IT-Grundschutz: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 41: | Zeile 41: | ||
== Motivation == | == Motivation == | ||
{{;IT-Grundschutz/Motivation}} | |||
; | |||
== IT-Grundschutz des BSI == | == IT-Grundschutz des BSI == |
Version vom 11. August 2024, 11:52 Uhr
IT-Grundschutz -
Beschreibung
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
Schutzniveau
- Mittel, angemessen, im Allgemeinen ausreichend
- Erweiterbar für erhöhten Schutzbedarf
Sicherheitsmaßnahmen
Bereich | Beschreibung |
---|---|
Technisch | Geräte und Strukturen |
Infrastrukturell | Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
Organisatorisch | Ablauforganisation, Aufbauorganisation |
Personell | Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch |
Zertifizierung
ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
Bestandteile
Bestandteil | Beschreibung |
---|---|
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
Motivation
Vorlage:;IT-Grundschutz/Motivation
IT-Grundschutz des BSI
- Grundlage um
- Herausforderungen professionell gerecht zu werden
- Bemühungen für Informationssicherheit zu strukturieren
- IT-Grundschutz ermöglicht
- Systematische Schwachstellensuche
- Prüfen der Angemessenheit von Schutzmaßnahmen
- Sicherheitskonzepte entwickeln und fortzuschreiben
- die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
- Best Prcatice
Konzept
Verzicht auf initiale Risikoanalysen | |
Pauschale Gefährdungen | Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet |
Schutzbedarf
- Drei Schutzbedarfskategorien
- Schutzbedarf des Untersuchungsgegenstandes festlegen
Kategorie | Schaden |
---|---|
Normal | überschaubar |
Hoch | beträchtlich |
Sehr Hoch | existenzgefährdend |
Sicherheitsmaßnahmen
Entsprechende Sicherheitsmaßnahmen auswählen
- IT-Grundschutz-Kataloge
- personellen, technischen, organisatorischen und infrastrukturell
Kochrezepte
- Basierend auf dem IT-Grundschutz/Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendiums
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- die Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Anhang
Siehe auch
- Grundschutz/Audit
- Grundschutz/Audit/tmp
- Grundschutz/Auditor
- Grundschutz/Berater/Prüfung
- Grundschutz/Dokumentation
- Grundschutz/Grundschutz-Check
- Grundschutz/Grundschutz-Check/Beispiel
- Grundschutz/Hilfsmittel
- Grundschutz/Informationsverbund
- Grundschutz/Kennzahlen
- Grundschutz/Leitlinie
- Grundschutz/Managementprinzipien
- Grundschutz/Modellierung
- Grundschutz/Praktiker/Inhalte
- Grundschutz/Profile
- Grundschutz/Qualifizierung
- Grundschutz/Referenzdokumente
- Grundschutz/Schutzbedarf
- Grundschutz/Schutzbedarf/Anwendungen
- Grundschutz/Schutzbedarf/Geschäftsprozesse
- Grundschutz/Schutzbedarf/Kategorie
- Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- Grundschutz/Schutzbedarf/Netzwerke
- Grundschutz/Schutzbedarf/Räume
- Grundschutz/Schutzbedarf/Systeme
- Grundschutz/Sicherheitsprozess
- Grundschutz/Standard
- Grundschutz/Standard/100-3
- Grundschutz/Standard/200-1
- Grundschutz/Strukturanalyse
- Grundschutz/Strukturanalyse/Anwendungen
- Grundschutz/Strukturanalyse/Geschäftsprozesse
- Grundschutz/Strukturanalyse/Gruppierung
- Grundschutz/Strukturanalyse/Netzplan
- Grundschutz/Strukturanalyse/Räume
- Grundschutz/Strukturanalyse/Systeme
- Grundschutz/Strukturanalyse/tmp
- Grundschutz/Umsetzungsplanung
- Grundschutz/Umsetzungsplanung/Aufwand
- Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen
- Grundschutz/Umsetzungsplanung/Grundlagen
- Grundschutz/Umsetzungsplanung/Konsolidierung
- Grundschutz/Umsetzungsplanung/Realisierung
- Grundschutz/Umsetzungsplanung/Reihenfolge
- Grundschutz/Umsetzungsplanung/Umsetzungsplan
- Grundschutz/Umsetzungsplanung/Verantwortlichkeit
- Grundschutz/Verbesserungsprozess
- Grundschutz/Vorfallbehandung
- Grundschutz/Zertifizierung