IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(64 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''IT-Grundschutz/Profile''' - Schablonen für die Informationssicherheit
== Beschreibung ==
 
[[File:10000201000007D300000561EF3AF451B178B383.png|mini]]
=== Beschreibung ===
[[File:10000201000007D300000561EF3AF451B178B383.png|mini|Blick auf Beispielbausteine]]
[[File:100000000000074D0000010789BA6DD611BD834B.png|mini]]
[[File:100000000000074D0000010789BA6DD611BD834B.png|mini]]
[[File:100002010000076F0000048A93C8969E295DE494.png|mini]]
[[File:100002010000076F0000048A93C8969E295DE494.png|mini|Blick in Institutionen]]
[[File:1000020100000720000004670DE6701F0761C9EC.png|mini]]
[[File:1000020100000720000004670DE6701F0761C9EC.png|mini|Adaption als Schablone]]
 
; Definition IT-Grundschutz-Profil
Schablone für ein ausgewähltes Szenario
* Informationsverbund oder Geschäftsprozess
 
Konkretes Beispiel für die Umsetzung
* IT-Grundschutz-Vorgehensweise
* Schritt für Schritt exemplarisch
 
; Ziel
 
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
 
; Anwenderspezifische Empfehlungen
* Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
* Berücksichtigt Möglichkeiten und Risiken der Institution
* Profile beziehen sich auf typische IT-Szenarien
* Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
 
; Keine BSI-Vorgabe
 
; Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
 
<br clear=all>
== Aufbau ==
[[File:gsProfilaufbau.png|mini]]
[[File:gsProfilaufbau.png|mini]]
: IT-Grundschutz-Profile
Profile im modernisierten IT-Grundschutz
* Schablonen für die Informationssicherheit


=== Aufbau eines Profils ===
{| class="wikitable options"
=== Erstellung eines Profils ===
|-
=== Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile ===
! Inhalt !! Beschreibung
|-
| [[#Formale Aspekte|Formale Aspekte]] ||
|-
| [[#Management Summary|Management Summary]] ||
|-
| [[#Geltungsbereich|Geltungsbereich]] ||
|-
| [[#Referenzarchitektur|Referenzarchitektur]] ||
|-
| [[#Umsetzungshinweise|Umsetzungshinweise]] ||
|-
| [[#Anwendungshinweise|Anwendungshinweise]] ||
|}
 
=== Formale Aspekte ===
* Titel
* Autor
* Verantwortlich
* Registrierungsnummer
* Versionsstand
* Revisionszyklus
* Vertraulichkeit
* Status der Anerkennung durch das BSI
 
=== Management Summary ===
* Kurzzusammenfassung der Zielgruppe
* Zielsetzung und Inhalte des IT-Grundschutz-Profils


=== Was ist ein IT-Grundschutz-Profil? ===
=== Geltungsbereich ===
Definition
* Zielgruppe
  Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
* Angestrebter Schutzbedarf
  Ziel
* Zugrundeliegende IT-Grundschutz-Vorgehensweise
  Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
* ISO 27001-Kompatibilität
* Rahmenbedingungen
* Abgrenzung
* Bestandteile des IT-Grundschutz-Profils
* Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
* Verweise auf andere IT-Grundschutz-Profile


=== IT-Grundschutz-Profile ===
=== Referenzarchitektur ===
Überblick
* Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  Werkzeug für anwenderspezifische Empfehlungen
* Informationsverbund mit
  Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
* Prozessen,
  Berücksichtigt Möglichkeiten und Risiken der Institution
* Infrastruktur
  Profile beziehen sich auf typische IT-Szenarien
* Netz-Komponenten
  Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
* IT-Systemen
  Nicht als BSI-Vorgabe zu verstehen!
* Anwendungen
  Diskussion: Nachweis für Umsetzung (z.&nbsp;B.&nbsp;Testat) sowie
* Textuell und grafisch mit eindeutigen Bezeichnungen
  Anerkennung ausgewählter Profile durch BSI
* Wenn möglich, Gruppenbildung
* Umgang bei Abweichungen zur Referenzarchitektur.


=== IT-Grundschutz-Profile ===
=== Umsetzungshinweise ===
ein Blick in Institutionen
; Umzusetzende Anforderungen und Maßnahmen
* Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.


=== IT-Grundschutz-Profile ===
; Umsetzungsvorgabe
ein Blick auf Beispielbausteine
* „Auf geeignete Weise“
* „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
* „Durch Umsetzung von [...]“


=== IT-Grundschutz-Profile ===
; Auswahl der umzusetzenden Anforderungen eines Bausteins
Adaption als Schablone
* Verzicht auf (einzelne) Standardanforderungen
* Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf


=== Wie ist ein Profil aufgebaut? ===
; Zusätzliche Anforderungen
* Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
* Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
* [...]


