|
|
| (239 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''IT-Grundschutz''' - vom [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen | | '''IT-Grundschutz''' - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS) |
|
| |
|
| == Beschreibung == | | == Beschreibung == |
| ; Als '''IT-Grundschutz''' bezeichnet die [[Bundesverwaltung (Deutschland)|Bundesverwaltung]] eine vom [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen [[Informationstechnik|Informationstechnik (IT)]].
| | <div class="float" style="width: 40%"> |
| * Das ''Ziel'' des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme.
| | {{:BSI/Uebersicht}} |
| * Zum Erreichen des Ziels empfiehlt das [[IT-Grundschutz-Kompendium]] (vormals: [[IT-Grundschutz-Kataloge]]) technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen. | | </div> |
| | |
| | Identifizieren und Umsetzen von Sicherheitsmaßnahmen |
| | * [[Informationssicherheit]] |
| | * [[Informationstechnik|Informationstechnik (IT)]] |
|
| |
|
| ; Wie auch im Bundesdatenschutzgesetz werden die Begriffe Sicherheit und Schutz vermengt | | ; Bestandteile |
| * Der IT-Grundschutz ist ein griffiger Titel für eine Zusammenstellung von grundlegenden [[Sicherheit]]smaßnahmen und dazu ergänzenden [[Sicherheit|Schutz]]programmen für Behörden und Unternehmen.
| | {| class="wikitable options" |
| * Damit werden auch technische Maßnahmen für Datenschutz umgesetzt, aber aufgrund eines anderen Schutzobjekts, nämlich den einzelnen Betroffenen, kann IT-Grundschutz die operativen Anforderungen des Datenschutzes nicht erfüllen.
| | |- |
| * In methodischer Analogie zum IT-Grundschutz ist dafür das [[Standard-Datenschutzmodell]] (SDM) entwickelt worden, das auch die Basis für ein entwickeltes Datenschutz-Management ist.
| | | [[BSI/Standard|Standard]]s || Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
| | |- |
| | | [[Kompendium]] || mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
| | |} |
|
| |
|
| ; Unternehmen und Behörden können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]) gegen Gefährdungen der [[IT-Sicherheit]] mit Hilfe des ''ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz'' nachweisen. | | ; Sicherheitsniveau |
| | * Mittel |
| | * Im Allgemeinen ausreichend und angemessen |
| | * Erweiterbar für erhöhten Schutzbedarf |
| | <br clear=all> |
|
| |
|
| ; BSI-Standards und IT-Grundschutz-Kataloge
| | === Anforderungen === |
| ; Durch die Umstrukturierung und Erweiterung des [[IT-Grundschutz-Kataloge|IT-Grundschutzhandbuchs]] im Jahr 2006 durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) wurden die ''Methodik'' und die ''IT-Grundschutz-Kataloge'' getrennt.
| | {| class="wikitable options big" |
| * Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der [[ISO/IEC 27001]] an.
| | |- |
| | ! Bereich !! Beschreibung |
| | |- |
| | | Technisch || Geräte, [[Netzwerke]], Strukturen, ... |
| | |- |
| | | Infrastrukturell || Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
| | |- |
| | | Organisatorisch || [[Ablauforganisation]], [[Aufbauorganisation]] |
| | |- |
| | | Personell || [[IT-Grundschutz/Kompendium/Rollen|Rollen]], [[Zuständigkeiten]], [[Schnittstellen]], [[Informationsaustausch]], ... |
| | |} |
|
| |
|
| ; Die frei verfügbaren ''BSI-Standards'' enthalten Angaben zum Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] und zur Umsetzung des IT-Grundschutzes. | | === Zertifizierung === |
| * Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab<ref>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html ''BSI-Standards'']</ref>. | | ; ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz |
| * Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem [[BS 25999]] sowie dem [[ITIL]] Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
| | Nachweis eines |
| * Mit Umsetzung dieses Standards ist eine [[Zertifizierung]] gemäß BS 25999-2 möglich.
| | * Systematischen Vorgehens ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]) |
| * Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
| | * Absicherung von [[IT-System]]en gegen [[Gefährdung]]en |
|
| |
|
| == Konzept == | | === Bedeutung von Informationen === |
| ; Basis eines ''IT-Grundschutzkonzepts'' ist der initiale Verzicht auf eine detaillierte Risikoanalyse | | ; Wichtigkeit und Bedeutung von Informationen |
| * Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet.
