IT-Grundschutz: Unterschied zwischen den Versionen
Zeile 49: | Zeile 49: | ||
* Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt. | * Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt. | ||
Basierend auf den ''IT-Grundschutz-Katalogen'' des deutschen BSI bietet der ''BSI-Standard 100-2'' (vor 2006 ''IT-Grundschutzhandbuch'') ein „Kochrezept“ für ein normales Schutzniveau. | ; Basierend auf den ''IT-Grundschutz-Katalogen'' des deutschen BSI bietet der ''BSI-Standard 100-2'' (vor 2006 ''IT-Grundschutzhandbuch'') ein „Kochrezept“ für ein normales Schutzniveau. | ||
* Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. | * Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. | ||
* Durch die Verwendung der ''IT-Grundschutz-Kataloge'' entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. | * Durch die Verwendung der ''IT-Grundschutz-Kataloge'' entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. | ||
* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen. | * Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen. | ||
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben. | ; Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben. | ||
* In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten [[Auditor]]. | * In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten [[Auditor]]. | ||
* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]]. | * Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]]. | ||
Zeile 64: | Zeile 64: | ||
* Früher wurde auch ein [[GSTOOL]] angeboten, dessen Vertrieb und Support jedoch eingestellt wurde. | * Früher wurde auch ein [[GSTOOL]] angeboten, dessen Vertrieb und Support jedoch eingestellt wurde. | ||
Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde. | ; Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde. | ||
* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung. | * Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung. | ||
Version vom 11. April 2023, 00:16 Uhr
IT-Grundschutz - vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen
Beschreibung
- Als IT-Grundschutz bezeichnet die Bundesverwaltung eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT).
- Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme.
- Zum Erreichen des Ziels empfiehlt das IT-Grundschutz-Kompendium (vormals: IT-Grundschutz-Kataloge) technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.
- Wie auch im Bundesdatenschutzgesetz werden die Begriffe Sicherheit und Schutz vermengt.
- Der IT-Grundschutz ist ein griffiger Titel für eine Zusammenstellung von grundlegenden Sicherheitsmaßnahmen und dazu ergänzenden Schutzprogrammen für Behörden und Unternehmen.
- Damit werden auch technische Maßnahmen für Datenschutz umgesetzt, aber aufgrund eines anderen Schutzobjekts, nämlich den einzelnen Betroffenen, kann IT-Grundschutz die operativen Anforderungen des Datenschutzes nicht erfüllen.
- In methodischer Analogie zum IT-Grundschutz ist dafür das Standard-Datenschutzmodell (SDM) entwickelt worden, das auch die Basis für ein entwickeltes Datenschutz-Management ist.
- Unternehmen und Behörden können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme (Informationssicherheits-Managementsystem (ISMS)) gegen Gefährdungen der IT-Sicherheit mit Hilfe des ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz nachweisen.
BSI-Standards und IT-Grundschutz-Kataloge
- Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt.
- Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an.
- Die frei verfügbaren BSI-Standards enthalten Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
- Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab[1].
- Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
- Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
- Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
BSI-Standards
Standard | Titel | Beschreibung |
---|---|---|
BSI-Standard 200-1[2] | Managementsysteme für Informationssicherheit | Erläutert den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) |
BSI-Standard 200-2[3] | IT-Grundschutz-Methodik | Beschreibt die grundlegenden Vorgehensweisen nach IT-Grundschutz |
BSI-Standard 200-3[4] | Risikomanagement“ | Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf aufbauend auf einer durchgeführten IT-Grundschutzerhebung |
BSI-Standard 100-4[5] | Notfallmanagement | Wesentliche Aspekte für ein angemessenes Business Continuity Management (BCM) |
BSI-Standard 200-4[6] | (Titel: „Business Continuity Management“) | Befindet sich in Arbeit, ein Community Draft ist verfügbar |
IT-Grundschutz-Kataloge
Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern.
- Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
- Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.[7]
Konzept
- Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse
- Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet.
- Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt.
- Basierend auf den IT-Grundschutz-Katalogen des deutschen BSI bietet der BSI-Standard 100-2 (vor 2006 IT-Grundschutzhandbuch) ein „Kochrezept“ für ein normales Schutzniveau.
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.
- Durch die Verwendung der IT-Grundschutz-Kataloge entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
- Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben.
- In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor.
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards.
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet.
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen.
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI.
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.
- Früher wurde auch ein GSTOOL angeboten, dessen Vertrieb und Support jedoch eingestellt wurde.
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde.
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.
Vorgehensweise
- Gemäß IT-Grundschutzvorgehensweise werden die folgenden Schritte durchlaufen
- Definition des Informationsverbundes
- Durchführung einer Strukturanalyse
- Durchführung einer Schutzbedarfsfeststellung
- Modellierung
- Durchführung des IT-Grundschutz-Checks
- Risikoanalyse
- Konsolidierung der Maßnahmen
- Umsetzung der IT-Grundschutzmaßnahmen
Informationsverbund
- Unter einem Informationsverbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
- Ein Informationsverbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche umfassen, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind.
Strukturanalyse
- Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.
- Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an.
- Die folgenden Aspekte müssen berücksichtigt werden:
- die vorhandene Infrastruktur,
- die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
- im Informationsverbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme,
- die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
- im Informationsverbund betriebene IT-Anwendungen.