=== IT-Grundschutz-Profile ===
=== Anwendungshinweise ===
Aufbau (1/5)
; Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
  Formale Aspekte
  Titel
  Autor
  Verantwortlich
  Registrierungsnummer
  Versionsstand
  Revisionszyklus
  Vertraulichkeit
  Status der Anerkennung durch das BSI
  Management Summary
  Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils


=== IT-Grundschutz-Profile ===
; Risikobehandlung
Aufbau (2/5)
* Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
  Geltungsbereich
  Zielgruppe
  Angestrebter Schutzbedarf
  Zugrundeliegende IT-Grundschutz-Vorgehensweise
  ISO 27001-Kompatibilität
  Rahmenbedingungen
  Abgrenzung
  Bestandteile des IT-Grundschutz-Profils
  Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  Verweise auf andere IT-Grundschutz-Profile


=== IT-Grundschutz-Profile ===
; Unterstützende Informationen
Aufbau (3/5)
* Hinweise, wo vertiefende Informationen zu finden sind
  Referenzarchitektur
  Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  Informationsverbund mit
  Prozessen,
  (Infrastruktur,)
  Netz-Komponenten,
  IT-Systemen und
  Anwendungen
  Textuell und graphisch mit eindeutigen Bezeichnungen
  Wenn möglich, Gruppenbildung
  Umgang bei Abweichungen zur Referenzarchitektur


=== IT-Grundschutz-Profile ===
; Anhang
Aufbau (4/5)
* Glossar
  Umzusetzende Anforderungen und Maßnahmen
* Zusätzliche Bausteine
  Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
* ...
  Umsetzungsvorgabe möglich:
  „Auf geeignete Weise“
  „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  „Durch Umsetzung von [...]“
  Auswahl der umzusetzenden Anforderungen eines Bausteins:
  Verzicht auf (einzelne) Standardanforderungen
  Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
  Zusätzliche Anforderungen
  Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  [...]


=== IT-Grundschutz-Profile ===
Aufbau (5/5)
  Anwendungshinweise
  Zusätzliche Informationen zur Anwendung und Integration in das
  Gesamtsicherheitskonzept
  Risikobehandlung
  Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
  Unterstützende Informationen
  Hinweise, wo vertiefende Informationen zu finden sind
  Anhang
  Glossar, zusätzliche Bausteine, etc.
<noinclude>
<noinclude>


Zeile 115: Zeile 124:
=== Siehe auch ===
=== Siehe auch ===
* [[Verinice/Profile]]
* [[Verinice/Profile]]
{{Special:PrefixIndex/Grundschutz/Profile}}


==== Dokumentation ====
==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====
 
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Strukturbeschreibung.html Strukturbeschreibung]
=== Testfragen ===
[[Kategorie:IT-Grundschutz/Profile]]
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Grundschutz/Profile]]
</noinclude>
</noinclude>

Aktuelle Version vom 28. November 2024, 22:38 Uhr

IT-Grundschutz/Profile - Schablonen für die Informationssicherheit

Beschreibung

Blick auf Beispielbausteine
Blick in Institutionen
Adaption als Schablone
Definition IT-Grundschutz-Profil

Schablone für ein ausgewähltes Szenario

  • Informationsverbund oder Geschäftsprozess

Konkretes Beispiel für die Umsetzung

  • IT-Grundschutz-Vorgehensweise
  • Schritt für Schritt exemplarisch
Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen
  • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
  • Berücksichtigt Möglichkeiten und Risiken der Institution
  • Profile beziehen sich auf typische IT-Szenarien
  • Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
Keine BSI-Vorgabe
Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile


Aufbau

Inhalt Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

  • Titel
  • Autor
  • Verantwortlich
  • Registrierungsnummer
  • Versionsstand
  • Revisionszyklus
  • Vertraulichkeit
  • Status der Anerkennung durch das BSI

Management Summary

  • Kurzzusammenfassung der Zielgruppe
  • Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

  • Zielgruppe
  • Angestrebter Schutzbedarf
  • Zugrundeliegende IT-Grundschutz-Vorgehensweise
  • ISO 27001-Kompatibilität
  • Rahmenbedingungen
  • Abgrenzung
  • Bestandteile des IT-Grundschutz-Profils
  • Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  • Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

  • Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  • Informationsverbund mit
  • Prozessen,
  • Infrastruktur
  • Netz-Komponenten
  • IT-Systemen
  • Anwendungen
  • Textuell und grafisch mit eindeutigen Bezeichnungen
  • Wenn möglich, Gruppenbildung
  • Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen
  • Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.
Umsetzungsvorgabe
  • „Auf geeignete Weise“
  • „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  • „Durch Umsetzung von [...]“
Auswahl der umzusetzenden Anforderungen eines Bausteins
  • Verzicht auf (einzelne) Standardanforderungen
  • Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf
Zusätzliche Anforderungen
  • Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  • Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  • [...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
Risikobehandlung
  • Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
Unterstützende Informationen
  • Hinweise, wo vertiefende Informationen zu finden sind
Anhang
  • Glossar
  • Zusätzliche Bausteine
  • ...


Anhang

Siehe auch

Links

Weblinks
  1. Strukturbeschreibung