IT-Grundschutz/Profile: Unterschied zwischen den Versionen

topic - Kurzbeschreibung

Beschreibung

IT-Grundschutz-Profile

Profile im modernisierten IT-Grundschutz

• Schablonen für die Informationssicherheit

Aufbau eines Profils

Erstellung eines Profils

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Was ist ein IT-Grundschutz-Profil?

Definition
  Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
 Ziel
  Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

IT-Grundschutz-Profile

Überblick
 Werkzeug für anwenderspezifische Empfehlungen
 Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
 Berücksichtigt Möglichkeiten und Risiken der Institution
 Profile beziehen sich auf typische IT-Szenarien
 Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
 Nicht als BSI-Vorgabe zu verstehen!
 Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie
 Anerkennung ausgewählter Profile durch BSI

IT-Grundschutz-Profile

ein Blick in Institutionen

IT-Grundschutz-Profile

ein Blick auf Beispielbausteine

IT-Grundschutz-Profile

Adaption als Schablone

Wie ist ein Profil aufgebaut?

IT-Grundschutz-Profile

Aufbau (1/5)
 Formale Aspekte
  Titel
  Autor
  Verantwortlich
  Registrierungsnummer
  Versionsstand
  Revisionszyklus
  Vertraulichkeit
  Status der Anerkennung durch das BSI
 Management Summary
 Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils

IT-Grundschutz-Profile

Aufbau (2/5)
 Geltungsbereich
 Zielgruppe
 Angestrebter Schutzbedarf
 Zugrundeliegende IT-Grundschutz-Vorgehensweise
 ISO 27001-Kompatibilität
 Rahmenbedingungen
 Abgrenzung
 Bestandteile des IT-Grundschutz-Profils
 Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
 Verweise auf andere IT-Grundschutz-Profile

IT-Grundschutz-Profile

Aufbau (3/5)
 Referenzarchitektur
 Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
 Informationsverbund mit
 Prozessen,
 (Infrastruktur,)
 Netz-Komponenten,
 IT-Systemen und
 Anwendungen
 Textuell und graphisch mit eindeutigen Bezeichnungen
 Wenn möglich, Gruppenbildung
 Umgang bei Abweichungen zur Referenzarchitektur

IT-Grundschutz-Profile

Aufbau (4/5)
 Umzusetzende Anforderungen und Maßnahmen
 Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
 Umsetzungsvorgabe möglich:
 „Auf geeignete Weise“
 „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
 „Durch Umsetzung von [...]“
 Auswahl der umzusetzenden Anforderungen eines Bausteins:
 Verzicht auf (einzelne) Standardanforderungen
 Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
 Zusätzliche Anforderungen
 Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
 Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
 [...]

IT-Grundschutz-Profile

Aufbau (5/5)
 Anwendungshinweise
 Zusätzliche Informationen zur Anwendung und Integration in das
 Gesamtsicherheitskonzept
 Risikobehandlung
 Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
 Unterstützende Informationen
 Hinweise, wo vertiefende Informationen zu finden sind
 Anhang
 Glossar, zusätzliche Bausteine, etc.

Anhang

Siehe auch

• Verinice/Profile

• Grundschutz/Profile

Dokumentation

Links

Projekt

Weblinks

Testfragen