IT-Grundschutz: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
show all...
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(290 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''IT-Grundschutz''' - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
<div class="float" style="width: 40%">
== Anwendung ==
{{:BSI/Uebersicht}}
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
[[Kategorie:Entwurf]]
[[Kategorie:IT-Grundschutz]]


= TMP =
Identifizieren und Umsetzen von Sicherheitsmaßnahmen  
Als '''IT-Grundschutz''' bezeichnet die [[Bundesverwaltung (Deutschland)|Bundesverwaltung]] eine vom [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen [[Informationstechnik|Informationstechnik (IT)]].
* [[Informationssicherheit]]
* Das ''Ziel'' des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme.
* [[Informationstechnik|Informationstechnik (IT)]]
* Zum Erreichen des Ziels empfiehlt das [[IT-Grundschutz-Kompendium]] (vormals: [[IT-Grundschutz-Kataloge]]) technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.


Wie auch im Bundesdatenschutzgesetz werden die Begriffe Sicherheit und Schutz vermengt.
; Bestandteile
* Der IT-Grundschutz ist ein griffiger Titel für eine Zusammenstellung von grundlegenden [[Sicherheit]]smaßnahmen und dazu ergänzenden [[Sicherheit|Schutz]]programmen für Behörden und Unternehmen.
{| class="wikitable options"
* Damit werden auch technische Maßnahmen für Datenschutz umgesetzt, aber aufgrund eines anderen Schutzobjekts, nämlich den einzelnen Betroffenen, kann IT-Grundschutz die operativen Anforderungen des Datenschutzes nicht erfüllen.
|-
* In methodischer Analogie zum IT-Grundschutz ist dafür das [[Standard-Datenschutzmodell]] (SDM) entwickelt worden, das auch die Basis für ein entwickeltes Datenschutz-Management ist.
| [[BSI/Standard|Standard]]s || Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
|-
| [[Kompendium]] || mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
|}


Unternehmen und Behörden können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]) gegen Gefährdungen der [[IT-Sicherheit]] mit Hilfe des ''ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz'' nachweisen.
; Sicherheitsniveau
* Mittel
* Im Allgemeinen ausreichend und angemessen
* Erweiterbar für erhöhten Schutzbedarf
<br clear=all>


== BSI-Standards und IT-Grundschutz-Kataloge ==
=== Anforderungen ===
Durch die Umstrukturierung und Erweiterung des [[IT-Grundschutz-Kataloge|IT-Grundschutzhandbuchs]] im Jahr 2006 durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) wurden die ''Methodik'' und die ''IT-Grundschutz-Kataloge'' getrennt.
{| class="wikitable options big"
* Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der [[ISO/IEC 27001]] an.
|-
! Bereich !! Beschreibung
|-
| Technisch || Geräte, [[Netzwerke]], Strukturen, ...
|-
| Infrastrukturell || Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
|-
| Organisatorisch || [[Ablauforganisation]], [[Aufbauorganisation]]
|-
| Personell || [[IT-Grundschutz/Kompendium/Rollen|Rollen]], [[Zuständigkeiten]], [[Schnittstellen]], [[Informationsaustausch]], ...
|}


Die frei verfügbaren ''BSI-Standards'' enthalten Angaben zum Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] und zur Umsetzung des IT-Grundschutzes.
=== Zertifizierung ===
* Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html ''BSI-Standards'']</ref>.
; ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
* Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem [[BS 25999]] sowie dem [[ITIL]] Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
Nachweis eines  
* Mit Umsetzung dieses Standards ist eine [[Zertifizierung]] gemäß BS 25999-2 möglich.
* Systematischen Vorgehens ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]])
* Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
* Absicherung von [[IT-System]]en gegen [[Gefährdung]]en


Übersicht der BSI-Standards Stand 23. Februar 2022:
=== Bedeutung von Informationen ===
* BSI-Standard 200-1<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html ''BSI-Standard 200-1: Managementsysteme für Informationssicherheit'']</ref> (Titel: „Managementsysteme für Informationssicherheit“): Erläutert den Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]]
; Wichtigkeit und Bedeutung von Informationen
* BSI-Standard 200-2<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html ''BSI-Standard 200-2: IT-Grundschutz-Methodik'']</ref> (Titel: „IT-Grundschutz-Methodik“): Beschreibt die grundlegenden Vorgehensweisen nach IT-Grundschutz
Für Unternehmen und Behörden ist es unerlässlich, dass [[Informationen]]
* BSI-Standard 200-3<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html ''BSI-Standard 200-3: Risikomanagement'']</ref> (Titel: „Risikomanagement“): Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf aufbauend auf einer durchgeführten IT-Grundschutzerhebung
* korrekt vorliegen
* BSI-Standard 100-4<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-100-4-Notfallmanagement/bsi-standard-100-4-notfallmanagement_node.html ''BSI-Standard 100-4: Notfallmanagement'']</ref> (Titel: „Notfallmanagement“): Wesentliche Aspekte für ein angemessenes [[Business Continuity Management]] (BCM)
* vertraulich behandelt werden
* BSI-Standard 200-4<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html ''BSI-Standard 200-4: Business Continuity Management (Community Draft)'']</ref> (Titel: „Business Continuity Management“): Befindet sich in Arbeit, ein Community Draft ist verfügbar


Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern.
; Entsprechend wichtig ist, dass
* Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
'''Technischen Systeme''', mit denen Informationen gespeichert, verarbeitet oder übertragen werden
* Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.<ref>{{Literatur |Autor=Olof Leps |Titel=Hybride Testumgebungen in der Informationssicherheit: Effiziente Sicherheitsanalysen für Industrieanlagen |Sammelwerk=Hybride Testumgebungen für Kritische Infrastrukturen |Verlag=Springer Vieweg, Wiesbaden |Datum=2018 |ISBN=9783658226138 |DOI=10.1007/978-3-658-22614-5_4 |Seiten=41–68 |Online=https://link.springer.com/chapter/10.1007/978-3-658-22614-5_4 |Abruf=2018-12-30}}</ref>
* '''reibungslos funktionieren'''
* '''wirksam''' gegen vielfältige Gefährdungen '''geschützt''' sind


== Konzept ==
== IT-Grundschutz des BSI ==
Basis eines ''IT-Grundschutzkonzepts'' ist der initiale Verzicht auf eine detaillierte Risikoanalyse.
; Grundlage
* Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet.
* Herausforderungen professionell gerecht werden
* Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt.
* Bemühungen für Informationssicherheit strukturieren


Basierend auf den ''IT-Grundschutz-Katalogen'' des deutschen BSI bietet der ''BSI-Standard 100-2'' (vor 2006 ''IT-Grundschutzhandbuch'') ein „Kochrezept“ für ein normales Schutzniveau.
; IT-Grundschutz ermöglicht
* Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.
* Systematische Schwachstellensuche
* Durch die Verwendung der ''IT-Grundschutz-Kataloge'' entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
* Prüfen der Angemessenheit von Schutzmaßnahmen
* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
* Sicherheitskonzepte entwickeln und fortschreiben
** passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
* Allgemein anerkannten Standards zu genügen
* [[Best Practice]]


Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben.
== Wege zur Informationssicherheit ==
* In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten [[Auditor]].
Es gibt viele Wege zur Informationssicherheit
* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]].
* Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
* Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
* Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
* Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet.
* Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen.
* Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI.
* Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.
* Früher wurde auch ein [[GSTOOL]] angeboten, dessen Vertrieb und Support jedoch eingestellt wurde.


Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde.
=== Herausforderungen ===
* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.
{| class="wikitable options big"
|-
! Herausforderung !! Beschreibung
|-
| Komplexität || '''Komplexität der Gefährdungslage'''
* Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
|-
| Ganzheitlichkeit || '''Ganzheitlichkeit der Sicherheitskonzepte'''
* Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
|-
| Zusammenwirken || '''Zusammenwirken der Sicherheitsmaßnahmen'''
* Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
|-
| Angemessenheit || '''Angemessenheit der Sicherheitsmaßnahmen'''
* Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten
* Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern
* Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
|-
| Externe Anforderungen || '''Erfüllung externer Anforderungen'''
* Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben
* Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
|-
| Nachhaltigkeit || '''Nachhaltigkeit der Sicherheitsmaßnahmen'''
* Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand
* Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter
* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln
|}
[[Kategorie:IT-Grundschutz]]


== IT-Grundschutzvorgehensweise ==
Gemäß IT-Grundschutzvorgehensweise werden die folgende Schritte durchlaufen:
* Definition des Informationsverbundes
* Durchführung einer Strukturanalyse
* Durchführung einer Schutzbedarfsfeststellung
* Modellierung
* Durchführung des IT-Grundschutz-Checks
* Risikoanalyse
* Konsolidierung der Maßnahmen
* Umsetzung der IT-Grundschutzmaßnahmen


=== Informationsverbund ===
=== Konzept ===
Unter einem Informationsverbund ist die Gesamtheit von [[infrastruktur]]ellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der [[Elektronische Datenverarbeitung|Informationsverarbeitung]] dienen.
; Verzicht auf initiale Risikoanalysen
* Ein Informationsverbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche umfassen, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame [[Anwendungsprogramm|IT-Anwendungen]] (z. B. Personalinformationssystem) gegliedert sind.
Pauschale Gefährdungen
* Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet


