | |||
| [[BSI/Standard|Standard]]s || Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen | |||
|- | |||
| [[Kompendium]] || mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können | |||
|} | |||
; Sicherheitsniveau | |||
* Mittel | * Mittel | ||
* Im Allgemeinen ausreichend und angemessen | |||
* Im Allgemeinen ausreichend | |||
* Erweiterbar für erhöhten Schutzbedarf | * Erweiterbar für erhöhten Schutzbedarf | ||
<br clear=all> | <br clear=all> | ||
=== | === Anforderungen === | ||
{| class="wikitable options big" | {| class="wikitable options big" | ||
|- | |- | ||
! Bereich !! Beschreibung | ! Bereich !! Beschreibung | ||
|- | |- | ||
| Technisch || Geräte | | Technisch || Geräte, [[Netzwerke]], Strukturen, ... | ||
|- | |- | ||
| Infrastrukturell || Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... | | Infrastrukturell || Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... | ||
Zeile 28: | Zeile 35: | ||
| Organisatorisch || [[Ablauforganisation]], [[Aufbauorganisation]] | | Organisatorisch || [[Ablauforganisation]], [[Aufbauorganisation]] | ||
|- | |- | ||
| Personell || [[Kompendium/Rollen]], [[Zuständigkeiten]], [[Schnittstellen]], [[Informationsaustausch]] | | Personell || [[IT-Grundschutz/Kompendium/Rollen|Rollen]], [[Zuständigkeiten]], [[Schnittstellen]], [[Informationsaustausch]], ... | ||
|} | |} | ||
=== Zertifizierung === | === Zertifizierung === | ||
; ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | ; ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | ||
Nachweis eines | |||
* [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]] | * Systematischen Vorgehens ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]) | ||
* Absicherung von [[IT-System]]en gegen | * Absicherung von [[IT-System]]en gegen [[Gefährdung]]en | ||
=== Bedeutung von Informationen === | === Bedeutung von Informationen === | ||
; Wichtigkeit und Bedeutung von Informationen | ; Wichtigkeit und Bedeutung von Informationen | ||
Für Unternehmen und Behörden ist es unerlässlich, dass [[Informationen]] | |||
* korrekt vorliegen | |||
* vertraulich behandelt werden | |||
; Entsprechend wichtig ist, dass | |||
'''Technischen Systeme''', mit denen Informationen gespeichert, verarbeitet oder übertragen werden | |||
* '''reibungslos funktionieren''' | |||
* '''wirksam''' gegen vielfältige Gefährdungen '''geschützt''' sind | |||
== IT-Grundschutz des BSI == | |||
; Grundlage | |||
* Herausforderungen professionell gerecht werden | |||
* Bemühungen für Informationssicherheit strukturieren | |||
; IT-Grundschutz ermöglicht | |||
* Systematische Schwachstellensuche | |||
* Prüfen der Angemessenheit von Schutzmaßnahmen | |||
* Sicherheitskonzepte entwickeln und fortschreiben | |||
** passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution | |||
* Allgemein anerkannten Standards zu genügen | |||
* [[Best Practice]] | |||
== Wege zur Informationssicherheit == | |||
Es gibt viele Wege zur Informationssicherheit | |||
* Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten | |||
* Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein | * Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein | ||
=== Herausforderungen === | === Herausforderungen === | ||
{| class="wikitable options big" | {| class="wikitable options big" | ||
|- | |- | ||
Zeile 84: | Zeile 101: | ||
* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln | * Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln | ||
|} | |} | ||
[[Kategorie:Grundschutz]] | [[Kategorie:IT-Grundschutz]] | ||
=== Konzept === | === Konzept === | ||
; Verzicht auf initiale Risikoanalysen | |||
Pauschale Gefährdungen | |||
* Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet | |||
=== Schutzbedarf === | === Schutzbedarf === | ||
; Drei Schutzbedarfskategorien | ; Drei Schutzbedarfskategorien | ||
[[Schutzbedarf]] des Untersuchungsgegenstandes festlegen | [[Schutzbedarf]] des Untersuchungsgegenstandes festlegen | ||
{| class="wikitable options | {| class="wikitable options" | ||
|- | |- | ||
! Kategorie !! Schaden | ! Kategorie !! Schaden | ||
Zeile 121: | Zeile 123: | ||
|} | |} | ||
=== | === Anforderungen === | ||
; Passende Sicherheitsmaßnahmen auswählen | ; Sicherheitsmaßnahmen | ||
[[IT-Grundschutz-Kompendium]] | Passende Sicherheitsmaßnahmen auswählen | ||
* personell | |||
; [[IT-Grundschutz-Kompendium]] | |||
* personell | |||
