IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen

Aktuelle Version vom 25. November 2024, 06:48 Uhr

IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine

Aspekte der Informationssicherheit
Typische Gefährdungen
Typische Sicherheitsanforderungen

Einführung eines Information Security Management Systems (ISMS)

Schrittweise
Praxisnah
Reduzierter Aufwand
Thematische Schichten
Unterschiedliche Aspekte

Gegenstand eines Bausteins

Übergeordnete Themen

Informationssicherheitsmanagement
Notfallmanagement

Spezielle technische Systeme

Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- Mobile Systeme
- Industrielle Steuerungen

Aktualisierung und Erweiterung

Kontinuierlich
Berücksichtigung von Anwenderwünschen
Anpassung an die Entwicklung der zugrunde liegenden Standards
Anpassung an die Gefährdungslage

Schichten

Schichtenmodell der Grundschutz-Bausteine

Komplexität reduzieren
Redundanzen vermeiden
Zuständigkeiten bündeln
Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte

Gliederung

Kapitel	Beschreibung
Einführung	Vorwort/Dankesworte Neuerungen IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Übersicht

Schichten und Bausteine

Schicht	Beschreibung
Prozess-Bausteine
System-Bausteine

Prozess-Bausteine

Kürzel	Titel
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

System-Bausteine

Kürzel	Titel
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netze und Kommunikation
INF	Infrastruktur

Rollen

IT-Grundschutz/Kompendium/Rollen - Definitionen und Zuständigkeiten

Übersicht

Rolle	Aufgabe
Auditteamleitung	Leitung des Auditteams
Auditteam	Fachlich Unterstützung der Auditteamleitung
Bauleitung	Umsetzung von Baumaßnahmen
Benutzende	Informationstechnische Systeme nutzen
Bereichssicherheitsbeauftragte	Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen
Beschaffungsstelle	Initiiert und überwacht Beschaffungen
Brandschutzbeauftragte	Brandschutz
Datenschutzbeauftragte	Gesetzeskonformen Umgang mit personenbezogenen Daten
Compliance-Beauftragte	Vorgaben identifizieren und deren Einhaltung zu prüfen
Entwickelnde	Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen
Errichterfirma	Unternehmen, das Gewerke oder aber auch Gebäude errichtet
Fachabteilung	Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat
Fachverantwortliche	Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig
Haustechnik	Infrastruktur in Gebäuden und Liegenschaften
ICS-Informationssicherheitsbeauftragte	Sicherheit von ICS-Systemen
Informationssicherheitsbeauftragte (ISB)	Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben.
ISMS Management-Team
Institution	Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.
Institutionsleitung	Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit.
IS-Revisionsteam	Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen.
IT-Betrieb	Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet. Die Rolle IT-Betrieb schließt die zuständige Leitung der Organisationseinheit mit ein. Mitarbeitende Die Mitarbeitenden sind Teil einer Institution.
Notfallbeauftragte	Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement. Sie sind für die Erstellung, Umset- zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig. Sie analysieren den Gesamtablauf der Notfallbewältigung nach einem Scha- densereignis.
OT-Betrieb (Operational Technology, OT)	Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig.
OT-Leitung	Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise die verantwortliche Person für die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen. Insbesondere ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen
Personalabteilung
Planende	Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst. Gemeint sind also Personen, die für die Planung und Konzeption bestimmter Aufgaben zuständig sind.
Risikomanager	Person, die alle Aufgaben des Risikomanagements wahrnimmt.
Testende	Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen.
Vorgesetzte	Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal
Wartungspersonal	Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden. Hierbei ist es in der Regel notwendig, dass das Wartungspersonal Zugriff auf die betroffenen Systeme erhält.
Zentrale Verwaltung	Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt. Die Rolle Zentrale Verwaltung schließt die zuständige Leitung der Organisationseinheit mit ein

