IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Grundschutz/Profile nach IT-Grundschutz/Profile: Textersetzung - „^Grundschutz“ durch „IT-Grundschutz“
 
(34 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 5: Zeile 5:
[[File:100002010000076F0000048A93C8969E295DE494.png|mini|Blick in Institutionen]]
[[File:100002010000076F0000048A93C8969E295DE494.png|mini|Blick in Institutionen]]
[[File:1000020100000720000004670DE6701F0761C9EC.png|mini|Adaption als Schablone]]
[[File:1000020100000720000004670DE6701F0761C9EC.png|mini|Adaption als Schablone]]
[[File:gsProfilaufbau.png|mini]]


; Überblick
; Definition
* Werkzeug für anwenderspezifische Empfehlungen
Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
 
; Ziel
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
 
; Anwenderspezifische Empfehlungen
* Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
* Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
* Berücksichtigt Möglichkeiten und Risiken der Institution
* Berücksichtigt Möglichkeiten und Risiken der Institution
* Profile beziehen sich auf typische IT-Szenarien
* Profile beziehen sich auf typische IT-Szenarien
* Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
* Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI  
* Nicht als BSI-Vorgabe zu verstehen!
 
* Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie
; Keine BSI-Vorgabe
* Diskussion: Nachweis für Umsetzung (z. B. Testat)
* Anerkennung ausgewählter Profile durch BSI
* Anerkennung ausgewählter Profile durch BSI


; Was ist ein IT-Grundschutz-Profil?
; Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
; Definition
 
Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
<br clear=all>
== Aufbau ==
[[File:gsProfilaufbau.png|mini]]


; Ziel
{| class="wikitable options"
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
|-
! Inhalt !! Beschreibung
|-
| [[#Formale Aspekte|Formale Aspekte]] ||
|-
| [[#Management Summary|Management Summary]] ||
|-
| [[#Geltungsbereich|Geltungsbereich]] ||
|-
| [[#Referenzarchitektur|Referenzarchitektur]] ||
|-
| [[#Umsetzungshinweise|Umsetzungshinweise]] ||
|-
| [[#Anwendungshinweise|Anwendungshinweise]] ||
|}


; Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
=== Formale Aspekte ===
* Titel
* Autor
* Verantwortlich
* Registrierungsnummer
* Versionsstand
* Revisionszyklus
* Vertraulichkeit
* Status der Anerkennung durch das BSI


=== Erstellung ===
=== Management Summary ===
==== Aufbau ====
* Kurzzusammenfassung der Zielgruppe
; Formale Aspekte
* Zielsetzung und Inhalte des IT-Grundschutz-Profils
Titel
Autor
Verantwortlich
Registrierungsnummer
Versionsstand
Revisionszyklus
Vertraulichkeit
Status der Anerkennung durch das BSI
; Management Summary
* Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils


; Aufbau (2/5)
=== Geltungsbereich ===
* Geltungsbereich
* Zielgruppe
* Zielgruppe
* Angestrebter Schutzbedarf
* Angestrebter Schutzbedarf
Zeile 52: Zeile 70:
* Verweise auf andere IT-Grundschutz-Profile
* Verweise auf andere IT-Grundschutz-Profile


; Aufbau (3/5)
=== Referenzarchitektur ===
* Referenzarchitektur
* Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
* Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
* Informationsverbund mit
* Informationsverbund mit
Zeile 61: Zeile 78:
* IT-Systemen
* IT-Systemen
* Anwendungen
* Anwendungen
* Textuell und graphisch mit eindeutigen Bezeichnungen
* Textuell und grafisch mit eindeutigen Bezeichnungen
* Wenn möglich, Gruppenbildung
* Wenn möglich, Gruppenbildung
* Umgang bei Abweichungen zur Referenzarchitektur
* Umgang bei Abweichungen zur Referenzarchitektur.
 
=== Umsetzungshinweise ===
; Umzusetzende Anforderungen und Maßnahmen
* Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.


