IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen

Aus Foxwiki
 
(107 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Grundschutz-Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]
'''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]]


=== Beschreibung ===
=== Beschreibung ===
; Grundschutz-Bausteine sind in ein Schichtenmodell gegliedert
Sammlung von Dokumenten (Bausteine)


; Vorteile des Schichtenmodells
; IT-Grundschutz-Bausteine
Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen.
* Aspekte der Informationssicherheit
* So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden.
* Typische Gefährdungen
* Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
* Typische Sicherheitsanforderungen


Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind.
; Einführung eines [[Information Security Management System]]s ([[ISMS]])
* So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
* Schrittweise
 
* Praxisnah
Das '''IT-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''.
* Reduzierter Aufwand
* Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender.
* Thematische Schichten
* Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]).
* Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
 
==== Struktur====
IT-Grundschutz-Kompendiums ist modular in BVausteinen aufgebaut
 
; IT-Grundschutz-Baustein
* Zehn thematische Schichten
* Unterschiedliche Aspekte
* Unterschiedliche Aspekte


; Schichtenmodell
; Gegenstand eines Bausteins
{| class="wikitable sortable options"
Übergeordnete Themen
|-
* Informationssicherheitsmanagement
! Option !! Beschreibung
* Notfallmanagement
|-
Spezielle technische Systeme
| Prozess-Bausteine ||
* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
|-
** Clients
| || ISMS: Sicherheitsmanagement
** Server
|-
** Mobile Systeme
| ||  ORP: Organisatorischen und personellen Sicherheitsaspekte
** Industrielle Steuerungen
|-
| ||  CON: Konzepten und Vorgehensweisen
|-
| ||  OPS: Operativer IT-Betrieb und IT-Betrieb durch Dritte
|-
| ||  DER: Detektion und Reaktion auf Sicherheitsvorfälle
|-
| System-Bausteine ||
|-
| ||  APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
|-
| ||  SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
|-
| ||  NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
|-
| ||  INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
|-
| ||  IND: Bausteine zu Sicherheitsaspekten industrieller IT.
|}
 
=== Aubau der Bausteine ===
Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug.
* Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben.
* Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
 
; Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben
* Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen.
* Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
 
; Anforderungen
Die Anforderungen in den Bausteine beschreiben, '''was''' für eine angemessene Sicherheit getan werden sollte.
 
; Umsetzungshinweise
'''Wie''' dies erfolgen kann oder sollte, ist in ergänzenden '''Umsetzungshinweisen''' beschrieben, die das für die meisten Bausteine veröffentlicht.
 
; IT-Grundschutz-Kataloge
Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern.
* Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
* Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.
 
=== Schichtenmodell ===
Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
 
==== Vorteile des Schichtenmodells ====
* So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden.
* Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.


: Schichten sind so gewählt, dass Zuständigkeiten gebündelt werden
; Aktualisierung und Erweiterung
* So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten, und die für IT-Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
* Kontinuierlich
* Berücksichtigung von Anwenderwünschen
* Anpassung an die Entwicklung der zugrunde liegenden Standards
* Anpassung an die Gefährdungslage


; IT-Grundschutz-Kompendium
=== Schichten ===
* Kontinuierlich aktualisiert und erweitert
[[File:schichtenmodell.png|600px|Schichtenmodell]]
* Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender


; Aktuelle Informationen zum Grundschutz
; Schichtenmodell der Grundschutz-Bausteine
* Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]).
* Komplexität reduzieren
* Für den '''fachlichen Austausch''' und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum Grundschutz bei XING] Gelegenheit.
* Redundanzen vermeiden
* Zuständigkeiten bündeln
* Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen


==== Prozess-Bausteine ====
{{:IT-Grundschutz/Kompendium/Gliederung}}
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| ISMS || Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
|-
| ORP || Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
|-
| CON || Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
|-
| OPS || Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
|-
| DER || Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
|}


==== System-Bausteine ====
== Rollen ==
{| class="wikitable sortable options"
{{:IT-Grundschutz/Kompendium/Rollen}}
|-
! Option !! Beschreibung
|-
| APP || Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
|-
| SYS || IT-Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
|-
| IND || Industrielle IT (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
|-
| NET || Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
|-
| Infrastruktur || (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
|}
 
=== Grundschutz-Bausteine ===
{{:Grundschutz/Kompendium/Baustein}}


<noinclude>
<noinclude>
Zeile 131: Zeile 51:
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz/Kompendium}}
{{Special:PrefixIndex/IT-Grundschutz/Kompendium}}


==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
# https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023]
 
