IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Aktuelle Version vom 24. Oktober 2024, 12:02 Uhr

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen

Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
Berücksichtigt Möglichkeiten und Risiken der Institution
Profile beziehen sich auf typische IT-Szenarien
Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI

Keine BSI-Vorgabe

Diskussion: Nachweis für Umsetzung (z. B. Testat)
Anerkennung ausgewählter Profile durch BSI

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Aufbau

Inhalt	Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

Titel
Autor
Verantwortlich
Registrierungsnummer
Versionsstand
Revisionszyklus
Vertraulichkeit
Status der Anerkennung durch das BSI

Management Summary

Kurzzusammenfassung der Zielgruppe
Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

Zielgruppe
Angestrebter Schutzbedarf
Zugrundeliegende IT-Grundschutz-Vorgehensweise
ISO 27001-Kompatibilität
Rahmenbedingungen
Abgrenzung
Bestandteile des IT-Grundschutz-Profils
Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
Informationsverbund mit
Prozessen,
Infrastruktur
Netz-Komponenten
IT-Systemen
Anwendungen
Textuell und grafisch mit eindeutigen Bezeichnungen
Wenn möglich, Gruppenbildung
Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen

Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.

Umsetzungsvorgabe

„Auf geeignete Weise“
„Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
„Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins

Verzicht auf (einzelne) Standardanforderungen
Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf

Zusätzliche Anforderungen

Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
[...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept

Risikobehandlung

Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

Hinweise, wo vertiefende Informationen zu finden sind

Anhang

Glossar
Zusätzliche Bausteine
...

