IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen
Der Seiteninhalt wurde durch einen anderen Text ersetzt: „'''IT-Grundschutz-Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit <noinclude> == Anhang == === Siehe auch === {{Special:PrefixIndex/Grundschutz/Kompendium}} ==== Links ==== ===== Weblinks ===== # https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html Kategorie:Grundschut…“ Markierung: Ersetzt |
|||
(91 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''IT-Grundschutz | '''IT-Grundschutz/Kompendium''' - Arbeitsinstrument und Nachschlagewerk zur [[Informationssicherheit]] | ||
=== Beschreibung === | |||
Sammlung von Dokumenten (Bausteine) | |||
; IT-Grundschutz-Bausteine | |||
* Aspekte der Informationssicherheit | |||
* Typische Gefährdungen | |||
* Typische Sicherheitsanforderungen | |||
; Einführung eines [[Information Security Management System]]s ([[ISMS]]) | |||
* Schrittweise | |||
* Praxisnah | |||
* Reduzierter Aufwand | |||
* Thematische Schichten | |||
* Unterschiedliche Aspekte | |||
; Gegenstand eines Bausteins | |||
Ubergeordnete Themen | |||
* Informationssicherheitsmanagement | |||
* Notfallmanagement | |||
Spezielle technische Systeme | |||
* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa | |||
** Clients | |||
** Server | |||
** Mobile Systeme | |||
** Industrielle Steuerungen | |||
; Aktualisierung und Erweiterung | |||
* Kontinuierlich | |||
* Berücksichtigung von Anwenderwünschen | |||
* Anpassung an die Entwicklung der zugrunde liegenden Standards | |||
* Anpassung an die Gefährdungslage | |||
=== Schichten === | |||
[[File:schichtenmodell.png|600px|Schichtenmodell]] | |||
; Schichtenmodell der Grundschutz-Bausteine | |||
* Komplexität reduzieren | |||
* Redundanzen vermeiden | |||
* Zuständigkeiten bündeln | |||
* Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen | |||
{{:Grundschutz/Kompendium/Gliederung}} | |||
== Rollen == | |||
{{:Kompendium/Rollen}} | |||
<noinclude> | <noinclude> | ||
Zeile 11: | Zeile 55: | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
# https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | # [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf IT_Grundschutz_Kompendium_Edition2023] | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/it-grundschutz-kompendium_node.html Übersicht] | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Grundschutz-Bausteine] | |||
[[Kategorie:Grundschutz/Kompendium]] | [[Kategorie:Grundschutz/Kompendium]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 30. Juli 2024, 10:39 Uhr
IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit
Beschreibung
Sammlung von Dokumenten (Bausteine)
- IT-Grundschutz-Bausteine
- Aspekte der Informationssicherheit
- Typische Gefährdungen
- Typische Sicherheitsanforderungen
- Einführung eines Information Security Management Systems (ISMS)
- Schrittweise
- Praxisnah
- Reduzierter Aufwand
- Thematische Schichten
- Unterschiedliche Aspekte
- Gegenstand eines Bausteins
Ubergeordnete Themen
- Informationssicherheitsmanagement
- Notfallmanagement
Spezielle technische Systeme
- Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- Mobile Systeme
- Industrielle Steuerungen
- Aktualisierung und Erweiterung
- Kontinuierlich
- Berücksichtigung von Anwenderwünschen
- Anpassung an die Entwicklung der zugrunde liegenden Standards
- Anpassung an die Gefährdungslage
Schichten
- Schichtenmodell der Grundschutz-Bausteine
- Komplexität reduzieren
- Redundanzen vermeiden
- Zuständigkeiten bündeln
- Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen
Kapitel
Kapitel | Beschreibung |
---|---|
Einführung |
|
Schichtenmodell und Modellierung | |
Rollen | |
Glossar | |
Elementare Gefährdungen | |
Bausteine |
Bausteine
Schichten
Schicht | Beschreibung |
---|---|
Prozesse | |
Systeme |
- Prozess-Bausteine
Kürzel | Titel |
---|---|
ISMS | Sicherheitsmanagement |
ORP | Organisation und Personal |
CON | Konzeption und Vorgehensweise |
OPS | Betrieb |
DER | Detektion und Reaktion |
- System-Bausteine
Kürzel | Titel |
---|---|
APP | Anwendungen |
SYS | IT-Systeme |
IND | Industrielle IT |
NET | Netze und Kommunikation |
INF | Infrastruktur |
Aufbau eines Bausteins
IT-Grundschutz-Baustein - Dokument des BSI-Grundschutz-Kompendiums
Beschreibung
- Umfang
Circa 10 Seiten
- Gliederung
Inhalt | Beschreibung |
---|---|
Einleitung | |
Zielsetzung und Abgrenzung | |
Gefährdungslage | |