| | Für Unternehmen und Behörden ist es unerlässlich, dass [[Informationen]] |
| * Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt.
| | * korrekt vorliegen |
| | * vertraulich behandelt werden |
|
| |
|
| ; Basierend auf den ''IT-Grundschutz-Katalogen'' des deutschen BSI bietet der ''BSI-Standard 100-2'' (vor 2006 ''IT-Grundschutzhandbuch'') ein „Kochrezept“ für ein normales Schutzniveau. | | ; Entsprechend wichtig ist, dass |
| * Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. | | '''Technischen Systeme''', mit denen Informationen gespeichert, verarbeitet oder übertragen werden |
| * Durch die Verwendung der ''IT-Grundschutz-Kataloge'' entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
| | * '''reibungslos funktionieren''' |
| * Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
| | * '''wirksam''' gegen vielfältige Gefährdungen '''geschützt''' sind |
|
| |
|
| ; Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben.
| | == IT-Grundschutz des BSI == |
| * In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten [[Auditor]].
| | ; Grundlage |
| * Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]].
| | * Herausforderungen professionell gerecht werden |
| * Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht. | | * Bemühungen für Informationssicherheit strukturieren |
| * Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet. | |
| * Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen.
| |
| * Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI.
| |
| * Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.
| |
| * Früher wurde auch ein [[GSTOOL]] angeboten, dessen Vertrieb und Support jedoch eingestellt wurde.
| |
|
| |
|
| ; Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde. | | ; IT-Grundschutz ermöglicht |
| * Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.
| | * Systematische Schwachstellensuche |
| | * Prüfen der Angemessenheit von Schutzmaßnahmen |
| | * Sicherheitskonzepte entwickeln und fortschreiben |
| | ** passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution |
| | * Allgemein anerkannten Standards zu genügen |
| | * [[Best Practice]] |
|
| |
|
| | == Wege zur Informationssicherheit == |
| | Es gibt viele Wege zur Informationssicherheit |
| | * Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten |
| | * Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein |
|
| |
|
| == BSI-Standards == | | === Herausforderungen === |
| {| class="wikitable sortable options" | | {| class="wikitable options big" |
| | |- |
| | ! Herausforderung !! Beschreibung |
| |- | | |- |
| ! Standard !! Titel !! Beschreibung
| | | Komplexität || '''Komplexität der Gefährdungslage''' |
| | * Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt |
| |- | | |- |
| | [[BSI-Standard 200-1]] || Managementsysteme für Informationssicherheit || Erläutert den Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] | | | Ganzheitlichkeit || '''Ganzheitlichkeit der Sicherheitskonzepte''' |
| | * Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe |
| |- | | |- |
| | [[BSI-Standard 200-2]] || IT-Grundschutz-Methodik || Beschreibt die grundlegenden Vorgehensweisen nach IT-Grundschutz | | | Zusammenwirken || '''Zusammenwirken der Sicherheitsmaßnahmen''' |
| | * Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden |
| |- | | |- |
| | [[BSI-Standard 200-3]] || Risikomanagement“ || Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf aufbauend auf einer durchgeführten IT-Grundschutzerhebung | | | Angemessenheit || '''Angemessenheit der Sicherheitsmaßnahmen''' |
| | * Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten |
| | * Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern |
| | * Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden |
| |- | | |- |
| | [[BSI-Standard 100-4]] || Notfallmanagement || Wesentliche Aspekte für ein angemessenes [[Business Continuity Management]] (BCM) | | | Externe Anforderungen || '''Erfüllung externer Anforderungen''' |
| | * Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben |
| | * Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet |
| |- | | |- |
| | [[BSI-Standard 200-4]] || (Titel: „Business Continuity Management“) || Befindet sich in Arbeit, ein Community Draft ist verfügbar | | | Nachhaltigkeit || '''Nachhaltigkeit der Sicherheitsmaßnahmen''' |
| | * Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand |
| | * Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter |
| | * Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln |
| |} | | |} |
| | [[Kategorie:IT-Grundschutz]] |
|
| |
|
| == IT-Grundschutz-Kataloge ==
| |
| Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern.
