IT-Grundschutz: Unterschied zwischen den Versionen

Aktuelle Version vom 27. Oktober 2024, 12:10 Uhr

IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Beschreibung

Standards
200-1	Anforderungen an ein ISMS
200-2	Umsetzung der Anforderungen
200-3	Risikoanalyse

200-4	Business Continuity Management
Kompendium
Kapitel 1	IT-Grundschutz/Kompendium/Vorspann
Kapitel 2	Schichtenmodell / Modellierung
Elementare Gefährdungen	Elementare Gefährdungen
Schichten	Prozesse Systeme

Identifizieren und Umsetzen von Sicherheitsmaßnahmen

Bestandteile

Standards	Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium	mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können

Sicherheitsniveau

Mittel
Im Allgemeinen ausreichend und angemessen
Erweiterbar für erhöhten Schutzbedarf

Anforderungen

Bereich	Beschreibung
Technisch	Geräte, Netzwerke, Strukturen, ...
Infrastrukturell	Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
Organisatorisch	Ablauforganisation, Aufbauorganisation
Personell	Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ...

Zertifizierung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Nachweis eines

Systematischen Vorgehens (Informationssicherheits-Managementsystem (ISMS))
Absicherung von IT-Systemen gegen Gefährdungen

Bedeutung von Informationen

Wichtigkeit und Bedeutung von Informationen

Für Unternehmen und Behörden ist es unerlässlich, dass Informationen

korrekt vorliegen
vertraulich behandelt werden

Entsprechend wichtig ist, dass die technischen Systeme, mit denen Informationen

gespeichert
verarbeitet
übertragen

werden reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind

IT-Grundschutz des BSI

Grundlage

Herausforderungen professionell gerecht werden
Bemühungen für Informationssicherheit strukturieren

IT-Grundschutz ermöglicht

Systematische Schwachstellensuche
Prüfen der Angemessenheit von Schutzmaßnahmen
Sicherheitskonzepte entwickeln und fortschreiben
- passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
Allgemein anerkannten Standards zu genügen
Best Practice

Wege zur Informationssicherheit

Es gibt viele Wege zur Informationssicherheit

Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Herausforderung	Beschreibung
Komplexität	Komplexität der Gefährdungslage Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
Ganzheitlichkeit	Ganzheitlichkeit der Sicherheitskonzepte Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
Zusammenwirken	Zusammenwirken der Sicherheitsmaßnahmen Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
Angemessenheit	Angemessenheit der Sicherheitsmaßnahmen Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
Externe Anforderungen	Erfüllung externer Anforderungen Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
Nachhaltigkeit	Nachhaltigkeit der Sicherheitsmaßnahmen Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln

Konzept

Verzicht auf initiale Risikoanalysen

Pauschale Gefährdungen

Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarf

Drei Schutzbedarfskategorien

Schutzbedarf des Untersuchungsgegenstandes festlegen

Kategorie	Schaden
Normal	überschaubar
Hoch	beträchtlich
Sehr Hoch	existenzgefährdend

Anforderungen

Sicherheitsmaßnahmen

Passende Sicherheitsmaßnahmen auswählen

IT-Grundschutz-Kompendium

personell
technisch
organisatorisch
infrastrukturell

Kochrezepte

Basierend auf dem IT-Grundschutz-Kompendium

BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau

Eintrittswahrscheinlichkeit und Schadenshöhe

Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt

IT-Grundschutz-Kompendium

Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse

das Expertenwissen erfordert
da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen

Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben

Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an

Datenschutz

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde

Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung

Anhang

Projekt

IT-Grundschutz Startseite des BSI

Weblinks

https://de.wikipedia.org/wiki/IT-Grundschutz

@@ Zeile 1: / Zeile 1: @@
-'''IT-Grundschutz''' - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der [[Informationstechnik|Informationstechnik (IT)]]
+'''IT-Grundschutz''' - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)
 == Beschreibung ==
-Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der [[Informationstechnik|Informationstechnik (IT)]]
+<div class="float" style="width: 40%">
+{{:BSI/Uebersicht}}
+</div>
-; Mittleres, angemessenes und im Allgemeinen ausreichendes Schutzniveau
+Identifizieren und Umsetzen von Sicherheitsmaßnahmen
-* Erweiterbar für erhöhten Schutzbedarf
+* [[Informationssicherheit]]
+* [[Informationstechnik|Informationstechnik (IT)]]
-; Sicherheitsmaßnahmen
+; Bestandteile
 {| class="wikitable options"
 |-
-! Bereich !! Beschreibung
+| [[BSI/Standard|Standard]]s || Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
-|-
-| Technisch ||
-|-
-| Infrastrukturell ||
-|-
-| Organisatorisch ||
 |-
-| Personell ||
+| [[Kompendium]] || mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
 |}
-; Zertifizierung
+; Sicherheitsniveau
-ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz
+* Mittel
-* Nachweis eines systematischen Vorgehens
+* Im Allgemeinen ausreichend und angemessen
-* [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]
+* Erweiterbar für erhöhten Schutzbedarf
-* Absicherung von [[IT-System]]en gegen Gefährdungen
+<br clear=all>
-; Bestandteile
+=== Anforderungen ===
-{| class="wikitable options"
+{| class="wikitable options big"
+|-
+! Bereich !! Beschreibung
+|-
+| Technisch || Geräte, [[Netzwerke]], Strukturen, ...
 |-
-! Bestandteil !! Beschreibung
+| Infrastrukturell || Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
 |-
-| Standards || Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
+| Organisatorisch || [[Ablauforganisation]], [[Aufbauorganisation]]
 |-
-| Kompendium || mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
+| Personell || [[IT-Grundschutz/Kompendium/Rollen|Rollen]], [[Zuständigkeiten]], [[Schnittstellen]], [[Informationsaustausch]], ...
 |}
-; BSI-Standards und IT-Grundschutz-Kataloge
+=== Zertifizierung ===
-* Durch die Umstrukturierung und Erweiterung des [[IT-Grundschutz-Kataloge|IT-Grundschutzhandbuchs]] im Jahr 2006 durch das [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) wurden die ''Methodik'' und die ''IT-Grundschutz-Kataloge'' getrennt.
+; ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
-* Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der [[ISO/IEC 27001]] an.
+Nachweis eines
+* Systematischen Vorgehens ([[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]])
+* Absicherung von [[IT-System]]en gegen [[Gefährdung]]en
-; Die frei verfügbaren ''BSI-Standards''
+=== Bedeutung von Informationen ===
-* enthalten Angaben zum Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] und zur Umsetzung des IT-Grundschutzes.
+; Wichtigkeit und Bedeutung von Informationen
-* Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
+Für Unternehmen und Behörden ist es unerlässlich, dass ''Informationen''
-* Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem [[BS 25999]] sowie dem [[ITIL]] Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
+* korrekt vorliegen
-* Mit Umsetzung dieses Standards ist eine [[Zertifizierung]] gemäß BS 25999-2 möglich.
+* vertraulich behandelt werden
-* Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
-== Motivation ==
+; Entsprechend wichtig ist, dass die ''technischen Systeme,'' mit denen Informationen
-; Wichtigkeit und Bedeutung von Informationen
+* gespeichert
-* Für Unternehmen und Behörden ist es unerlässlich, dass ''Informationen'' korrekt vorliegen und vertraulich behandelt werden
+* verarbeitet
-* Entsprechend wichtig ist auch, dass die ''technischen Systeme,'' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und ''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt'' sind.
+* übertragen
+werden reibungslos funktionieren und ''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt'' sind
-; Fragen zur Informationssicherheit
+== IT-Grundschutz des BSI ==
-* Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
+; Grundlage
-* Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
+* Herausforderungen professionell gerecht werden
-* Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
+* Bemühungen für Informationssicherheit strukturieren
-* Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
-Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem ''IT-Grundschutz'' beschäftigen.
+; IT-Grundschutz ermöglicht
-* Dort wird detailliert beschrieben, welche ''Anforderungen'' erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
+* Systematische Schwachstellensuche
-* Er bietet zudem eine weithin anerkannte ''Methodik'', mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
+* Prüfen der Angemessenheit von Schutzmaßnahmen
+* Sicherheitskonzepte entwickeln und fortschreiben
+** passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
+* Allgemein anerkannten Standards zu genügen
+* [[Best Practice]]
-; Wege zur Informationssicherheit
+== Wege zur Informationssicherheit ==
-* Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten.
+Es gibt viele Wege zur Informationssicherheit
+* Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
 * Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
-; Herausforderungen
+=== Herausforderungen ===
-Informationssicherheit muss ''vielfältigen Herausforderungen'' gerecht werden:
+{| class="wikitable options big"
-{| class="wikitable options"
