IT-Grundschutz: Unterschied zwischen den Versionen
Markierung: Zurückgesetzt |
Markierung: Manuelle Zurücksetzung |
||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
<div class="float" style="width: | <div class="float" style="width: 40%"> | ||
{{:BsiUebersicht}} | {{:BsiUebersicht}} | ||
</div> | </div> | ||
Version vom 27. August 2024, 09:52 Uhr
IT-Grundschutz - Kurzbeschreibung
Beschreibung
| Standards | |
|---|---|
| 200-1 | Anforderungen an ein ISMS |
| 200-2 | Umsetzung der Anforderungen |
| 200-3 | Risikoanalyse |
| 200-4 | Business Continuity Management |
| Kompendium | |
| Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
| Kapitel 2 | Schichtenmodell / Modellierung |
| Elementare Gefährdungen |
Elementare Gefährdungen |
| Schichten | Prozesse Systeme |
- Identifizieren und Umsetzen von Sicherheitsmaßnahmen
Schutzniveau
- Mittel
- Angemessen
- Im Allgemeinen ausreichend
- Erweiterbar für erhöhten Schutzbedarf
Sicherheitsmaßnahmen
| Bereich | Beschreibung |
|---|---|
| Technisch | Geräte und Strukturen |
| Infrastrukturell | Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
| Organisatorisch | Ablauforganisation, Aufbauorganisation |
| Personell | Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch |
Zertifizierung
ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
Bestandteile
| Bestandteil | Beschreibung |
|---|---|
| Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
| Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
Motivation
IT-Grundschutz des BSI
- Grundlage um
- Herausforderungen professionell gerecht zu werden
- Bemühungen für Informationssicherheit zu strukturieren
- IT-Grundschutz ermöglicht
- Systematische Schwachstellensuche
- Prüfen der Angemessenheit von Schutzmaßnahmen
- Sicherheitskonzepte entwickeln und fortzuschreiben
- die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
- Best Prcatice
Konzept
| Verzicht auf initiale Risikoanalysen | |
| Pauschale Gefährdungen | Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet |
Schutzbedarf
- Drei Schutzbedarfskategorien
- Schutzbedarf des Untersuchungsgegenstandes festlegen
| Kategorie | Schaden |
|---|---|
| Normal | überschaubar |
| Hoch | beträchtlich |
| Sehr Hoch | existenzgefährdend |
Sicherheitsmaßnahmen
- Passende Sicherheitsmaßnahmen auswählen
- personell, technisch, organisatorisch und infrastrukturell
Kochrezepte
- Basierend auf dem IT-Grundschutz/Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendium
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- das Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Anhang
Siehe auch
- IT-Grundschutz
- IT-Grundschutz/Audit
- IT-Grundschutz/Audit/Auditprozess
- IT-Grundschutz/Audit/Beschreibung
- IT-Grundschutz/Audit/Einleitung
- IT-Grundschutz/Audit/Rezertifizierungsaudit
- IT-Grundschutz/Audit/Voraudit
- IT-Grundschutz/Audit/Zertifizierungsverfahren
- IT-Grundschutz/Audit/tmp
- IT-Grundschutz/Audit/Überwachungsaudit
- IT-Grundschutz/Auditor
- IT-Grundschutz/Berater/Zertifizierung
- IT-Grundschutz/Dokumentation
- IT-Grundschutz/Grundschutz-Check
- IT-Grundschutz/Hilfsmittel
- IT-Grundschutz/IT-Grundschutz/Kompendium/Rollen/Beschreibung
- IT-Grundschutz/IT-Grundschutz/Kompendium/System-Bausteine
- IT-Grundschutz/Informationsverbund
- IT-Grundschutz/Kennzahlen
- IT-Grundschutz/Kompendium
- IT-Grundschutz/Kompendium/Anforderung
- IT-Grundschutz/Kompendium/Baustein/Benutzerdefiniert
- IT-Grundschutz/Kompendium/Elementaren Gefährdungen
- IT-Grundschutz/Kompendium/Gliederung
- IT-Grundschutz/Kompendium/Kreuzreferenztabelle
- IT-Grundschutz/Kompendium/Prozess-Bausteine
- IT-Grundschutz/Kompendium/Schichten
- IT-Grundschutz/Kompendium/Umsetzungshinweise
- IT-Grundschutz/Leitlinie
- IT-Grundschutz/Managementprinzipien
- IT-Grundschutz/Modellierung
- IT-Grundschutz/Praktiker/Inhalte
- IT-Grundschutz/Profile
- IT-Grundschutz/Qualifizierung
- IT-Grundschutz/Referenzdokumente
- IT-Grundschutz/Schutzbedarf
- IT-Grundschutz/Schutzbedarf/Anwendungen
- IT-Grundschutz/Schutzbedarf/Geschäftsprozesse
- IT-Grundschutz/Schutzbedarf/Kategorie
- IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- IT-Grundschutz/Schutzbedarf/Netzwerke
- IT-Grundschutz/Schutzbedarf/Räume
- IT-Grundschutz/Schutzbedarf/Systeme
- IT-Grundschutz/Sicherheitsprozess
- IT-Grundschutz/Strukturanalyse
- IT-Grundschutz/Strukturanalyse/Anwendungen
- IT-Grundschutz/Strukturanalyse/Geschäftsprozesse
- IT-Grundschutz/Strukturanalyse/Gruppierung
- IT-Grundschutz/Strukturanalyse/Netzplan
- IT-Grundschutz/Strukturanalyse/Räume
- IT-Grundschutz/Strukturanalyse/Systeme
- IT-Grundschutz/Strukturanalyse/tmp
- IT-Grundschutz/Testat
- IT-Grundschutz/Umsetzungsplanung
- IT-Grundschutz/Verbesserungsprozess
- IT-Grundschutz/Vorfallbehandung
- IT-Grundschutz/Vorgehen
- IT-Grundschutz/Zertifizierung