Sicherheitsanforderungen |
Gliederung
Einleitung Zielsetzung und Abgrenzung Gefährdungslage Sicherheitsanforderungen
Einleitung
- Anwendung
- Elementarer Gefährdungen
- Kurzen Beschreibung
- Abgrenzung des behandelten Sachverhalts
Zielsetzung und Abgrenzung
Abgrenzung und Verweis des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug
Gefährdungslage
Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen
- Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben
Sicherheitsanforderungen
Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind
- Die Anforderungen beschreiben, was getan werden sollte
Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen
- vorrangig zu erfüllende Basis-Anforderungen,
- für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
- Anforderungen für den erhöhten Schutzbedarf
- Modalverben
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
Ausdruck | Verbindlichkeit |
---|---|
MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
Ausdruck | Verbindlichkeit |
---|---|
MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Schichten
IT-Grundschutz-Kompendium/Prozess-Bausteine - Konzepte und Vorgehensweisen
Beschreibung
Kürzel | Titel | Beschreibung |
---|---|---|
ISMS | Sicherheitsmanagement | |
ORP | Organisation und Personal | |
CON | Konzeption und Vorgehensweise | |
OPS | Betrieb | |
DER | Detektion und Reaktion |
ISMS
- Sicherheitsmanagement
Nummer | Titel |
---|---|
ISMS.1 | Sicherheitsmanagement |
ORP
- Organisation und Personal
Nummer | Titel |
---|---|
ORP.1 | Organisation |
ORP.2 | Personal |
ORP.3 | Sensibilisierung und Schulung zur Informationssicherheit |
ORP.4 | Identitäts- und Berechtigungsmanagement |
ORP.5 | Compliance Management (Anforderungsmanagement) |
CON
- Konzeption und Vorgehensweise
Nummer | Titel |
---|---|
CON.1 | Kryptokonzept |
CON.2 | Datenschutz |
CON.3 | Datensicherungskonzept |
CON.6 | Löschen und Vernichten |
CON.7 | Informationssicherheit auf Auslandsreisen |
CON.8 | Software-Entwicklung |
CON.9 | Informationsaustausch |
CON.10 | Entwicklung von Webanwendungen |
CON.11.1 | Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH |
OPS
- Betrieb
Nummer | Titel |
---|---|
OPS.1.1.1 | Allgemeiner Betrieb |
OPS.1.1.2 | Ordnungsgemäße IT-Administration |
OPS.1.1.3 | Patch- und Änderungsmanagement |
OPS.1.1.4 | Schutz vor Schadprogrammen |
OPS.1.1.5 | Protokollierung |
OPS.1.1.6 | Software-Tests und -Freigaben |
OPS.1.1.7 | Systemmanagement |
OPS.1.2.2 | Archivierung |
OPS.1.2.4 | Telearbeit |
OPS.1.2.5 | Fernwartung |
OPS.1.2.6 | NTP-Zeitsynchronisation |
OPS.2.2 | Cloud-Nutzung |
OPS.2.3 | Nutzung von Outsourcing |
OPS.3.2 | Anbieten von Outsourcing |
DER
- Detektion und Reaktion
Nummer | Titel |
---|---|
DER.1 | Detektion von sicherheitsrelevanten Ereignissen |
DER.2.1 | Behandlung von Sicherheitsvorfällen |
DER.2.2 | Vorsorge für die IT-Forensik |
DER.2.3 | Bereinigung weitreichender Sicherheitsvorfälle |
DER.3.1 | Audits und Revisionen |
DER.3.2 | Revision auf Basis des Leitfadens IT-Revision |
DER.4 | Notfallmanagement |
IT-Grundschutz-Kompendium - System-Bausteine
Beschreibung
Kürzel | Titel | Beschreibung |
---|---|---|
APP | Anwendungen | |
SYS | IT-Systeme | |
IND | Industrielle IT | |
NET | Netzwerke/Kommunikation | |
INF | Infrastruktur |
APP
- Anwendungen
Nummer | Titel |
---|---|
APP.1.1 | Office-Produkte |
APP.1.2 | Webbrowser |
APP.1.4 | Mobile Anwendung (Apps) |
APP.2.1 | Allgemeiner Verzeichnisdienst |
APP.2.2 | Active Directory Domain Services |
APP.2.3 | OpenLDAP |
APP.3.1 | Webanwendungen und Webservices |
APP.3.2 | Webserver |
APP.3.3 | Fileserver |
APP.3.4 | Samba |
APP.3.6 | DNS-Server |
APP.4.2 | SAP-System |
APP.4.3 | Relationale Datenbanksysteme |
APP.4.4 | Kubernetes |
APP.4.6 | ABAP-Programmierung |
APP.5.2 | Microsoft Exchange und Outlook |
APP.5.3 | Allgemeiner E-Mail-Client und -Server |
APP.5.4 | Unified Communications und Collaboration |
APP.6 | Allgemeine Software |
APP.7 | Entwicklung von Individualsoftware |
SYS
- IT-Systeme
Nummer | Titel |
---|---|
SYS.1.1 | Allgemeiner Server |
SYS.1.2.2 | Windows Server 2012 |
SYS.1.2.3 | Windows Server |
SYS.1.3 | Server unter Linux und Unix |
SYS.1.5 | Virtualisierung |
SYS.1.6 | Containerisierung |
SYS.1.7 | IBM-Z |
SYS.1.8 | Speicherlösungen |
SYS.1.9 | Terminalserver |
SYS.2.1 | Allgemeiner Client |
SYS.2.2.3 | Clients unter Windows |
SYS.2.3 | Clients unter Linux und Unix |
