|
|
(158 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| == Struktur==
| | '''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]] |
| ; Struktur des IT-Grundschutz-Kompendiums
| |
| Kern des BSI IT-Grundschutz nach 200-x bildet das IT-Grundschutz-Kompendium, das die bisherigen IT-Grundschutzkataloge ablöst. Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut:
| |
|
| |
|
| ; Prozess-Bausteine
| | === Beschreibung === |
| * ISMS: Enthält den grundlegenden Baustein Sicherheitsmanagement.
| | Sammlung von Dokumenten (Bausteine) |
| * ORP: Bausteine zu organisatorischen und personellen Sicherheitsaspekten.
| |
| * CON: Bausteine zu Konzepten und Vorgehensweisen.
| |
| * OPS: Bausteine zu Aspekten betrieblicher Art (operativer IT-Betrieb und IT-Betrieb durch Dritte).
| |
| * DER: Bausteine zu Aspekten der Detektion von Sicherheitsvorfällen sowie Reaktion auf Sicherheitsvorfälle.
| |
|
| |
|
| ; System-Bausteine | | ; IT-Grundschutz-Bausteine |
| * APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend. | | * Aspekte der Informationssicherheit |
| * SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
| | * Typische Gefährdungen |
| * NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
| | * Typische Sicherheitsanforderungen |
| * INF: Bausteine zu infrastrukturellen Sicherheitsaspekten. | |
| * IND: Bausteine zu Sicherheitsaspekten industrieller IT. | |
|
| |
|
| Die ausführliche Beschreibung des modernisierten Grundschutz und des ITGrundschutz-Kompendiums finden Sie auf den Webseiten des BSI.
| | ; Einführung eines [[Information Security Management System]]s ([[ISMS]]) |
| <noinclude>
| | * Schrittweise |
| == Anhang ==
| | * Praxisnah |
| === Siehe auch ===
| | * Reduzierter Aufwand |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| | * Thematische Schichten |
| ==== Sicherheit ====
| | * Unterschiedliche Aspekte |
| ==== Dokumentation ====
| |
| ===== RFC =====
| |
| ===== Man-Pages =====
| |
| ===== Info-Pages =====
| |
| ==== Links ====
| |
| ===== Einzelnachweise =====
| |
| <references />
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">'''Antwort1'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
|
| |
|
| [[Kategorie:Grundschutz/Kompendium]]
| | ; Gegenstand eines Bausteins |
| | Übergeordnete Themen |
| | * Informationssicherheitsmanagement |
| | * Notfallmanagement |
| | Spezielle technische Systeme |
| | * Üblicherweise in Unternehmen und Behörden im Einsatz, etwa |
| | ** Clients |
| | ** Server |
| | ** Mobile Systeme |
| | ** Industrielle Steuerungen |
|
| |
|
| = TMP =
| | ; Aktualisierung und Erweiterung |
| === Grundschutz-Bausteine ===
| | * Kontinuierlich |
| Das Grundschutz-Kompendium ist modular aufgebaut. Den Kern bilden die jeweils rund zehn Seiten langen '''-Grundschutz-Bausteine''', in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden. Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
| | * Berücksichtigung von Anwenderwünschen |
| | * Anpassung an die Entwicklung der zugrunde liegenden Standards |
| | * Anpassung an die Gefährdungslage |
|
| |
|
| Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten. Zu dieser Übersicht und ihrem Stellenwert im Rahmen der Grundschutz-Methodik erfahren Sie in [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html Lektion 7: Risikoanalyse] mehr.
| | === Schichten === |
| | [[File:schichtenmodell.png|600px|Schichtenmodell]] |
|
| |
|
| ; Bausteingliederung | | ; Schichtenmodell der Grundschutz-Bausteine |
| * Sie beginnen mit einer '''kurzen Beschreibung''' und Abgrenzung des behandelten Sachverhalts. | | * Komplexität reduzieren |
| * Es folgt eine Darstellung der spezifischen '''Gefährdungslage''' '''mit Hilfe exemplarischer Gefährdungen'''. | | * Redundanzen vermeiden |
| * Den Kern bilden die in drei Gruppen unterteilten '''Sicherheitsanforderungen''': | | * Zuständigkeiten bündeln |
| ** vorrangig zu erfüllende '''Basis-Anforderungen''', | | * Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen |
| ** für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende '''Standard-Anforderungen''' sowie
| |
| ** Anforderungen für den '''erhöhten Schutzbedarf'''.
| |
| * Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
| |
|
| |
|
| Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE. In Großbuchstaben gesetzte Verben zeigen dabei die '''Verbindlichkeit einer''' '''Anforderung'''. Die folgende Tabelle gibt hierzu eine Übersicht:
| | {{:IT-Grundschutz/Kompendium/Gliederung}} |
|
| |
|
| Verben zur Angabe der Verbindlichkeit
| | == Rollen == |
| | {{:Kompendium/Rollen}} |
|
| |
|
| {| class="wikitable sortable options"
| | <noinclude> |
| |-
| |
| ! | Ausdruck
| |
| ! | Bedeutung
| |
| |-
| |
| || MUSS, DARF NUR
| |
| || So gekennzeichnete Anforderungen müssen unbedingt erfüllt werden.
| |
| |-
| |
| || DARF NICHT, DARF KEIN
| |
| || Etwas darf in keinem Fall getan werden.
| |
| |-
| |
| || SOLLTE
| |
| || Dieser Ausdruck bedeutet, dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann.
| |
| |-
| |
| || SOLLTE NICHT, SOLLTE KEIN
| |
| || Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
| |
| |-
| |
| |}
| |
|
| |
|
| === Schichtenmodell === | | == Anhang == |
| [[Image:Abb_5_02_Schichtenmodell.png?__blob=normal&v=1Bild2.png|top|alt="Das Schichtenmodell des IT-Grundschutz-Kompendiums - Einzelheiten werden im Text erläutert."]]
| | === Siehe auch === |
| | {{Special:PrefixIndex/IT-Grundschutz/Kompendium}} |
|
| |
|
| Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
| | ==== Links ==== |
| | | ===== Weblinks ===== |
| * '''Prozess-Bausteine:'''
| | # [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023] |
| ** ISMS: Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
| | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht] |
| ** ORP: Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
| | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] |
| ** CON: Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
| |
| ** OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
| |
| ** DER: Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
| |
| * '''System-Bausteine:'''
| |
| ** : Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
| |
| ** : -Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
| |
| ** : Industrielle (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
| |
| ** : Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
| |
| ** : Infrastruktur (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
| |
| | |
| === Vorteile des Schichtenmodells ===
| |
| Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen. So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden. Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
| |
| | |
| Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind. So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
| |
|
| |
|
| Das '''-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''. Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender. Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]). Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
| | [[Kategorie:IT-Grundschutz/Kompendium]] |
| </noinclude> | | </noinclude> |