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht]
[[Kategorie:Grundschutz/Kompendium]]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine]  


[[Kategorie:IT-Grundschutz/Kompendium]]
</noinclude>
</noinclude>

Aktuelle Version vom 25. November 2024, 06:48 Uhr

IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine
  • Aspekte der Informationssicherheit
  • Typische Gefährdungen
  • Typische Sicherheitsanforderungen
Einführung eines Information Security Management Systems (ISMS)
  • Schrittweise
  • Praxisnah
  • Reduzierter Aufwand
  • Thematische Schichten
  • Unterschiedliche Aspekte
Gegenstand eines Bausteins

Übergeordnete Themen

  • Informationssicherheitsmanagement
  • Notfallmanagement

Spezielle technische Systeme

  • Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
    • Clients
    • Server
    • Mobile Systeme
    • Industrielle Steuerungen
Aktualisierung und Erweiterung
  • Kontinuierlich
  • Berücksichtigung von Anwenderwünschen
  • Anpassung an die Entwicklung der zugrunde liegenden Standards
  • Anpassung an die Gefährdungslage

Schichten

Schichtenmodell

Schichtenmodell der Grundschutz-Bausteine
  • Komplexität reduzieren
  • Redundanzen vermeiden
  • Zuständigkeiten bündeln
  • Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte

Gliederung

Kapitel Beschreibung
Einführung
  • Vorwort/Dankesworte
  • Neuerungen
  • IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Übersicht

Schichten und Bausteine
Schicht Beschreibung
Prozess-Bausteine
System-Bausteine

Prozess-Bausteine

Kürzel Titel
ISMS Sicherheitsmanagement
ORP Organisation und Personal
CON Konzeption und Vorgehensweise
OPS Betrieb
DER Detektion und Reaktion

System-Bausteine

Kürzel Titel
APP Anwendungen
SYS IT-Systeme
IND Industrielle IT
NET Netze und Kommunikation
INF Infrastruktur


Rollen

IT-Grundschutz/Kompendium/Rollen - Definitionen und Zuständigkeiten

Übersicht

Rolle Aufgabe
Auditteamleitung Leitung des Auditteams
Auditteam Fachlich Unterstützung der Auditteamleitung
Bauleitung Umsetzung von Baumaßnahmen
Benutzende Informationstechnische Systeme nutzen
Bereichssicherheitsbeauftragte Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen
Beschaffungsstelle Initiiert und überwacht Beschaffungen
Brandschutzbeauftragte Brandschutz
Datenschutzbeauftragte Gesetzeskonformen Umgang mit personenbezogenen Daten
Compliance-Beauftragte Vorgaben identifizieren und deren Einhaltung zu prüfen
Entwickelnde Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen
Errichterfirma Unternehmen, das Gewerke oder aber auch Gebäude errichtet
Fachabteilung Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat
Fachverantwortliche Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig
Haustechnik Infrastruktur in Gebäuden und Liegenschaften
ICS-Informationssicherheitsbeauftragte Sicherheit von ICS-Systemen
Informationssicherheitsbeauftragte (ISB)

Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben.

ISMS Management-Team
Institution Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.
Institutionsleitung Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit.
IS-Revisionsteam Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen.
IT-Betrieb Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet.
  • Die Rolle IT-Betrieb schließt die zuständige Leitung der Organisationseinheit mit ein.

Mitarbeitende Die Mitarbeitenden sind Teil einer Institution.

Notfallbeauftragte Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement.
  • Sie sind für die Erstellung, Umset-

zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig.

  • Sie analysieren den Gesamtablauf der Notfallbewältigung nach einem Scha-

densereignis.

OT-Betrieb (Operational Technology, OT) Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig.
OT-Leitung Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
  • die verantwortliche Person für

die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen.

  • Insbesondere

ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen

Personalabteilung
Planende Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst.
  • Gemeint sind also Personen, die für die Planung und Konzeption bestimmter Aufgaben zuständig sind.
Risikomanager Person, die alle Aufgaben des Risikomanagements wahrnimmt.
Testende Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen.
Vorgesetzte Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal
Wartungspersonal Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden.
  • Hierbei ist es in der Regel notwendig, dass das Wartungspersonal Zugriff auf die betroffenen Systeme erhält.
Zentrale Verwaltung Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt.
  • Die Rolle Zentrale Verwaltung schließt die zuständige Leitung der Organisationseinheit mit ein



Anhang

Siehe auch

Links

Weblinks
  1. IT_Grundschutz_Kompendium_Edition2023
  2. Übersicht
  3. Grundschutz-Bausteine