 |-
-! Option !! Beschreibung
+! Herausforderung !! Beschreibung
 |-
-| Komplexität || Komplexität der Gefährdungslage
+| Komplexität || '''Komplexität der Gefährdungslage'''
-* Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
+* Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
 |-
-| Ganzheitlichkeit || Ganzheitlichkeit der Sicherheitskonzepte
+| Ganzheitlichkeit || '''Ganzheitlichkeit der Sicherheitskonzepte'''
-* Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
+* Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
 |-
-| Zusammenwirken || Zusammenwirken der Sicherheitsmaßnahmen
+| Zusammenwirken || '''Zusammenwirken der Sicherheitsmaßnahmen'''
-* Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
+* Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
 |-
-| Angemessenheit || Angemessenheit der Sicherheitsmaßnahmen
+| Angemessenheit || '''Angemessenheit der Sicherheitsmaßnahmen'''
-* Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten.
+* Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten
-* Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern.
+* Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern
-* Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
+* Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
 |-
-| Externe Anforderungen || Erfüllung externer Anforderungen
+| Externe Anforderungen || '''Erfüllung externer Anforderungen'''
-* Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben.
+* Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben
-* Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
+* Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
 |-
-| Nachhaltigkeit || Nachhaltigkeit der Sicherheitsmaßnahmen
+| Nachhaltigkeit || '''Nachhaltigkeit der Sicherheitsmaßnahmen'''
-* Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand.
+* Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand
-* Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter.
+* Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter
-* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
+* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln
 |}
+[[Kategorie:IT-Grundschutz]]
-; IT-Grundschutz des BSI
-Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.
-Er ermöglicht
+=== Konzept ===
-* systematisch nach Schwachstellen zu suchen
+; Verzicht auf initiale Risikoanalysen
-* die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
+Pauschale Gefährdungen
-* Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
+* Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet
-* Allgemein anerkannten Standards zu genügen
-== Konzept ==
+=== Schutzbedarf ===
-{| class="wikitable options"
+; Drei Schutzbedarfskategorien
+[[Schutzbedarf]] des Untersuchungsgegenstandes festlegen
+{| class="wikitable options big"
+|-
+! Kategorie !! Schaden
+|-
+| Normal || überschaubar
 |-
-| Verzicht auf initiale Risikoanalysen || Basis eines ''IT-Grundschutzkonzepts''
+| Hoch || beträchtlich
 |-
-| Pauschale Gefährdungen ||
+| Sehr Hoch || existenzgefährdend
-* Es wird von pauschalen Gefährdungen ausgegangen
+|}
-* Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet
-|}
+=== Anforderungen ===
+; Sicherheitsmaßnahmen
+Passende Sicherheitsmaßnahmen auswählen
-=== Schutzbedarfskategorien ===
+; [[IT-Grundschutz-Kompendium]]
-; Normal, Hoch, Sehr Hoch
+* personell
-Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt.
+* technisch
+* organisatorisch
+* infrastrukturell
-; Basierend auf dem ''IT-Grundschutz-Kompendium''
+=== Kochrezepte ===
-* ''BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau.
+; Basierend auf dem [[IT-Grundschutz/Kompendium|IT-Grundschutz-Kompendium]]
+BSI-Standard 200-2 bietet „Kochrezepte“ für ein [[Normales Schutzniveau]]
 ; Eintrittswahrscheinlichkeit und Schadenshöhe
-* Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.
+Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
-; Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse
+; IT-Grundschutz-Kompendium
-* die Expertenwissen erfordert
+Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse
-* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
+* das Expertenwissen erfordert
-* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
+* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
+* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
 ; Erfolgreiche Umsetzung
-Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben.
+Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben
-* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]].
+* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]]
-* Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
+* Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
-* Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet.
+* Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet
-* Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen.
+* Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen
-* Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI.
+* Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI
-* Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an.
+* Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an
-; Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde.
+; Datenschutz
-* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.
+Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde
+* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
 <noinclude>
 == Anhang ==
-=== Siehe auch ===
+=== Projekt ===
-{{Special:PrefixIndex/Grundschutz}}
+# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz Startseite des [[BSI]]]
-==== Links ====
-===== Projekt =====
-# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html IT-Grundschutz Starteide des [[BSI]]. ]
-===== Weblinks =====
+=== Weblinks ===
 # https://de.wikipedia.org/wiki/IT-Grundschutz
-[[Kategorie:Grundschutz]]
+[[Kategorie:IT-Grundschutz]]
+</noinclude>