Schutzbedarfsfeststellung
- Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
- Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
- Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden.
- Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“[8].
- Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet.
- Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen.
- Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip).
- Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen.
- In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt).
- Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt).
- Dies ist z. B. bei Clustern der Fall.
Modellierung
- Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt.
- In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw.
- IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten.
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten.
- Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur.
- Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden.
- Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbundes abgebildet werden.
IT-Grundschutz-Check
- Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium.
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält.
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist.
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche.
- Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet.
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
- Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
- Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich).
- Daraus folgt was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen.
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kernabsicherung.
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf).
- Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende Informationssicherheits-Konzepte, wie zum Beispiel nach ISO/IEC 27001 angewandt.
Risikoanalyse
- Im Anschluss an den IT-Grundschutz-Check folgt eine Risikoanalyse. (Mit der Neuauflage der Grundschutz-Methodik (BSI Standard 200-2) wurde der Zwischenschritt einer "ergänzenden Sicherheitsanalyse" gestrichen.) Die Risikoanalyse kann mit Hilfe des BSI-Standards 200-3 durchgeführt werden.
Siehe auch
Unterseiten
- IT-Grundschutz
- IT-Grundschutz/Audit
- IT-Grundschutz/Audit/Auditprozess
- IT-Grundschutz/Audit/Beschreibung
- IT-Grundschutz/Audit/Einleitung
- IT-Grundschutz/Audit/Rezertifizierungsaudit
- IT-Grundschutz/Audit/Voraudit
- IT-Grundschutz/Audit/Zertifizierungsverfahren
- IT-Grundschutz/Audit/tmp
- IT-Grundschutz/Audit/Überwachungsaudit
- IT-Grundschutz/Auditor
- IT-Grundschutz/Berater/Zertifizierung
- IT-Grundschutz/Dokumentation
- IT-Grundschutz/Grundschutz-Check
- IT-Grundschutz/Hilfsmittel
- IT-Grundschutz/Informationsverbund
- IT-Grundschutz/Kennzahlen
- IT-Grundschutz/Kompendium
- IT-Grundschutz/Kompendium/Anforderung
- IT-Grundschutz/Kompendium/Baustein
- IT-Grundschutz/Kompendium/Baustein/Benutzerdefiniert
- IT-Grundschutz/Kompendium/Gefährdungen
- IT-Grundschutz/Kompendium/Gliederung
- IT-Grundschutz/Kompendium/Kreuzreferenztabelle
- IT-Grundschutz/Kompendium/Prozess-Bausteine
- IT-Grundschutz/Kompendium/Rollen
- IT-Grundschutz/Kompendium/Rollen/Beschreibung
- IT-Grundschutz/Kompendium/Schichten
- IT-Grundschutz/Kompendium/System-Bausteine
- IT-Grundschutz/Kompendium/Umsetzungshinweise
- IT-Grundschutz/Leitlinie
- IT-Grundschutz/Managementprinzipien
- IT-Grundschutz/Modellierung
- IT-Grundschutz/Praktiker/Inhalte
- IT-Grundschutz/Profile
- IT-Grundschutz/Qualifizierung
- IT-Grundschutz/Referenzdokumente
- IT-Grundschutz/Schutzbedarf
- IT-Grundschutz/Schutzbedarf/Anwendungen
- IT-Grundschutz/Schutzbedarf/Geschäftsprozesse
- IT-Grundschutz/Schutzbedarf/Kategorie
- IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- IT-Grundschutz/Schutzbedarf/Netzwerke
- IT-Grundschutz/Schutzbedarf/Räume
- IT-Grundschutz/Schutzbedarf/Systeme
- IT-Grundschutz/Sicherheitsprozess
- IT-Grundschutz/Strukturanalyse
- IT-Grundschutz/Strukturanalyse/Anwendungen
- IT-Grundschutz/Strukturanalyse/Geschäftsprozesse
- IT-Grundschutz/Strukturanalyse/Gruppierung
- IT-Grundschutz/Strukturanalyse/Netzplan
- IT-Grundschutz/Strukturanalyse/Räume
- IT-Grundschutz/Strukturanalyse/Systeme
- IT-Grundschutz/Strukturanalyse/tmp
- IT-Grundschutz/Testat
- IT-Grundschutz/Umsetzungsplanung
- IT-Grundschutz/Verbesserungsprozess
- IT-Grundschutz/Vorfallbehandung
- IT-Grundschutz/Vorgehen
- IT-Grundschutz/Zertifizierung
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
- ↑ BSI-Standards
- ↑ BSI-Standard 200-1: Managementsysteme für Informationssicherheit
- ↑ BSI-Standard 200-2: IT-Grundschutz-Methodik
- ↑ BSI-Standard 200-3: Risikomanagement
- ↑ BSI-Standard 100-4: Notfallmanagement
- ↑ BSI-Standard 200-4: Business Continuity Management (Community Draft)
- ↑ Vorlage:Literatur
- ↑ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile
Projekt
Weblinks
- https://de.wikipedia.org/wiki/IT-Grundschutz
- IT-Grundschutz – Seite beim Bundesamt für Sicherheit in der Informationstechnik
- Tools zum IT-Grundschutz
- Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft" Service des eco Verband der deutschen Internetwirtschaft e.V gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5