=== Strukturanalyse ===
=== Schutzbedarf ===
Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.
; Drei Schutzbedarfskategorien
* Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein [[Netztopologieplan]] als Ausgangsbasis für die Analyse an.
[[Schutzbedarf]] des Untersuchungsgegenstandes festlegen
* Die folgenden Aspekte müssen berücksichtigt werden:
{| class="wikitable options"
* die vorhandene [[Infrastruktur]],
|-
* die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
! Kategorie !! Schaden
* im Informationsverbund eingesetzte vernetzte und nicht-vernetzte [[Informationstechnisches System|IT-Systeme]],
|-
* die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
| Normal || überschaubar
* im Informationsverbund betriebene IT-Anwendungen.
|-
| Hoch || beträchtlich
|-
| Sehr Hoch || existenzgefährdend
|}


=== Schutzbedarfsfeststellung ===
=== Anforderungen ===
Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
; Sicherheitsmaßnahmen
* Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
Passende Sicherheitsmaßnahmen auswählen
* Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden.
* Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“<ref>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile</ref>.
* Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet.


Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen.
; [[IT-Grundschutz-Kompendium]]
* Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes [[Maximumprinzip]]).
* personell
* technisch
* organisatorisch
* infrastrukturell


Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen.
=== Kochrezepte ===
* In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen ([[Kumulationseffekt]]).
; Basierend auf dem [[IT-Grundschutz/Kompendium|IT-Grundschutz-Kompendium]]
BSI-Standard 200-2 bietet „Kochrezepte“ für ein [[Normales Schutzniveau]]


Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen ([[Verteilungseffekt]]).
; Eintrittswahrscheinlichkeit und Schadenshöhe
* Dies ist z. B. bei Clustern der Fall.
Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt


=== Modellierung ===
; IT-Grundschutz-Kompendium
Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt.
Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse
* In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw.
* das Expertenwissen erfordert
* IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten.
* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
* Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten.
* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
* Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur.
* Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden.
* Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbunds abgebildet werden.


=== IT-Grundschutz-Check ===
; Erfolgreiche Umsetzung
Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium.
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben
* Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbunds hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält.
* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]]
* Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist.
* Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
* Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche.
* Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet
Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet.
* Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen
* Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
* Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI
* Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
* Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an


Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich).
; Datenschutz
* Daraus folgt was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen.
Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde
* Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kernabsicherung.
* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
* Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf).


Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheit]]s-Konzepte, wie zum Beispiel nach [[ISO/IEC 27001]] angewandt.
<noinclude>


=== Risikoanalyse ===
== Anhang ==
Im Anschluss an den IT-Grundschutz-Check folgt eine Risikoanalyse. (Mit der Neuauflage der Grundschutz-Methodik (BSI Standard 200-2) wurde der Zwischenschritt einer "ergänzenden Sicherheitsanalyse" gestrichen.) Die Risikoanalyse kann mit Hilfe des BSI-Standards 200-3 durchgeführt werden.
=== Projekt ===
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz Startseite des [[BSI]]]


=== Konsolidierung der Maßnahmen ===
=== Weblinks ===
Identifikation von eventuell doppelt modellierten Maßnahmen.
# https://de.wikipedia.org/wiki/IT-Grundschutz


== Literatur ==
[[Kategorie:IT-Grundschutz]]
* [[Norbert Pohlmann]], Hartmut F. Blumberg: ''Der IT-Sicherheitsleitfaden. (Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen.
</noinclude>
* Planung und Umsetzung von IT-Sicherheitslösungen.
* IT-Sicherheit als kontinuierlichen Geschäftsprozess gestalten.
* Abbildung und Adaptierung der Normen ISO 13335 und BS 7799).'' mitp, Bonn 2004, ISBN 3-8266-0940-9.
* Felix Freiling, Rüdiger Grimm, Karl-Erwin Großpietsch, Hubert B. Keller, Jürgen Mottok, [[Isabel Münch]], Kai Rannenberg, Francesca Saglietti: ''Technische Sicherheit und Informationssicherheit – Unterschiede und Gemeinsamkeiten''.
* In: ''[[Informatik Spektrum]]''.
* Februar 2014, Volume 37, Issue 1, S. 14–24 {{doi|10.1007/s00287-013-0748-2}}
* [[Isabel Münch]]: ''IT-Grundschutz zum Bewältigen von IT-Risiken in Unternehmen''.
* In: Torsten Gründer: ''Managementhandbuch IT-Sicherheit.
* Risiken, Basel II, Recht'' [[Erich Schmidt Verlag]], 2007, S. 285–308 ISBN 978-3-503-10002-6
 