* technisch | |||
* organisatorisch | |||
* infrastrukturell | |||
=== Kochrezepte === | === Kochrezepte === | ||
; Basierend auf dem | ; Basierend auf dem [[IT-Grundschutz/Kompendium|IT-Grundschutz-Kompendium]] | ||
BSI-Standard 200-2 bietet „Kochrezepte“ für ein [[Normales Schutzniveau]] | |||
; Eintrittswahrscheinlichkeit und Schadenshöhe | ; Eintrittswahrscheinlichkeit und Schadenshöhe | ||
Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt | |||
; IT-Grundschutz-Kompendium | ; IT-Grundschutz-Kompendium | ||
Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse | |||
* das Expertenwissen erfordert | * das Expertenwissen erfordert | ||
* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird | * da anfangs mit pauschalisierten Gefährdungen gearbeitet wird | ||
Zeile 148: | Zeile 155: | ||
* Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an | * Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an | ||
; Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde | ; Datenschutz | ||
Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde | |||
* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung | * Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung | ||
Zeile 154: | Zeile 162: | ||
== Anhang == | == Anhang == | ||
=== Projekt === | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz Startseite des [[BSI]]] | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz | |||
=== Weblinks === | |||
# https://de.wikipedia.org/wiki/IT-Grundschutz | # https://de.wikipedia.org/wiki/IT-Grundschutz | ||
[[Kategorie:Grundschutz]] | [[Kategorie:IT-Grundschutz]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 16. November 2024, 21:59 Uhr
IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)
Beschreibung
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Identifizieren und Umsetzen von Sicherheitsmaßnahmen
- Bestandteile
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- Sicherheitsniveau
- Mittel
- Im Allgemeinen ausreichend und angemessen
- Erweiterbar für erhöhten Schutzbedarf
Anforderungen
Bereich | Beschreibung |
---|---|
Technisch | Geräte, Netzwerke, Strukturen, ... |
Infrastrukturell | Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
Organisatorisch | Ablauforganisation, Aufbauorganisation |
Personell | Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ... |
Zertifizierung
- ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
Nachweis eines
- Systematischen Vorgehens (Informationssicherheits-Managementsystem (ISMS))
- Absicherung von IT-Systemen gegen Gefährdungen
Bedeutung von Informationen
- Wichtigkeit und Bedeutung von Informationen
Für Unternehmen und Behörden ist es unerlässlich, dass Informationen
- korrekt vorliegen
- vertraulich behandelt werden
- Entsprechend wichtig ist, dass
Technischen Systeme, mit denen Informationen gespeichert, verarbeitet oder übertragen werden
- reibungslos funktionieren
- wirksam gegen vielfältige Gefährdungen geschützt sind
IT-Grundschutz des BSI
- Grundlage
- Herausforderungen professionell gerecht werden
- Bemühungen für Informationssicherheit strukturieren
- IT-Grundschutz ermöglicht
- Systematische Schwachstellensuche
- Prüfen der Angemessenheit von Schutzmaßnahmen
- Sicherheitskonzepte entwickeln und fortschreiben
- passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
- Allgemein anerkannten Standards zu genügen
- Best Practice
Wege zur Informationssicherheit
Es gibt viele Wege zur Informationssicherheit
- Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
Herausforderungen
Herausforderung | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
Konzept
- Verzicht auf initiale Risikoanalysen
Pauschale Gefährdungen
- Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet
Schutzbedarf
- Drei Schutzbedarfskategorien
Schutzbedarf des Untersuchungsgegenstandes festlegen
Kategorie | Schaden |
---|---|
Normal | überschaubar |
Hoch | beträchtlich |
Sehr Hoch | existenzgefährdend |
Anforderungen
- Sicherheitsmaßnahmen
Passende Sicherheitsmaßnahmen auswählen
- personell
- technisch
- organisatorisch
- infrastrukturell
Kochrezepte
- Basierend auf dem IT-Grundschutz-Kompendium
BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendium
Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- das Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Datenschutz
Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung