IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen

Aktuelle Version vom 30. Juli 2024, 10:39 Uhr

IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine

Aspekte der Informationssicherheit
Typische Gefährdungen
Typische Sicherheitsanforderungen

Einführung eines Information Security Management Systems (ISMS)

Schrittweise
Praxisnah
Reduzierter Aufwand
Thematische Schichten
Unterschiedliche Aspekte

Gegenstand eines Bausteins

Ubergeordnete Themen

Informationssicherheitsmanagement
Notfallmanagement

Spezielle technische Systeme

Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- Mobile Systeme
- Industrielle Steuerungen

Aktualisierung und Erweiterung

Kontinuierlich
Berücksichtigung von Anwenderwünschen
Anpassung an die Entwicklung der zugrunde liegenden Standards
Anpassung an die Gefährdungslage

Schichten

Schichtenmodell der Grundschutz-Bausteine

Komplexität reduzieren
Redundanzen vermeiden
Zuständigkeiten bündeln
Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Kapitel

Kapitel	Beschreibung
Einführung	Vorwort/Dankesworte Neuerungen IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Bausteine

Schichten

Schicht	Beschreibung
Prozesse
Systeme

Prozess-Bausteine

Kürzel	Titel
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

System-Bausteine

Kürzel	Titel
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netze und Kommunikation
INF	Infrastruktur

Aufbau eines Bausteins

IT-Grundschutz-Baustein - Dokument des BSI-Grundschutz-Kompendiums

Beschreibung

Umfang

Circa 10 Seiten

Gliederung

Inhalt	Beschreibung
Einleitung
Zielsetzung und Abgrenzung
Gefährdungslage
Sicherheitsanforderungen

Gliederung

Einleitung
Zielsetzung und Abgrenzung
Gefährdungslage
Sicherheitsanforderungen

Einleitung

Anwendung
Elementarer Gefährdungen
Kurzen Beschreibung
Abgrenzung des behandelten Sachverhalts

Zielsetzung und Abgrenzung

Abgrenzung und Verweis des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug

Gefährdungslage

Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen

Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben

Sicherheitsanforderungen

Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind

Die Anforderungen beschreiben, was getan werden sollte

Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen

vorrangig zu erfüllende Basis-Anforderungen,
für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
Anforderungen für den erhöhten Schutzbedarf

Modalverben

Modalverben - beschreiben die Verbindlichkeit einer Anforderung

Beschreibung
MUSS und SOLL

Ausdruck	Verbindlichkeit
MUSS, DARF NUR	Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN	Darf in keinem Fall getan werden
SOLLTE	Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN	Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.

Ausdruck	Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT	Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED	Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL	Anforderung liegt im Ermessen des Herstellers

Schichten

IT-Grundschutz-Kompendium/Prozess-Bausteine - Konzepte und Vorgehensweisen

Beschreibung

Kürzel	Titel	Beschreibung
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

ISMS

Sicherheitsmanagement

Nummer	Titel
ISMS.1	Sicherheitsmanagement

ORP

Organisation und Personal

Nummer	Titel
ORP.1	Organisation
ORP.2	Personal
ORP.3	Sensibilisierung und Schulung zur Informationssicherheit
ORP.4	Identitäts- und Berechtigungsmanagement
ORP.5	Compliance Management (Anforderungsmanagement)

CON

Konzeption und Vorgehensweise

Nummer	Titel
CON.1	Kryptokonzept
CON.2	Datenschutz
CON.3	Datensicherungskonzept
CON.6	Löschen und Vernichten
CON.7	Informationssicherheit auf Auslandsreisen
CON.8	Software-Entwicklung
CON.9	Informationsaustausch
CON.10	Entwicklung von Webanwendungen
CON.11.1	Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH

OPS

Betrieb

Nummer	Titel
OPS.1.1.1	Allgemeiner Betrieb
OPS.1.1.2	Ordnungsgemäße IT-Administration
OPS.1.1.3	Patch- und Änderungsmanagement
OPS.1.1.4	Schutz vor Schadprogrammen
OPS.1.1.5	Protokollierung
OPS.1.1.6	Software-Tests und -Freigaben
OPS.1.1.7	Systemmanagement
OPS.1.2.2	Archivierung
OPS.1.2.4	Telearbeit
OPS.1.2.5	Fernwartung
OPS.1.2.6	NTP-Zeitsynchronisation
OPS.2.2	Cloud-Nutzung
OPS.2.3	Nutzung von Outsourcing
OPS.3.2	Anbieten von Outsourcing

DER

Detektion und Reaktion

Nummer	Titel
DER.1	Detektion von sicherheitsrelevanten Ereignissen
DER.2.1	Behandlung von Sicherheitsvorfällen
DER.2.2	Vorsorge für die IT-Forensik
DER.2.3	Bereinigung weitreichender Sicherheitsvorfälle
DER.3.1	Audits und Revisionen
DER.3.2	Revision auf Basis des Leitfadens IT-Revision
DER.4	Notfallmanagement

IT-Grundschutz-Kompendium - System-Bausteine

Beschreibung

Kürzel	Titel	Beschreibung
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netzwerke/Kommunikation
INF	Infrastruktur

APP

Anwendungen

Nummer	Titel
APP.1.1	Office-Produkte
APP.1.2	Webbrowser
APP.1.4	Mobile Anwendung (Apps)
APP.2.1	Allgemeiner Verzeichnisdienst
APP.2.2	Active Directory Domain Services
APP.2.3	OpenLDAP
APP.3.1	Webanwendungen und Webservices
APP.3.2	Webserver
APP.3.3	Fileserver
APP.3.4	Samba
APP.3.6	DNS-Server
APP.4.2	SAP-System
APP.4.3	Relationale Datenbanksysteme
APP.4.4	Kubernetes
APP.4.6	ABAP-Programmierung
APP.5.2	Microsoft Exchange und Outlook
APP.5.3	Allgemeiner E-Mail-Client und -Server
APP.5.4	Unified Communications und Collaboration
APP.6	Allgemeine Software
APP.7	Entwicklung von Individualsoftware

SYS

IT-Systeme

Nummer	Titel
SYS.1.1	Allgemeiner Server
SYS.1.2.2	Windows Server 2012
SYS.1.2.3	Windows Server
SYS.1.3	Server unter Linux und Unix
SYS.1.5	Virtualisierung
SYS.1.6	Containerisierung
SYS.1.7	IBM-Z
SYS.1.8	Speicherlösungen
SYS.1.9	Terminalserver
SYS.2.1	Allgemeiner Client
SYS.2.2.3	Clients unter Windows
SYS.2.3	Clients unter Linux und Unix
SYS.2.4	Clients unter macOS
SYS.2.5	Client-Virtualisierung
SYS.2.6	Virtual Desktop Infrastructure
SYS.3.1	Laptops
SYS.3.2.1	Allgemeine Smartphones und Tablets
SYS.3.2.2	Mobile Device Management
SYS.3.2.3	iOS (for Enterprise)
SYS.3.2.4	Android
SYS.3.3	Mobiltelefon
SYS.4.1	Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3	Eingebettete Systeme
SYS.4.4	Allgemeines IoT-Gerät
SYS.4.5	Wechseldatenträger

IND

Industrielle IT

Nummer	Titel
IND.1	Prozessleit- und Automatisierungstechnik
IND.2.1	Allgemeine -Komponente
IND.2.2	Speicherprogrammierbare Steuerung
IND.2.3	Sensoren und Aktoren
IND.2.4	Maschine
IND.2.7	Safety Instrumented Systems
IND.3.2	Fernwartung im industriellen Umfeld

NET

Netze und Kommunikation

Nummer	Titel
NET.1.1	Netzarchitektur und -design
NET.1.2	Netzmanagement
NET.2.1	WLAN-Betrieb
NET.2.2	WLAN-Nutzung
NET.3.1	Router und Switches
NET.3.2	Firewall
NET.3.3	VPN
NET.3.4	Network Access Control
NET.4.1	TK-Anlagen
NET.4.2	VoIP
NET.4.3	Faxgeräte und Faxserver

INF

Infrastruktur

Nummer	Titel
INF.1	Allgemeines Gebäude
INF.2	Rechenzentrum sowie Serverraum
INF.5	Raum sowie Schrank für technische Infrastruktur
INF.6	Datenträgerarchiv
INF.7	Büroarbeitsplatz
INF.8	Häuslicher Arbeitsplatz
INF.9	Mobiler Arbeitsplatz
INF.10	Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11	Allgemeines Fahrzeug
INF.12	Verkabelung
INF.13	Technisches Gebäudemanagement
INF.14	Gebäudeautomation

Rollen

Rollen - Definitionen und Zuständigkeiten

Übersicht

Rolle	Aufgabe
Auditteamleitung	Leitung des Auditteams
Auditteam	Fachlich Unterstützung der Auditteamleitung
Bauleitung	Umsetzung von Baumaßnahmen
Benutzende	Informationstechnische Systeme nutzen
Bereichssicherheitsbeauftragte	Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen
Beschaffungsstelle	Initiiert und überwacht Beschaffungen
Brandschutzbeauftragte	Brandschutz
Datenschutzbeauftragte	Gesetzeskonformen Umgang mit personenbezogenen Daten
Compliance-Beauftragte	Vorgaben identifizieren und deren Einhaltung zu prüfen
Entwickelnde	Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen
Errichterfirma	Unternehmen, das Gewerke oder aber auch Gebäude errichtet
Fachabteilung	Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat
Fachverantwortliche	Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig
Haustechnik	Infrastruktur in Gebäuden und Liegenschaften
ICS-Informationssicherheitsbeauftragte	ICS-Informationssicherheitsbeauftragte (oft auch Industrial Security Officer genannt) sind von der Institutionsleitung benannte Personen, die im Auftrag der Leitungsebene dafür sorgen, dass die speziellen Anforderungen im Bereich der industriellen Steuerung abgedeckt sind und die Sicherheitsorganisation aus dem Bereich ICS in das gesamte ISMS der Institution eingebunden ist.
Informationssicherheitsbeauftragte (ISB)	Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben.
ISMS Management-Team
Institution	Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.
Institutionsleitung	Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit.
IS-Revisionsteam	Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen.
IT-Betrieb	Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet. Die Rolle IT-Betrieb schließt die zuständige Leitung der Organisationseinheit mit ein. Mitarbeitende Die Mitarbeitenden sind Teil einer Institution.
Notfallbeauftragte	Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement. Sie sind für die Erstellung, Umset- zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig. Sie analysieren den Gesamtablauf der Notfallbewältigung nach einem Scha- densereignis.
OT-Betrieb (Operational Technology, OT)	Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig.
OT-Leitung	Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise die verantwortliche Person für die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen. Insbesondere ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen
Personalabteilung
Planende	Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst. Gemeint sind also Personen, die für die Planung und Konzeption bestimmter Aufgaben zuständig sind.
Risikomanager	Person, die alle Aufgaben des Risikomanagements wahrnimmt.
Testende	Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen.
Vorgesetzte	Als Vorgesetzte werden die Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal Beim Wartungspersonal handelt es sich um Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden. Hierbei ist es in der Regel notwendig, dass das Wartungspersonal Zugriff auf die betroffenen Systeme erhält.
Zentrale Verwaltung	Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt. Die Rolle Zentrale Verwaltung schließt die zuständige Leitung der Organisationseinheit mit ein

