IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen

Aus Foxwiki
 
(139 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]
=== Beschreibung ===
=== Beschreibung ===
Das IT-Grundschutz-Kompendium ist ein modular aufgebautes umfangreiches '''Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit'''.
Sammlung von Dokumenten (Bausteine)
* Es besteht aus den '''-Grundschutz-Bausteinen''', die in zehn thematische Schichten eingeordnet sind und jeweils unterschiedliche Aspekte betrachten.
 
Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug.
* Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben.
* Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
 
Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben: Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen.
* Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
 
Die Anforderungen in den Bausteine beschreiben, '''was''' für eine angemessene Sicherheit getan werden sollte. '''Wie''' dies erfolgen kann oder sollte, ist in ergänzenden '''Umsetzungshinweisen''' beschrieben, die das für die meisten Bausteine veröffentlicht.
 
=== IT-Grundschutz-Kataloge ===
Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern.
* Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
* Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.
 
=== Struktur===
; Struktur des IT-Grundschutz-Kompendiums
Kern des BSI IT-Grundschutz nach 200-x bildet das IT-Grundschutz-Kompendium, das die bisherigen IT-Grundschutzkataloge ablöst. Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut:
 
; Prozess-Bausteine
* ISMS: Enthält den grundlegenden Baustein Sicherheitsmanagement.
* ORP: Bausteine zu organisatorischen und personellen Sicherheitsaspekten.
* CON: Bausteine zu Konzepten und Vorgehensweisen.
* OPS: Bausteine zu Aspekten betrieblicher Art (operativer IT-Betrieb und IT-Betrieb durch Dritte).
* DER: Bausteine zu Aspekten der Detektion von Sicherheitsvorfällen sowie Reaktion auf Sicherheitsvorfälle.
 
; System-Bausteine
* APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
* SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
* NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
* INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
* IND: Bausteine zu Sicherheitsaspekten industrieller IT.
 
Die ausführliche Beschreibung des modernisierten Grundschutz und des ITGrundschutz-Kompendiums finden Sie auf den Webseiten des BSI.
 
=== Schichtenmodell ===
[[Image:Abb_5_02_Schichtenmodell.png?__blob=normal&v=1Bild2.png|top|alt="Das Schichtenmodell des IT-Grundschutz-Kompendiums - Einzelheiten werden im Text erläutert."]]
 
Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
 
* '''Prozess-Bausteine:'''
** ISMS: Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
** ORP: Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
** CON: Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
** OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
** DER: Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
* '''System-Bausteine:'''
** : Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
** : -Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
** : Industrielle (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
** : Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
** : Infrastruktur (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
 
==== Vorteile des Schichtenmodells ====
Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen. So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden. Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
 
Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind. So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.


Das '''-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''. Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender. Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]). Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
; IT-Grundschutz-Bausteine
* Aspekte der Informationssicherheit
* Typische Gefährdungen
* Typische Sicherheitsanforderungen


=== Grundschutz-Bausteine ===
; Einführung eines [[Information Security Management System]]s ([[ISMS]])
Das Grundschutz-Kompendium ist modular aufgebaut. Den Kern bilden die jeweils rund zehn Seiten langen '''-Grundschutz-Bausteine''', in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden. Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
* Schrittweise
* Praxisnah
* Reduzierter Aufwand
* Thematische Schichten
* Unterschiedliche Aspekte


Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten. Zu dieser Übersicht und ihrem Stellenwert im Rahmen der Grundschutz-Methodik erfahren Sie in [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html Lektion 7: Risikoanalyse] mehr.
; Gegenstand eines Bausteins
Übergeordnete Themen
* Informationssicherheitsmanagement
* Notfallmanagement
Spezielle technische Systeme
* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
** Clients
** Server
** Mobile Systeme
** Industrielle Steuerungen


; Bausteingliederung
; Aktualisierung und Erweiterung
* Sie beginnen mit einer '''kurzen Beschreibung''' und Abgrenzung des behandelten Sachverhalts.
* Kontinuierlich
* Es folgt eine Darstellung der spezifischen '''Gefährdungslage''' '''mit Hilfe exemplarischer Gefährdungen'''.
* Berücksichtigung von Anwenderwünschen
* Den Kern bilden die in drei Gruppen unterteilten '''Sicherheitsanforderungen''':
* Anpassung an die Entwicklung der zugrunde liegenden Standards
** vorrangig zu erfüllende '''Basis-Anforderungen''',
* Anpassung an die Gefährdungslage
** für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende '''Standard-Anforderungen''' sowie
** Anforderungen für den '''erhöhten Schutzbedarf'''.
* Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.


Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE. In Großbuchstaben gesetzte Verben zeigen dabei die '''Verbindlichkeit einer''' '''Anforderung'''. Die folgende Tabelle gibt hierzu eine Übersicht:
=== Schichten ===
[[File:schichtenmodell.png|600px|Schichtenmodell]]


Verben zur Angabe der Verbindlichkeit
; Schichtenmodell der Grundschutz-Bausteine
* Komplexität reduzieren
* Redundanzen vermeiden
* Zuständigkeiten bündeln
* Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen


{| class="wikitable options"
{{:IT-Grundschutz/Kompendium/Gliederung}}
|-  
! | Ausdruck
! | Bedeutung
|-
|| MUSS, DARF NUR
|| So gekennzeichnete Anforderungen müssen unbedingt erfüllt werden.
|-
|| DARF NICHT, DARF KEIN
|| Etwas darf in keinem Fall getan werden.
|-
|| SOLLTE
|| Dieser Ausdruck bedeutet, dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann.
|-
|| SOLLTE NICHT, SOLLTE KEIN
|| Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
|-
|}


== Rollen ==
{{:IT-Grundschutz/Kompendium/Rollen}}


<noinclude>
<noinclude>
Zeile 104: Zeile 51:
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz/Kompendium}}
{{Special:PrefixIndex/IT-Grundschutz/Kompendium}}


==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine]


=== Testfragen ===
[[Kategorie:IT-Grundschutz/Kompendium]]
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Grundschutz/Kompendium]]
 
</noinclude>
</noinclude>

Aktuelle Version vom 25. November 2024, 06:48 Uhr

IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine
  • Aspekte der Informationssicherheit
  • Typische Gefährdungen
  • Typische Sicherheitsanforderungen
Einführung eines Information Security Management Systems (ISMS)
  • Schrittweise
  • Praxisnah
  • Reduzierter Aufwand
  • Thematische Schichten
  • Unterschiedliche Aspekte
Gegenstand eines Bausteins

Übergeordnete Themen

  • Informationssicherheitsmanagement
  • Notfallmanagement

Spezielle technische Systeme

  • Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
    • Clients
    • Server
    • Mobile Systeme
    • Industrielle Steuerungen
Aktualisierung und Erweiterung
  • Kontinuierlich
  • Berücksichtigung von Anwenderwünschen
  • Anpassung an die Entwicklung der zugrunde liegenden Standards
  • Anpassung an die Gefährdungslage

Schichten

Schichtenmodell

Schichtenmodell der Grundschutz-Bausteine
  • Komplexität reduzieren
  • Redundanzen vermeiden
  • Zuständigkeiten bündeln
  • Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte

Gliederung

Kapitel Beschreibung
Einführung
  • Vorwort/Dankesworte
  • Neuerungen
  • IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Übersicht

Schichten und Bausteine
Schicht Beschreibung
Prozess-Bausteine
System-Bausteine

Prozess-Bausteine

Kürzel Titel
ISMS Sicherheitsmanagement
ORP Organisation und Personal
CON Konzeption und Vorgehensweise
OPS Betrieb
DER Detektion und Reaktion

System-Bausteine

Kürzel Titel
APP Anwendungen
SYS IT-Systeme
IND Industrielle IT
NET Netze und Kommunikation
INF Infrastruktur


Rollen

IT-Grundschutz/Kompendium/Rollen - Definitionen und Zuständigkeiten

Übersicht

Rolle Aufgabe
Auditteamleitung Leitung des Auditteams
Auditteam Fachlich Unterstützung der Auditteamleitung
Bauleitung Umsetzung von Baumaßnahmen
Benutzende Informationstechnische Systeme nutzen
Bereichssicherheitsbeauftragte Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen
Beschaffungsstelle Initiiert und überwacht Beschaffungen
Brandschutzbeauftragte Brandschutz
Datenschutzbeauftragte Gesetzeskonformen Umgang mit personenbezogenen Daten
Compliance-Beauftragte Vorgaben identifizieren und deren Einhaltung zu prüfen
Entwickelnde Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen
Errichterfirma Unternehmen, das Gewerke oder aber auch Gebäude errichtet
Fachabteilung Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat
Fachverantwortliche Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig
Haustechnik Infrastruktur in Gebäuden und Liegenschaften
ICS-Informationssicherheitsbeauftragte Sicherheit von ICS-Systemen
Informationssicherheitsbeauftragte (ISB)

Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben.

ISMS Management-Team
Institution Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.
Institutionsleitung Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit.
IS-Revisionsteam Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen.
IT-Betrieb Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet.
  • Die Rolle IT-Betrieb schließt die zuständige Leitung der Organisationseinheit mit ein.

Mitarbeitende Die Mitarbeitenden sind Teil einer Institution.

Notfallbeauftragte Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement.
  • Sie sind für die Erstellung, Umset-

zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig.

  • Sie analysieren den Gesamtablauf der Notfallbewältigung nach einem Scha-

densereignis.

OT-Betrieb (Operational Technology, OT) Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig.
OT-Leitung Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
  • die verantwortliche Person für

die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen.

  • Insbesondere

ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen

Personalabteilung
Planende Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst.
  • Gemeint sind also Personen, die für die Planung und Konzeption bestimmter Aufgaben zuständig sind.
Risikomanager Person, die alle Aufgaben des Risikomanagements wahrnimmt.
Testende Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen.
Vorgesetzte Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal
Wartungspersonal Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden.
  • Hierbei ist es in der Regel notwendig, dass das Wartungspersonal Zugriff auf die betroffenen Systeme erhält.
Zentrale Verwaltung Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt.
  • Die Rolle Zentrale Verwaltung schließt die zuständige Leitung der Organisationseinheit mit ein



Anhang

Siehe auch

Links

Weblinks
  1. IT_Grundschutz_Kompendium_Edition2023
  2. Übersicht
  3. Grundschutz-Bausteine