| |
| * Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
| |
| * Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.<ref>{{Literatur |Autor=Olof Leps |Titel=Hybride Testumgebungen in der Informationssicherheit: Effiziente Sicherheitsanalysen für Industrieanlagen |Sammelwerk=Hybride Testumgebungen für Kritische Infrastrukturen |Verlag=Springer Vieweg, Wiesbaden |Datum=2018 |ISBN=9783658226138 |DOI=10.1007/978-3-658-22614-5_4 |Seiten=41–68 |Online=https://link.springer.com/chapter/10.1007/978-3-658-22614-5_4 |Abruf=2018-12-30}}</ref>
| |
|
| |
|
| == Vorgehensweise == | | === Konzept === |
| ; IT-Grundschutzvorgehensweise | | ; Verzicht auf initiale Risikoanalysen |
| # Definition des Informationsverbundes
| | Pauschale Gefährdungen |
| # Durchführung einer Strukturanalyse
| | * Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet |
| # Durchführung einer Schutzbedarfsfeststellung
| |
| # Modellierung
| |
| # Durchführung des IT-Grundschutz-Checks
| |
| # Risikoanalyse
| |
| # Konsolidierung der Maßnahmen
| |
| # Umsetzung der IT-Grundschutzmaßnahmen
| |
|
| |
|
| === Informationsverbund === | | === Schutzbedarf === |
| ; Unter einem Informationsverbund ist die Gesamtheit von [[infrastruktur]]ellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der [[Elektronische Datenverarbeitung|Informationsverarbeitung]] dienen. | | ; Drei Schutzbedarfskategorien |
| * Ein Informationsverbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche umfassen, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame [[Anwendungsprogramm|IT-Anwendungen]] (z. B. Personalinformationssystem) gegliedert sind.
| | [[Schutzbedarf]] des Untersuchungsgegenstandes festlegen |
| | {| class="wikitable options" |
| | |- |
| | ! Kategorie !! Schaden |
| | |- |
| | | Normal || überschaubar |
| | |- |
| | | Hoch || beträchtlich |
| | |- |
| | | Sehr Hoch || existenzgefährdend |
| | |} |
|
| |
|
| === Strukturanalyse === | | === Anforderungen === |
| ; Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. | | ; Sicherheitsmaßnahmen |
| * Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein [[Netztopologieplan]] als Ausgangsbasis für die Analyse an.
| | Passende Sicherheitsmaßnahmen auswählen |
| * Die folgenden Aspekte müssen berücksichtigt werden:
| |
| * die vorhandene [[Infrastruktur]],
| |
| * die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
| |
| * im Informationsverbund eingesetzte vernetzte und nicht-vernetzte [[Informationstechnisches System|IT-Systeme]],
| |
| * die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
| |
| * im Informationsverbund betriebene IT-Anwendungen.
| |
|
| |
|
| === Schutzbedarfsfeststellung ===
| | ; [[IT-Grundschutz-Kompendium]] |
| ; Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. | | * personell |
| * Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. | | * technisch |
| * Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden. | | * organisatorisch |
| * Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“<ref>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile</ref>. | | * infrastrukturell |
| * Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet. | |
|
| |
|
| ; Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen. | | === Kochrezepte === |
| * Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes [[Maximumprinzip]]).
| | ; Basierend auf dem [[IT-Grundschutz/Kompendium|IT-Grundschutz-Kompendium]] |
| | BSI-Standard 200-2 bietet „Kochrezepte“ für ein [[Normales Schutzniveau]] |
|
| |
|
| ; Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen. | | ; Eintrittswahrscheinlichkeit und Schadenshöhe |
| * In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen ([[Kumulationseffekt]]).
| | Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt |
|
| |
|
| ; Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen ([[Verteilungseffekt]]). | | ; IT-Grundschutz-Kompendium |
| * Dies ist z. B. bei Clustern der Fall. | | Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse |
| | * das Expertenwissen erfordert |
| | * da anfangs mit pauschalisierten Gefährdungen gearbeitet wird |
| | * Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen |
|
| |
|
| === Modellierung ===
| | ; Erfolgreiche Umsetzung |
| ; Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt. | | Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben |
| * In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw.
| | * Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]] |
| * IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. | | * Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht |
| * Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten. | | * Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet |
| * Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur. | | * Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen |
| * Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden. | | * Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI |
| * Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbundes abgebildet werden.
| | * Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an |
|
| |
|
| === IT-Grundschutz-Check ===
| | ; Datenschutz |
| ; Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium.
| | Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde |
| * Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält.
| | * Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung |
| * Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist. | |
| * Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche.
| |
|
| |
|
| ; Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet.
| | <noinclude> |
| * Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
| |
| * Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
| |
| | |
| ; Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich).
| |
| * Daraus folgt was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen.
| |
| * Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kernabsicherung.
| |
| * Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf).
| |
| | |
| ; Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheit]]s-Konzepte, wie zum Beispiel nach [[ISO/IEC 27001]] angewandt.
| |
| | |
| === Risikoanalyse ===
| |
| ; Im Anschluss an den IT-Grundschutz-Check folgt eine Risikoanalyse. (Mit der Neuauflage der Grundschutz-Methodik (BSI Standard 200-2) wurde der Zwischenschritt einer "ergänzenden Sicherheitsanalyse" gestrichen.) Die Risikoanalyse kann mit Hilfe des BSI-Standards 200-3 durchgeführt werden.
| |
|
| |
|
| <noinclude>
| |
| == Anhang == | | == Anhang == |
| === Siehe auch === | | === Projekt === |
| {{Special:PrefixIndex/Grundschutz}}
| | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz Startseite des [[BSI]]] |
| | |
| ==== Dokumentation ====
| |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html ''BSI-Standard 200-1: Managementsysteme für Informationssicherheit''] | |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html ''BSI-Standard 200-2: IT-Grundschutz-Methodik'']
| |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html ''BSI-Standard 200-3: Risikomanagement'']
| |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-100-4-Notfallmanagement/bsi-standard-100-4-notfallmanagement_node.html ''BSI-Standard 100-4: Notfallmanagement'']
| |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html ''BSI-Standard 200-4: Business Continuity Management (Community Draft)'']
| |
|
| |
|
| ==== Links ====
| | === Weblinks === |
| ===== Einzelnachweise =====
| |
| <references />
| |
| | |
| ===== Projekt =====
| |
| | |
| ===== Weblinks =====
| |
| # https://de.wikipedia.org/wiki/IT-Grundschutz | | # https://de.wikipedia.org/wiki/IT-Grundschutz |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz] – Seite beim ''[[Bundesamt für Sicherheit in der Informationstechnik]]''
| |
| # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it-grundschutztools_node.html Tools zum IT-Grundschutz]
| |
| # [https://www.initiative-s.de/de/index.html Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft"] Service des [[Eco – Verband der deutschen Internetwirtschaft|eco Verband der deutschen Internetwirtschaft e.V]] gefördert durch das [[Bundesministerium für Wirtschaft und Technologie]] (BMWi)
| |
|
| |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">'''Antwort1'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
|
| |
| [[Kategorie:Grundschutz]]
| |
| [[Kategorie:IT-Management]]
| |
|
| |
| = TMP =
| |
| = Einstieg =
| |
| Für Unternehmen und Behörden ist es heutzutage unerlässlich, dass '''Informationen''' korrekt vorliegen und vertraulich behandelt werden. Entsprechend wichtig ist auch, dass die '''technischen Systeme,''' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und '''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt''' sind.
| |
|
| |
| * Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
| |
| * Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
| |
| * Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
| |
| * Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
| |
|
| |
| Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem '''-Grundschutz''' beschäftigen. Dort wird detailliert beschrieben, welche '''Anforderungen''' erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen. Er bietet zudem eine weithin anerkannte '''Methodik''', mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
| |
|
| |
| Es gibt viele Wege zur Informationssicherheit, mit dem -Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten. Bildlich gesprochen: '''-Grundschutz ist nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit!'''
| |
|
| |
| = Warum Grundschutz? =
| |
| Informationssicherheit muss '''vielfältigen Herausforderungen''' gerecht werden:
| |
|
| |
| * '''Komplexität der Gefährdungslage:''' Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
| |
| * '''Ganzheitlichkeit der Sicherheitskonzepte:''' Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
| |
| * '''Zusammenwirken der Sicherheitsmaßnahmen:''' Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
| |
| * '''Angemessenheit der Sicherheitsmaßnahmen:''' Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten. Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern. Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
| |
| * '''Erfüllung externer Anforderungen:''' Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben. Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
| |
| * '''Nachhaltigkeit der Sicherheitsmaßnahmen:''' Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand. Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter. Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
| |
|
| |
| Der '''-Grundschutz des''' bietet eine gute Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren. Er ermöglicht es Unternehmen und Behörden, systematisch nach Schwachstellen zu suchen, die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen und Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen und allgemein anerkannten Standards genügen.