Anhang

Siehe auch

Links

Weblinks

@@ Zeile 1: / Zeile 1: @@
-'''IT-Grundschutz-Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]
+'''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]
 === Beschreibung ===
-* modular
+Sammlung von Dokumenten (Bausteine)
-* umfangreich
 ; IT-Grundschutz-Bausteine
-* besteht aus den '''IT-Grundschutz-Bausteinen'''
+* Aspekte der Informationssicherheit
-* die in zehn thematische Schichten eingeordnet sind
+* Typische Gefährdungen
-* jeweils unterschiedliche Aspekte betrachten.
+* Typische Sicherheitsanforderungen
-Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug.
+; Einführung eines [[Information Security Management System]]s ([[ISMS]])
-* Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben.
+* Schrittweise
-* Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
+* Praxisnah
+* Reduzierter Aufwand
+* Thematische Schichten
+* Unterschiedliche Aspekte
-; Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben
+; Gegenstand eines Bausteins
-* Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen.
+Übergeordnete Themen
-* Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
+* Informationssicherheitsmanagement
+* Notfallmanagement
+Spezielle technische Systeme
+* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
+** Clients
+** Server
+** Mobile Systeme
+** Industrielle Steuerungen
-; Anforderungen
+; Aktualisierung und Erweiterung
-Die Anforderungen in den Bausteine beschreiben, '''was''' für eine angemessene Sicherheit getan werden sollte.
+* Kontinuierlich
+* Berücksichtigung von Anwenderwünschen
+* Anpassung an die Entwicklung der zugrunde liegenden Standards
+* Anpassung an die Gefährdungslage
-; Umsetzungshinweisen
+=== Schichten ===
-'''Wie''' dies erfolgen kann oder sollte, ist in ergänzenden '''Umsetzungshinweisen''' beschrieben, die das für die meisten Bausteine veröffentlicht.
+[[File:schichtenmodell.png|600px|Schichtenmodell]]
-; IT-Grundschutz-Kataloge
+; Schichtenmodell der Grundschutz-Bausteine
-Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern.
+* Komplexität reduzieren
-* Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
+* Redundanzen vermeiden
-* Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.
+* Zuständigkeiten bündeln
+* Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen
-=== Struktur===
+{{:IT-Grundschutz/Kompendium/Gliederung}}
-; Struktur des IT-Grundschutz-Kompendiums
-Kern des BSI IT-Grundschutz nach 200-x bildet das IT-Grundschutz-Kompendium, das die bisherigen IT-Grundschutzkataloge ablöst.
-* Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut:
-; Prozess-Bausteine
+== Rollen ==
-* ISMS: Enthält den grundlegenden Baustein Sicherheitsmanagement.
+{{:IT-Grundschutz/Kompendium/Rollen}}
-* ORP: Bausteine zu organisatorischen und personellen Sicherheitsaspekten.
-* CON: Bausteine zu Konzepten und Vorgehensweisen.
-* OPS: Bausteine zu Aspekten betrieblicher Art (operativer IT-Betrieb und IT-Betrieb durch Dritte).
-* DER: Bausteine zu Aspekten der Detektion von Sicherheitsvorfällen sowie Reaktion auf Sicherheitsvorfälle.
-; System-Bausteine
-* APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
-* SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
-* NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
-* INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
-* IND: Bausteine zu Sicherheitsaspekten industrieller IT.
-Die ausführliche Beschreibung des modernisierten Grundschutz und des ITGrundschutz-Kompendiums finden Sie auf den Webseiten des BSI.
-=== Schichtenmodell ===
-[[Image:Abb_5_02_Schichtenmodell.png?__blob=normal&v=1Bild2.png|top|alt="Das Schichtenmodell des IT-Grundschutz-Kompendiums - Einzelheiten werden im Text erläutert."]]
-Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
-==== Prozess-Bausteine ====
-* ISMS: Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
-* ORP: Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
-* CON: Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
-* OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
-* DER: Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
-==== System-Bausteine ====
-* APP: Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
-* SYS: IT-Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
-* IND: Industrielle IT (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
-* NET: Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
-* : Infrastruktur (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
-==== Vorteile des Schichtenmodells ====
-Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen.
-* So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden.
-* Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
-Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind.
-* So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
-Das '''-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''.
-* Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender.
-* Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]).
-* Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
-=== Grundschutz-Bausteine ===
-Das Grundschutz-Kompendium ist modular aufgebaut.
-* Den Kern bilden die jeweils rund zehn Seiten langen '''IT-Grundschutz-Bausteine''', in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden.
-* Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
-Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten.
-* Zu dieser Übersicht und ihrem Stellenwert im Rahmen der Grundschutz-Methodik erfahren Sie in [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html Lektion 7: Risikoanalyse] mehr.
-; Bausteingliederung
-* Sie beginnen mit einer '''kurzen Beschreibung''' und Abgrenzung des behandelten Sachverhalts.
-* Es folgt eine Darstellung der spezifischen '''Gefährdungslage''' '''mit Hilfe exemplarischer Gefährdungen'''.
-* Den Kern bilden die in drei Gruppen unterteilten '''Sicherheitsanforderungen''':
-** vorrangig zu erfüllende '''Basis-Anforderungen''',
-** für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende '''Standard-Anforderungen''' sowie
-** Anforderungen für den '''erhöhten Schutzbedarf'''.
-* Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
-Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE.
-* In Großbuchstaben gesetzte Verben zeigen dabei die '''Verbindlichkeit einer''' '''Anforderung'''.
-* Die folgende Tabelle gibt hierzu eine Übersicht:
-{{:Modalverben}}
 <noinclude>
@@ Zeile 109: / Zeile 51: @@
 == Anhang ==
 === Siehe auch ===
-{{Special:PrefixIndex/Grundschutz/Kompendium}}
+{{Special:PrefixIndex/IT-Grundschutz/Kompendium}}
 ==== Links ====
 ===== Weblinks =====
-# https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
+# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023]
+# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht]
-[[Kategorie:Grundschutz/Kompendium]]
+# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine]
+[[Kategorie:IT-Grundschutz/Kompendium]]
 </noinclude>