IT-Grundschutz: Unterschied zwischen den Versionen
Zeile 122: | Zeile 122: | ||
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt | Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt | ||
===Kochrezepte === | |||
; Basierend auf dem ''IT-Grundschutz/Kompendium'' | ; Basierend auf dem ''IT-Grundschutz/Kompendium'' | ||
* ''BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau | * ''BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau | ||
Zeile 128: | Zeile 129: | ||
* Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt | * Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt | ||
; Durch die Verwendung des ''IT-Grundschutz | ; IT-Grundschutz-Kompendiums | ||
; Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse | |||
* die Expertenwissen erfordert | * die Expertenwissen erfordert | ||
* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird | * da anfangs mit pauschalisierten Gefährdungen gearbeitet wird |
Version vom 11. August 2024, 09:52 Uhr
IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Beschreibung
Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Mittleres, angemessenes und im Allgemeinen ausreichendes Schutzniveau
- Erweiterbar für erhöhten Schutzbedarf
- Sicherheitsmaßnahmen
Bereich | Beschreibung |
---|---|
Technisch | |
Infrastrukturell | |
Organisatorisch | |
Personell |
- Zertifizierung
ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
- Bestandteile
Bestandteil | Beschreibung |
---|---|
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- BSI-Standards und IT-Grundschutz-Kataloge
- Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt
- Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an
- BSI-Standards
- Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes
- Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
- Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge
- Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich
- Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor
Motivation
- Wichtigkeit und Bedeutung von Informationen
- Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
- Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind
- Fragen zur Informationssicherheit
- Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
- Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
- Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
- Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen
- Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen
- Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können
- Wege zur Informationssicherheit
- Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
- Herausforderungen
Informationssicherheit muss vielfältigen Herausforderungen gerecht werden
Option | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
- IT-Grundschutz des BSI
Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren
Er ermöglicht
- systematisch nach Schwachstellen zu suchen
- die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
- Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
Konzept
Verzicht auf initiale Risikoanalysen | Basis eines IT-Grundschutzkonzepts |
Pauschale Gefährdungen |
|
Schutzbedarfskategorien
- Normal, Hoch, Sehr Hoch
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt
Kochrezepte
- Basierend auf dem IT-Grundschutz/Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendiums
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- die Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Anhang
Siehe auch
- Grundschutz/Audit
- Grundschutz/Audit/tmp
- Grundschutz/Auditor
- Grundschutz/Berater/Prüfung
- Grundschutz/Dokumentation
- Grundschutz/Grundschutz-Check
- Grundschutz/Grundschutz-Check/Beispiel
- Grundschutz/Hilfsmittel
- Grundschutz/Informationsverbund
- Grundschutz/Kennzahlen
- Grundschutz/Leitlinie
- Grundschutz/Managementprinzipien
- Grundschutz/Modellierung
- Grundschutz/Praktiker/Inhalte
- Grundschutz/Profile
- Grundschutz/Qualifizierung
- Grundschutz/Referenzdokumente
- Grundschutz/Schutzbedarf
- Grundschutz/Schutzbedarf/Anwendungen
- Grundschutz/Schutzbedarf/Geschäftsprozesse
- Grundschutz/Schutzbedarf/Kategorie
- Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- Grundschutz/Schutzbedarf/Netzwerke
- Grundschutz/Schutzbedarf/Räume
- Grundschutz/Schutzbedarf/Systeme
- Grundschutz/Sicherheitsprozess
- Grundschutz/Standard
- Grundschutz/Standard/100-3
- Grundschutz/Standard/200-1
- Grundschutz/Strukturanalyse
- Grundschutz/Strukturanalyse/Anwendungen
- Grundschutz/Strukturanalyse/Geschäftsprozesse
- Grundschutz/Strukturanalyse/Gruppierung
- Grundschutz/Strukturanalyse/Netzplan
- Grundschutz/Strukturanalyse/Räume
- Grundschutz/Strukturanalyse/Systeme
- Grundschutz/Strukturanalyse/tmp
- Grundschutz/Umsetzungsplanung
- Grundschutz/Umsetzungsplanung/Aufwand
- Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen
- Grundschutz/Umsetzungsplanung/Grundlagen
- Grundschutz/Umsetzungsplanung/Konsolidierung
- Grundschutz/Umsetzungsplanung/Realisierung
- Grundschutz/Umsetzungsplanung/Reihenfolge
- Grundschutz/Umsetzungsplanung/Umsetzungsplan
- Grundschutz/Umsetzungsplanung/Verantwortlichkeit
- Grundschutz/Verbesserungsprozess
- Grundschutz/Vorfallbehandung
- Grundschutz/Zertifizierung