== Weblinks ==
* [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz] – Seite beim ''[[Bundesamt für Sicherheit in der Informationstechnik]]''
**[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it-grundschutztools_node.html Tools zum IT-Grundschutz]
* [https://www.initiative-s.de/de/index.html Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft"] Service des [[Eco – Verband der deutschen Internetwirtschaft|eco Verband der deutschen Internetwirtschaft e.V]] gefördert durch das [[Bundesministerium für Wirtschaft und Technologie]] (BMWi)
 
== Einzelnachweise ==
<references />
 
[[Kategorie:IT-Management]]
[[Kategorie:IT-Sicherheit]]

Aktuelle Version vom 16. November 2024, 21:59 Uhr

IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Beschreibung

Standards
200-1 Anforderungen an ein ISMS
200-2 Umsetzung der Anforderungen
200-3 Risikoanalyse
200-4 Business Continuity Management
Kompendium
Kapitel 1 IT-Grundschutz/Kompendium/Vorspann
Kapitel 2 Schichtenmodell / Modellierung
Elementare
Gefährdungen		 Elementare Gefährdungen
Schichten Prozesse
Systeme


Identifizieren und Umsetzen von Sicherheitsmaßnahmen

Bestandteile
Standards Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
Sicherheitsniveau
  • Mittel
  • Im Allgemeinen ausreichend und angemessen
  • Erweiterbar für erhöhten Schutzbedarf


Anforderungen

Bereich Beschreibung
Technisch Geräte, Netzwerke, Strukturen, ...
Infrastrukturell Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
Organisatorisch Ablauforganisation, Aufbauorganisation
Personell Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ...

Zertifizierung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Nachweis eines

Bedeutung von Informationen

Wichtigkeit und Bedeutung von Informationen

Für Unternehmen und Behörden ist es unerlässlich, dass Informationen

  • korrekt vorliegen
  • vertraulich behandelt werden
Entsprechend wichtig ist, dass

Technischen Systeme, mit denen Informationen gespeichert, verarbeitet oder übertragen werden

  • reibungslos funktionieren
  • wirksam gegen vielfältige Gefährdungen geschützt sind

IT-Grundschutz des BSI

Grundlage
  • Herausforderungen professionell gerecht werden
  • Bemühungen für Informationssicherheit strukturieren
IT-Grundschutz ermöglicht
  • Systematische Schwachstellensuche
  • Prüfen der Angemessenheit von Schutzmaßnahmen
  • Sicherheitskonzepte entwickeln und fortschreiben
    • passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
  • Allgemein anerkannten Standards zu genügen
  • Best Practice

Wege zur Informationssicherheit

Es gibt viele Wege zur Informationssicherheit

  • Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
  • Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Herausforderung Beschreibung
Komplexität Komplexität der Gefährdungslage
  • Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
Ganzheitlichkeit Ganzheitlichkeit der Sicherheitskonzepte
  • Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
Zusammenwirken Zusammenwirken der Sicherheitsmaßnahmen
  • Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
Angemessenheit Angemessenheit der Sicherheitsmaßnahmen
  • Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten
  • Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern
  • Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
Externe Anforderungen Erfüllung externer Anforderungen
  • Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben
  • Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
Nachhaltigkeit Nachhaltigkeit der Sicherheitsmaßnahmen
  • Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand
  • Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter
  • Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln


Konzept

Verzicht auf initiale Risikoanalysen

Pauschale Gefährdungen

  • Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarf

Drei Schutzbedarfskategorien

Schutzbedarf des Untersuchungsgegenstandes festlegen

Kategorie Schaden
Normal überschaubar
Hoch beträchtlich
Sehr Hoch existenzgefährdend

Anforderungen

Sicherheitsmaßnahmen

Passende Sicherheitsmaßnahmen auswählen

IT-Grundschutz-Kompendium
  • personell
  • technisch
  • organisatorisch
  • infrastrukturell

Kochrezepte

Basierend auf dem IT-Grundschutz-Kompendium

BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau

Eintrittswahrscheinlichkeit und Schadenshöhe

Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt

IT-Grundschutz-Kompendium

Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse

  • das Expertenwissen erfordert
  • da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
  • Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben

  • Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
  • Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
  • Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
  • Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
  • Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
  • Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
Datenschutz

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde

  • Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung


Anhang

Projekt

  1. IT-Grundschutz Startseite des BSI

Weblinks

  1. https://de.wikipedia.org/wiki/IT-Grundschutz
Abgerufen von „https://wiki.foxtom.de/index.php?title=IT-Grundschutz&oldid=115659