SYS.2.4 | Clients unter macOS |
SYS.2.5 | Client-Virtualisierung |
SYS.2.6 | Virtual Desktop Infrastructure |
SYS.3.1 | Laptops |
SYS.3.2.1 | Allgemeine Smartphones und Tablets |
SYS.3.2.2 | Mobile Device Management |
SYS.3.2.3 | iOS (for Enterprise) |
SYS.3.2.4 | Android |
SYS.3.3 | Mobiltelefon |
SYS.4.1 | Drucker, Kopierer und Multifunktionsgeräte |
SYS.4.3 | Eingebettete Systeme |
SYS.4.4 | Allgemeines IoT-Gerät |
SYS.4.5 | Wechseldatenträger |
IND
- Industrielle IT
Nummer | Titel |
---|---|
IND.1 | Prozessleit- und Automatisierungstechnik |
IND.2.1 | Allgemeine -Komponente |
IND.2.2 | Speicherprogrammierbare Steuerung |
IND.2.3 | Sensoren und Aktoren |
IND.2.4 | Maschine |
IND.2.7 | Safety Instrumented Systems |
IND.3.2 | Fernwartung im industriellen Umfeld |
NET
- Netze und Kommunikation
Nummer | Titel |
---|---|
NET.1.1 | Netzarchitektur und -design |
NET.1.2 | Netzmanagement |
NET.2.1 | WLAN-Betrieb |
NET.2.2 | WLAN-Nutzung |
NET.3.1 | Router und Switches |
NET.3.2 | Firewall |
NET.3.3 | VPN |
NET.3.4 | Network Access Control |
NET.4.1 | TK-Anlagen |
NET.4.2 | VoIP |
NET.4.3 | Faxgeräte und Faxserver |
INF
- Infrastruktur
Nummer | Titel |
---|---|
INF.1 | Allgemeines Gebäude |
INF.2 | Rechenzentrum sowie Serverraum |
INF.5 | Raum sowie Schrank für technische Infrastruktur |
INF.6 | Datenträgerarchiv |
INF.7 | Büroarbeitsplatz |
INF.8 | Häuslicher Arbeitsplatz |
INF.9 | Mobiler Arbeitsplatz |
INF.10 | Besprechungs-, Veranstaltungs- und Schulungsraum |
INF.11 | Allgemeines Fahrzeug |
INF.12 | Verkabelung |
INF.13 | Technisches Gebäudemanagement |
INF.14 | Gebäudeautomation |
Rollen
Rollen - Definitionen und Zuständigkeiten
Übersicht
Rolle | Aufgabe |
---|---|
Auditteamleitung | Leitung des Auditteams |
Auditteam | Fachlich Unterstützung der Auditteamleitung |
Bauleitung | Umsetzung von Baumaßnahmen |
Benutzende | Informationstechnische Systeme nutzen |
Bereichssicherheitsbeauftragte | Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen |
Beschaffungsstelle | Initiiert und überwacht Beschaffungen |
Brandschutzbeauftragte | Brandschutz |
Datenschutzbeauftragte | Gesetzeskonformen Umgang mit personenbezogenen Daten |
Compliance-Beauftragte | Vorgaben identifizieren und deren Einhaltung zu prüfen |
Entwickelnde | Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen |
Errichterfirma | Unternehmen, das Gewerke oder aber auch Gebäude errichtet |
Fachabteilung | Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat |
Fachverantwortliche | Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig |
Haustechnik | Infrastruktur in Gebäuden und Liegenschaften |
ICS-Informationssicherheitsbeauftragte | ICS-Informationssicherheitsbeauftragte (oft auch Industrial Security Officer genannt) sind von der Institutionsleitung benannte Personen, die im Auftrag der Leitungsebene dafür sorgen, dass die speziellen Anforderungen im Bereich der industriellen Steuerung abgedeckt sind und die Sicherheitsorganisation aus dem Bereich ICS in das gesamte ISMS der Institution eingebunden ist. |
Informationssicherheitsbeauftragte (ISB) | Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben. |
ISMS Management-Team | |
Institution | Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet. |
Institutionsleitung | Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit. |
IS-Revisionsteam | Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen. |
IT-Betrieb | Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet.
Mitarbeitende Die Mitarbeitenden sind Teil einer Institution. |
Notfallbeauftragte | Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement.
zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig.
densereignis. |
OT-Betrieb (Operational Technology, OT) | Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig. |
OT-Leitung | Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen.
ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen |
Personalabteilung | |
Planende | Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst.
|
Risikomanager | Person, die alle Aufgaben des Risikomanagements wahrnimmt. |
Testende | Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen. |
Vorgesetzte | Als Vorgesetzte werden die Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal Beim Wartungspersonal handelt es sich um Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden.
|
Zentrale Verwaltung | Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt.
|