| |
|
| |
| = Grundschutz - Bestandteile =
| |
| Das Angebot des zum -Grundschutz besteht aus einer Reihe von Einzelkomponenten. Den Kern bilden
| |
|
| |
| * die -Standards zum -Grundschutz mit Empfehlungen für den organisatorischen Rahmen und das methodische Vorgehen zur Gewährleistung von Informationssicherheit sowie
| |
| * das -Grundschutz-Kompendium, mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können.
| |
|
| |
| In diesem Kurs werden Sie diese Veröffentlichungen genauer kennenlernen und erfahren, welche Hilfestellungen sie Ihnen bei der Steuerung der Informationssicherheit in Ihrer Institution im Einzelnen geben. Nachfolgend einige grundlegende Informationen zur Einordnung dieser und weiterer Dokumente und Hilfsmittel zum -Grundschutz.
| |
|
| |
| = Standards zum Grundschutz =
| |
| Der -Standard 200-1: ''Managementsysteme für Informationssicherheit ()'' beschreibt, welche grundlegenden Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss, welche Komponenten es enthält und welche Aufgaben zu bewältigen sind. Die Darstellung orientiert sich an den Vorgaben der Norm 27001 und weiterer aktueller internationaler Standards zur Informationssicherheit.
| |
|
| |
| Der -Standard 200-2: ''-Grundschutz-Methodik'' bietet methodische Hilfestellungen zur schrittweisen Einführung eines ISMS in einer Institution an und beschreibt effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.
| |
|
| |
| In dem -Standard 200-3: ''Risikoanalyse auf der Basis von -Grundschutz'' ist ein gegenüber anderen Methoden vereinfachtes Verfahren zur Risikoanalyse beschrieben. Diese Methode ist dann wichtig und hilfreich, wenn Komponenten abzusichern sind, bei denen fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.
| |
|
| |
| = Grundschutz-Kompendium =
| |
| Das -Grundschutz-Kompendium ist ein modular aufgebautes umfangreiches '''Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit'''. Es besteht aus den '''-Grundschutz-Bausteinen''', die in zehn thematische Schichten eingeordnet sind und jeweils unterschiedliche Aspekte betrachten.
| |
|
| |
| Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug. Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben. Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
| |
|
| |
| Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben: Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen. Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
| |
|
| |
| Die Anforderungen in den Bausteine beschreiben, '''was''' für eine angemessene Sicherheit getan werden sollte. '''Wie''' dies erfolgen kann oder sollte, ist in ergänzenden '''Umsetzungshinweisen''' beschrieben, die das für die meisten Bausteine veröffentlicht.
| |
|
| |
| == Weitere Veröffentlichungen und Hilfsmittel ==
| |
| Darüber hinaus bietet das weitere Dokumente, Werkzeuge und Hilfsmittel an, die dabei unterstützen ein angemessenes Sicherheitsniveau umzusetzen. Hier sind die -Grundschutz-Profile zu nennen, Musterlösungen für ausgewählte Anwendungsbereiche, die Unternehmen oder Behörden einer Branche als Schablone für die Entwicklung ihrer Sicherheitskonzepte verwenden können. Ebenso die 27001 Zertifizierung auf der Basis von -Grundschutz, mit der eine Institution belegen kann, dass ihr Umgang mit Informationssicherheit sowie die umgesetzten technischen und organisatorischen Maßnahmen anerkannten Standards entsprechen.
| |
|
| |
| Die '''Webseiten des''' zum '''Thema -Grundschutz''' informieren umfassend über diese und weitere nützliche Angebote. Sie finden dort ebenfalls elektronische Versionen der -Standards und des -Grundschutz-Kompendiums sowie Hinweise zum Bezug der gedruckten Fassungen dieser Dokumente.
| |
|
| |
| Zur Unterstützung der -Grundschutz-Methodik gibt es auch von unterschiedlichen Herstellern eine Reihe an '''Software-Tools'''. Der Einsatz eines solchen Werkzeugs ist zweckmäßig und ab einer gewissen Größe der Institution auch anzuraten. Im Informationsangebot des finden Sie auch hierzu eine Übersicht und weitere Hinweise.
| |
|
| |
| Falls Sie den '''fachlichen Austausch zum -Grundschutz''' suchen und mit anderen Anwendern und Interessenten in Kontakt treten möchten, haben Sie hierzu in einer eigenen Gruppe zum -Grundschutz bei XING Gelegenheit. Wenn Sie zeitnah über den -Grundschutz auf dem Laufenden bleiben möchten, können Sie sich ferner beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen (zur Registrierung).
| |
|
| |
| = Über diesen Kurs =
| |
| Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit. So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt. Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren. Die im -Standard 200-2 beschriebene '''-Grundschutz-Methodik''' sieht daher '''drei Varianten''' vor, mit denen eine Institution ein ihren Anforderungen und Gegebenheiten gemäßes Sicherheitsniveau erreichen kann:
| |
|
| |
| * Die '''Basis-Absicherung''' bietet einen einfachen Einstieg in das systematische Management der Informationssicherheit und zeigt, wie eine Institution ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen ihr Sicherheitsniveau durch die Erfüllung besonders wichtiger Basis-Anforderungen signifikant erhöhen kann. Wenn Sie genauer wissen möchten, wie es geht: Der Leitfaden zur Basis-Absicherung nach -Grundschutz: In drei Schritten zur Informationssicherheit liefert einen kompakten und übersichtlichen Einstieg in das besonders für kleine und mittlere Unternehmen und Behörden interessante Vorgehen.
| |
| * Mit Hilfe der '''Standard-Absicherung''' kann eine Institution ausgehend von einer systematischen Erfassung der verschiedenen Komponenten, die im Sicherheitskonzept zu berücksichtigen sind, und der Bewertung ihres Schutzbedarfs mit Hilfe des -Grundschutz-Kompendiums und mit in Einzelfällen zusätzlich erforderlichen Risikoanalysen eine umfassende Absicherung erreichen.
| |
| * Die '''Kern-Absicherung''' umfasst alle Schritte der Standard-Absicherung, konzentriert sich dabei aber auf ausgewählte, besonders wichtige Bereiche (die „Kronjuwelen“) einer Institution.
| |
|
| |
| == Gliederung ==
| |
| Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat. Was dazu gehört, erfahren Sie in diesem Kurs in der Lektion 2: ''Warum Sicherheitsmanagement?''
| |
|
| |
| In darauf folgenden Lektionen lernen Sie detailliert die einzelnen '''Schritte bei der Standard-Absicherung''' gemäß -Grundschutz kennen:
| |
|
| |
| * Lektion 3: ''Strukturanalyse'',
| |
| * Lektion 4: ''Schutzbedarfsfeststellung'',
| |
| * Lektion 5: ''Modellierung gemäß -Grundschutz'',
| |
| * Lektion 6: ''-Grundschutz-Check'',
| |
| * Lektion 7: ''Risikoanalyse'' und
| |
| * Lektion 8: ''Umsetzungsplanung''.
| |
|
| |
| Sicherheit ist kein einmal herzustellender Zustand, sondern ein kontinuierlicher Prozess, bei dem einmal getroffene Entscheidungen und umgesetzte Maßnahmen immer wieder auf ihre Angemessenheit und Wirksamkeit geprüft und an neue Gegebenheiten angepasst werden müssen. In der abschließenden Lektion 9: ''Aufrechterhaltung und Verbesserung'' lernen Sie Verfahren kennen, mit denen Sie für ein nachhaltig gutes Sicherheitsniveau in Ihrer Einrichtung sorgen können. Dort erfahren Sie auch mehr zur '''Zertifizierung gemäß 27001 auf der Basis von -Grundschutz'''.
| |
|
| |
| == Das Beispielunternehmen RECPLAST ==
| |
| Die einzelnen Schritte der -Grundschutz-Methodik werden mithilfe eines durchgängig verwendeten Beispiels veranschaulicht. Es handelt sich dabei um das fiktive Unternehmen RECPLAST , das auch in den -Standards als Beispiel dient. Dort wie auch im Kurs werden Ihnen Auszüge aus den Ergebnisdokumenten der verschiedenen Phasen der -Grundschutz-Methodik vorgestellt. Eine umfassende Darstellung finden Sie in einem eigenem -Dokument.
| |
|
| |
|
| |
|
| | [[Kategorie:IT-Grundschutz]] |
| </noinclude> | | </noinclude> |