; Aufbau (4/5)
; Umsetzungsvorgabe
* Umzusetzende Anforderungen und Maßnahmen
* Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand
Umsetzungsvorgabe möglich:
* „Auf geeignete Weise“
* „Auf geeignete Weise“
* „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
* „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
* „Durch Umsetzung von [...]“
* „Durch Umsetzung von [...]“


Auswahl der umzusetzenden Anforderungen eines Bausteins:
; Auswahl der umzusetzenden Anforderungen eines Bausteins
* Verzicht auf (einzelne) Standardanforderungen
* Verzicht auf (einzelne) Standardanforderungen
* Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
* Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf


Zusätzliche Anforderungen
; Zusätzliche Anforderungen
* Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
* Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
* Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
* Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
* [...]
* [...]


; Aufbau (5/5)
=== Anwendungshinweise ===
Anwendungshinweise
; Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
* Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept.


Risikobehandlung
; Risikobehandlung
* Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
* Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.


Unterstützende Informationen
; Unterstützende Informationen
* Hinweise, wo vertiefende Informationen zu finden sind
* Hinweise, wo vertiefende Informationen zu finden sind


Anhang
; Anhang
* Glossar, zusätzliche Bausteine etc.
* Glossar
* Zusätzliche Bausteine
* ...


<noinclude>
<noinclude>
Zeile 100: Zeile 119:
=== Siehe auch ===
=== Siehe auch ===
* [[Verinice/Profile]]
* [[Verinice/Profile]]
{{Special:PrefixIndex/Grundschutz/Profile}}


==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
 
# [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Strukturbeschreibung.html Strukturbeschreibung]
[[Kategorie:Grundschutz/Profile]]
[[Kategorie:IT-Grundschutz/Profile]]
</noinclude>
</noinclude>

Aktuelle Version vom 24. Oktober 2024, 11:02 Uhr

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Blick auf Beispielbausteine
Blick in Institutionen
Adaption als Schablone
Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen
  • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
  • Berücksichtigt Möglichkeiten und Risiken der Institution
  • Profile beziehen sich auf typische IT-Szenarien
  • Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
Keine BSI-Vorgabe
  • Diskussion: Nachweis für Umsetzung (z. B. Testat)
  • Anerkennung ausgewählter Profile durch BSI
Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile


Aufbau

Inhalt Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

  • Titel
  • Autor
  • Verantwortlich
  • Registrierungsnummer
  • Versionsstand
  • Revisionszyklus
  • Vertraulichkeit
  • Status der Anerkennung durch das BSI

Management Summary

  • Kurzzusammenfassung der Zielgruppe
  • Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

  • Zielgruppe
  • Angestrebter Schutzbedarf
  • Zugrundeliegende IT-Grundschutz-Vorgehensweise
  • ISO 27001-Kompatibilität
  • Rahmenbedingungen
  • Abgrenzung
  • Bestandteile des IT-Grundschutz-Profils
  • Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  • Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

  • Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  • Informationsverbund mit
  • Prozessen,
  • Infrastruktur
  • Netz-Komponenten
  • IT-Systemen
  • Anwendungen
  • Textuell und grafisch mit eindeutigen Bezeichnungen
  • Wenn möglich, Gruppenbildung
  • Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen
  • Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.
Umsetzungsvorgabe
  • „Auf geeignete Weise“
  • „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  • „Durch Umsetzung von [...]“
Auswahl der umzusetzenden Anforderungen eines Bausteins
  • Verzicht auf (einzelne) Standardanforderungen
  • Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf
Zusätzliche Anforderungen
  • Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  • Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  • [...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
Risikobehandlung
  • Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
Unterstützende Informationen
  • Hinweise, wo vertiefende Informationen zu finden sind
Anhang
  • Glossar
  • Zusätzliche Bausteine
  • ...


Anhang

Siehe auch

Links

Weblinks
  1. Strukturbeschreibung