IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 34: Zeile 34:
=== Wie ist ein Profil aufgebaut? ===
=== Wie ist ein Profil aufgebaut? ===


==== IT-Grundschutz-Profile ====
; Formale Aspekte
Aufbau (1/5)
Titel
  Formale Aspekte
Autor
  Titel
Verantwortlich
  Autor
Registrierungsnummer
  Verantwortlich
Versionsstand
  Registrierungsnummer
Revisionszyklus
  Versionsstand
Vertraulichkeit
  Revisionszyklus
Status der Anerkennung durch das BSI
  Vertraulichkeit
; Management Summary
  Status der Anerkennung durch das BSI
* Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
  Management Summary
  Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils


==== IT-Grundschutz-Profile ====
Aufbau (2/5)
Aufbau (2/5)
* Geltungsbereich
  Geltungsbereich
* Zielgruppe
  Zielgruppe
* Angestrebter Schutzbedarf
  Angestrebter Schutzbedarf
* Zugrundeliegende IT-Grundschutz-Vorgehensweise
  Zugrundeliegende IT-Grundschutz-Vorgehensweise
* ISO 27001-Kompatibilität
  ISO 27001-Kompatibilität
* Rahmenbedingungen
  Rahmenbedingungen
* Abgrenzung
  Abgrenzung
* Bestandteile des IT-Grundschutz-Profils
  Bestandteile des IT-Grundschutz-Profils
* Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
* Verweise auf andere IT-Grundschutz-Profile
  Verweise auf andere IT-Grundschutz-Profile


==== IT-Grundschutz-Profile ====
; Aufbau (3/5)
Aufbau (3/5)
* Referenzarchitektur
  Referenzarchitektur
* Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
* Informationsverbund mit
  Informationsverbund mit
* Prozessen,
  Prozessen,
* (Infrastruktur,)
  (Infrastruktur,)
* Netz-Komponenten,
  Netz-Komponenten,
* IT-Systemen und
  IT-Systemen und
* Anwendungen
  Anwendungen
* Textuell und graphisch mit eindeutigen Bezeichnungen
  Textuell und graphisch mit eindeutigen Bezeichnungen
* Wenn möglich, Gruppenbildung
  Wenn möglich, Gruppenbildung
* Umgang bei Abweichungen zur Referenzarchitektur
  Umgang bei Abweichungen zur Referenzarchitektur


==== IT-Grundschutz-Profile ====
; Aufbau (4/5)
Aufbau (4/5)
* Umzusetzende Anforderungen und Maßnahmen
  Umzusetzende Anforderungen und Maßnahmen
* Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
  Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
* Umsetzungsvorgabe möglich:
  Umsetzungsvorgabe möglich:
* „Auf geeignete Weise“
  „Auf geeignete Weise“
* „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
* „Durch Umsetzung von [...]“
  „Durch Umsetzung von [...]“
* Auswahl der umzusetzenden Anforderungen eines Bausteins:
  Auswahl der umzusetzenden Anforderungen eines Bausteins:
* Verzicht auf (einzelne) Standardanforderungen
  Verzicht auf (einzelne) Standardanforderungen
* Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
  Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
* Zusätzliche Anforderungen
  Zusätzliche Anforderungen
* Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
* Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
* [...]
  [...]


==== IT-Grundschutz-Profile ====
; Aufbau (5/5)
Aufbau (5/5)
* Anwendungshinweise
  Anwendungshinweise
* Zusätzliche Informationen zur Anwendung und Integration in das
  Zusätzliche Informationen zur Anwendung und Integration in das
* Gesamtsicherheitskonzept
  Gesamtsicherheitskonzept
* Risikobehandlung
  Risikobehandlung
* Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
  Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
* Unterstützende Informationen
  Unterstützende Informationen
* Hinweise, wo vertiefende Informationen zu finden sind
  Hinweise, wo vertiefende Informationen zu finden sind
* Anhang
  Anhang
* Glossar, zusätzliche Bausteine, etc.
  Glossar, zusätzliche Bausteine, etc.
<noinclude>
<noinclude>



Version vom 10. August 2023, 19:05 Uhr

topic - Kurzbeschreibung

Beschreibung

Blick auf Beispielbausteine
Blick in Institutionen
Adaption als Schablone
IT-Grundschutz-Profile

Profile im modernisierten IT-Grundschutz

  • Schablonen für die Informationssicherheit

Aufbau eines Profils

Erstellung eines Profils

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Was ist ein IT-Grundschutz-Profil?

Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

IT-Grundschutz-Profile

Überblick
  • Werkzeug für anwenderspezifische Empfehlungen
  • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
  • Berücksichtigt Möglichkeiten und Risiken der Institution
  • Profile beziehen sich auf typische IT-Szenarien
  • Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
  • Nicht als BSI-Vorgabe zu verstehen!
  • Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie
  • Anerkennung ausgewählter Profile durch BSI

Wie ist ein Profil aufgebaut?

Formale Aspekte

Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI

Management Summary
  • Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils

Aufbau (2/5)

  • Geltungsbereich
  • Zielgruppe
  • Angestrebter Schutzbedarf
  • Zugrundeliegende IT-Grundschutz-Vorgehensweise
  • ISO 27001-Kompatibilität
  • Rahmenbedingungen
  • Abgrenzung
  • Bestandteile des IT-Grundschutz-Profils
  • Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  • Verweise auf andere IT-Grundschutz-Profile
Aufbau (3/5)
  • Referenzarchitektur
  • Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  • Informationsverbund mit
  • Prozessen,
  • (Infrastruktur,)
  • Netz-Komponenten,
  • IT-Systemen und
  • Anwendungen
  • Textuell und graphisch mit eindeutigen Bezeichnungen
  • Wenn möglich, Gruppenbildung
  • Umgang bei Abweichungen zur Referenzarchitektur
Aufbau (4/5)
  • Umzusetzende Anforderungen und Maßnahmen
  • Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
  • Umsetzungsvorgabe möglich:
  • „Auf geeignete Weise“
  • „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  • „Durch Umsetzung von [...]“
  • Auswahl der umzusetzenden Anforderungen eines Bausteins:
  • Verzicht auf (einzelne) Standardanforderungen
  • Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
  • Zusätzliche Anforderungen
  • Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  • Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  • [...]
Aufbau (5/5)
  • Anwendungshinweise
  • Zusätzliche Informationen zur Anwendung und Integration in das
  • Gesamtsicherheitskonzept
  • Risikobehandlung
  • Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
  • Unterstützende Informationen
  • Hinweise, wo vertiefende Informationen zu finden sind
  • Anhang
  • Glossar, zusätzliche Bausteine, etc.


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5