Anhang

Siehe auch

Links

Weblinks

@@ Zeile 1: / Zeile 1: @@
-== Struktur==
+'''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]
-; Struktur des IT-Grundschutz-Kompendiums
-Kern des BSI IT-Grundschutz nach 200-x bildet das IT-Grundschutz-Kompendium, das die bisherigen IT-Grundschutzkataloge ablöst. Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut:
-; Prozess-Bausteine
+=== Beschreibung ===
-* ISMS: Enthält den grundlegenden Baustein Sicherheitsmanagement.
+Sammlung von Dokumenten (Bausteine)
-* ORP: Bausteine zu organisatorischen und personellen Sicherheitsaspekten.
-* CON: Bausteine zu Konzepten und Vorgehensweisen.
-* OPS: Bausteine zu Aspekten betrieblicher Art (operativer IT-Betrieb und IT-Betrieb durch Dritte).
-* DER: Bausteine zu Aspekten der Detektion von Sicherheitsvorfällen sowie Reaktion auf Sicherheitsvorfälle.
-; System-Bausteine
+; IT-Grundschutz-Bausteine
-* APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
+* Aspekte der Informationssicherheit
-* SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
+* Typische Gefährdungen
-* NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
+* Typische Sicherheitsanforderungen
-* INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
-* IND: Bausteine zu Sicherheitsaspekten industrieller IT.
-Die ausführliche Beschreibung des modernisierten Grundschutz und des ITGrundschutz-Kompendiums finden Sie auf den Webseiten des BSI.
+; Einführung eines [[Information Security Management System]]s ([[ISMS]])
+* Schrittweise
+* Praxisnah
+* Reduzierter Aufwand
+* Thematische Schichten
+* Unterschiedliche Aspekte
-== Anhang ==
+; Gegenstand eines Bausteins
-=== Siehe auch ===
+Ubergeordnete Themen
-{{Special:PrefixIndex/{{BASEPAGENAME}}}}
+* Informationssicherheitsmanagement
-==== Sicherheit ====
+* Notfallmanagement
-==== Dokumentation ====
+Spezielle technische Systeme
-===== RFC =====
+* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
-===== Man-Pages =====
+** Clients
-===== Info-Pages =====
+** Server
-==== Links ====
+** Mobile Systeme
-===== Einzelnachweise =====
+** Industrielle Steuerungen
-<references />
-===== Projekt =====
-===== Weblinks =====
-<noinclude>
-=== Testfragen ===
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 1''
-<div class="mw-collapsible-content">'''Antwort1'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 2''
-<div class="mw-collapsible-content">'''Antwort2'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 3''
-<div class="mw-collapsible-content">'''Antwort3'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 4''
-<div class="mw-collapsible-content">'''Antwort4'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 5''
-<div class="mw-collapsible-content">'''Antwort5'''</div>
-</div>
-[[Kategorie:Grundschutz/Kompendium]]
+; Aktualisierung und Erweiterung
+* Kontinuierlich
+* Berücksichtigung von Anwenderwünschen
+* Anpassung an die Entwicklung der zugrunde liegenden Standards
+* Anpassung an die Gefährdungslage
-= TMP =
+=== Schichten ===
-=== Grundschutz-Bausteine ===
+[[File:schichtenmodell.png|600px|Schichtenmodell]]
-Das Grundschutz-Kompendium ist modular aufgebaut. Den Kern bilden die jeweils rund zehn Seiten langen '''-Grundschutz-Bausteine''', in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden. Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
-Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten. Zu dieser Übersicht und ihrem Stellenwert im Rahmen der Grundschutz-Methodik erfahren Sie in [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html Lektion 7: Risikoanalyse] mehr.
+; Schichtenmodell der Grundschutz-Bausteine
+* Komplexität reduzieren
+* Redundanzen vermeiden
+* Zuständigkeiten bündeln
+* Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen
-; Bausteingliederung
+{{:Grundschutz/Kompendium/Gliederung}}
-* Sie beginnen mit einer '''kurzen Beschreibung''' und Abgrenzung des behandelten Sachverhalts.
-* Es folgt eine Darstellung der spezifischen '''Gefährdungslage''' '''mit Hilfe exemplarischer Gefährdungen'''.
-* Den Kern bilden die in drei Gruppen unterteilten '''Sicherheitsanforderungen''':
-** vorrangig zu erfüllende '''Basis-Anforderungen''',
-** für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende '''Standard-Anforderungen''' sowie
-** Anforderungen für den '''erhöhten Schutzbedarf'''.
-* Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
-Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE. In Großbuchstaben gesetzte Verben zeigen dabei die '''Verbindlichkeit einer''' '''Anforderung'''. Die folgende Tabelle gibt hierzu eine Übersicht:
+== Rollen ==
+{{:Kompendium/Rollen}}
-Verben zur Angabe der Verbindlichkeit
+<noinclude>
-{| class="wikitable sortable options"
+== Anhang ==
-|-
+=== Siehe auch ===
-! | Ausdruck
+{{Special:PrefixIndex/Grundschutz/Kompendium}}
-! | Bedeutung
-|-
-|| MUSS, DARF NUR
-|| So gekennzeichnete Anforderungen müssen unbedingt erfüllt werden.
-|-
-|| DARF NICHT, DARF KEIN
-|| Etwas darf in keinem Fall getan werden.
-|-
-|| SOLLTE
-|| Dieser Ausdruck bedeutet, dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann.
-|-
-|| SOLLTE NICHT, SOLLTE KEIN
-|| Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
-|-
-|}
-=== Schichtenmodell ===
+==== Links ====
-[[Image:Abb_5_02_Schichtenmodell.png?__blob=normal&v=1Bild2.png|top|alt="Das Schichtenmodell des IT-Grundschutz-Kompendiums - Einzelheiten werden im Text erläutert."]]
+===== Weblinks =====
+# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023]
+# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht]
+# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine]
-Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
+[[Kategorie:Grundschutz/Kompendium]]
-* '''Prozess-Bausteine:'''
-** ISMS: Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
-** ORP: Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
-** CON: Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
-** OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
-** DER: Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
-* '''System-Bausteine:'''
-** : Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
-** : -Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
-** : Industrielle (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
-** : Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
-** : Infrastruktur (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
-=== Vorteile des Schichtenmodells ===
-Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen. So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden. Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
-Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind. So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
-Das '''-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''. Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender. Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]). Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
 </noinclude>