Anhang

Siehe auch

Verinice/Profile

Links

Weblinks

Strukturbeschreibung

@@ Zeile 1: / Zeile 1: @@
-'''topic''' - Kurzbeschreibung
+'''IT-Grundschutz-Profile''' - Schablonen für die Informationssicherheit
-== Beschreibung ==
+=== Beschreibung ===
 [[File:10000201000007D300000561EF3AF451B178B383.png|mini|Blick auf Beispielbausteine]]
 [[File:100000000000074D0000010789BA6DD611BD834B.png|mini]]
 [[File:100002010000076F0000048A93C8969E295DE494.png|mini|Blick in Institutionen]]
 [[File:1000020100000720000004670DE6701F0761C9EC.png|mini|Adaption als Schablone]]
+; Definition
+Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
+; Ziel
+Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
+; Anwenderspezifische Empfehlungen
+* Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
+* Berücksichtigt Möglichkeiten und Risiken der Institution
+* Profile beziehen sich auf typische IT-Szenarien
+* Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
+; Keine BSI-Vorgabe
+* Diskussion: Nachweis für Umsetzung (z.&nbsp;B.&nbsp;Testat)
+* Anerkennung ausgewählter Profile durch BSI
+; Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
+<br clear=all>
+== Aufbau ==
 [[File:gsProfilaufbau.png|mini]]
-: IT-Grundschutz-Profile
-Profile im modernisierten IT-Grundschutz
-* Schablonen für die Informationssicherheit
-=== Aufbau eines Profils ===
+{| class="wikitable options"
-=== Erstellung eines Profils ===
+|-
-=== Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile ===
+! Inhalt !! Beschreibung
+|-
+| [[#Formale Aspekte|Formale Aspekte]] ||
+|-
+| [[#Management Summary|Management Summary]] ||
+|-
+| [[#Geltungsbereich|Geltungsbereich]] ||
+|-
+| [[#Referenzarchitektur|Referenzarchitektur]] ||
+|-
+| [[#Umsetzungshinweise|Umsetzungshinweise]] ||
+|-
+| [[#Anwendungshinweise|Anwendungshinweise]] ||
+|}
-=== Was ist ein IT-Grundschutz-Profil? ===
+=== Formale Aspekte ===
- Definition
+* Titel
-   Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
+* Autor
-  Ziel
+* Verantwortlich
-   Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
+* Registrierungsnummer
+* Versionsstand
+* Revisionszyklus
+* Vertraulichkeit
+* Status der Anerkennung durch das BSI
-=== IT-Grundschutz-Profile ===
+=== Management Summary ===
- Überblick
+* Kurzzusammenfassung der Zielgruppe
-  Werkzeug für anwenderspezifische Empfehlungen
+* Zielsetzung und Inhalte des IT-Grundschutz-Profils
-  Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
-  Berücksichtigt Möglichkeiten und Risiken der Institution
-  Profile beziehen sich auf typische IT-Szenarien
-  Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
-  Nicht als BSI-Vorgabe zu verstehen!
-  Diskussion: Nachweis für Umsetzung (z.&nbsp;B.&nbsp;Testat) sowie
-  Anerkennung ausgewählter Profile durch BSI
-=== Wie ist ein Profil aufgebaut? ===
+=== Geltungsbereich ===
+* Zielgruppe
+* Angestrebter Schutzbedarf
+* Zugrundeliegende IT-Grundschutz-Vorgehensweise
+* ISO 27001-Kompatibilität
+* Rahmenbedingungen
+* Abgrenzung
+* Bestandteile des IT-Grundschutz-Profils
+* Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
+* Verweise auf andere IT-Grundschutz-Profile
-==== IT-Grundschutz-Profile ====
+=== Referenzarchitektur ===
- Aufbau (1/5)
+* Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
-  Formale Aspekte
+* Informationsverbund mit
-   Titel
+* Prozessen,
-   Autor
+* Infrastruktur
-   Verantwortlich
+* Netz-Komponenten
-   Registrierungsnummer
+* IT-Systemen
-   Versionsstand
+* Anwendungen
-   Revisionszyklus
+* Textuell und grafisch mit eindeutigen Bezeichnungen
-   Vertraulichkeit
+* Wenn möglich, Gruppenbildung
-   Status der Anerkennung durch das BSI
+* Umgang bei Abweichungen zur Referenzarchitektur.
-  Management Summary
-  Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
-==== IT-Grundschutz-Profile ====
+=== Umsetzungshinweise ===
- Aufbau (2/5)
+; Umzusetzende Anforderungen und Maßnahmen
-  Geltungsbereich
+* Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.
-  Zielgruppe
-  Angestrebter Schutzbedarf
-  Zugrundeliegende IT-Grundschutz-Vorgehensweise
-  ISO 27001-Kompatibilität
-  Rahmenbedingungen
-  Abgrenzung
-  Bestandteile des IT-Grundschutz-Profils
-  Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
-  Verweise auf andere IT-Grundschutz-Profile
-==== IT-Grundschutz-Profile ====
+; Umsetzungsvorgabe
- Aufbau (3/5)
+* „Auf geeignete Weise“
-  Referenzarchitektur
+* „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
-  Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
+* „Durch Umsetzung von [...]“
-  Informationsverbund mit
-  Prozessen,
-  (Infrastruktur,)
-  Netz-Komponenten,
-  IT-Systemen und
-  Anwendungen
-  Textuell und graphisch mit eindeutigen Bezeichnungen
-  Wenn möglich, Gruppenbildung
-  Umgang bei Abweichungen zur Referenzarchitektur
-==== IT-Grundschutz-Profile ====
+; Auswahl der umzusetzenden Anforderungen eines Bausteins
- Aufbau (4/5)
+* Verzicht auf (einzelne) Standardanforderungen
-  Umzusetzende Anforderungen und Maßnahmen
+* Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf
-  Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
-  Umsetzungsvorgabe möglich:
+; Zusätzliche Anforderungen
-  „Auf geeignete Weise“
+* Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
-  „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
+* Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
-  „Durch Umsetzung von [...]“
+* [...]
-  Auswahl der umzusetzenden Anforderungen eines Bausteins:
-  Verzicht auf (einzelne) Standardanforderungen
+=== Anwendungshinweise ===
-  Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
+; Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
-  Zusätzliche Anforderungen
-  Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
+; Risikobehandlung
-  Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
+* Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
-  [...]
+; Unterstützende Informationen
+* Hinweise, wo vertiefende Informationen zu finden sind
+; Anhang
+* Glossar
+* Zusätzliche Bausteine
+* ...
-==== IT-Grundschutz-Profile ====
- Aufbau (5/5)
-  Anwendungshinweise
-  Zusätzliche Informationen zur Anwendung und Integration in das
-  Gesamtsicherheitskonzept
-  Risikobehandlung
-  Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
-  Unterstützende Informationen
-  Hinweise, wo vertiefende Informationen zu finden sind
-  Anhang
-  Glossar, zusätzliche Bausteine, etc.
 <noinclude>
@@ Zeile 106: / Zeile 119: @@
 === Siehe auch ===
 * [[Verinice/Profile]]
-{{Special:PrefixIndex/Grundschutz/Profile}}
-==== Dokumentation ====
 ==== Links ====
-===== Projekt =====
 ===== Weblinks =====
+# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Strukturbeschreibung.html Strukturbeschreibung]
-=== Testfragen ===
+[[Kategorie:IT-Grundschutz/Profile]]
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 1''
-<div class="mw-collapsible-content">'''Antwort1'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 2''
-<div class="mw-collapsible-content">'''Antwort2'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 3''
-<div class="mw-collapsible-content">'''Antwort3'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 4''
-<div class="mw-collapsible-content">'''Antwort4'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 5''
-<div class="mw-collapsible-content">'''Antwort5'''</div>
-</div>
-[[Kategorie:Grundschutz/Profile]]
 </noinclude>