Kategorie:IT-Grundschutz/Kompendium/Baustein: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 33: | Zeile 33: | ||
[[Kategorie:Grundschutz/Kompendium/Baustein]] | [[Kategorie:Grundschutz/Kompendium/Baustein]] | ||
= TMP = | |||
=== Aubau der Bausteine === | |||
Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug. | |||
* Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben. | |||
* Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind. | |||
; Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben | |||
* Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen. | |||
* Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen. | |||
; Anforderungen | |||
Die Anforderungen in den Bausteine beschreiben, '''was''' für eine angemessene Sicherheit getan werden sollte. | |||
; Umsetzungshinweise | |||
'''Wie''' dies erfolgen kann oder sollte, ist in ergänzenden '''Umsetzungshinweisen''' beschrieben, die das für die meisten Bausteine veröffentlicht. | |||
; IT-Grundschutz-Kataloge | |||
Die ''IT-Grundschutz-Kataloge'' sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines [[Information Security Management System|ISMS]] erläutern. | |||
* Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert. | |||
* Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand. | |||
</noinclude> | </noinclude> |
Version vom 20. September 2023, 09:14 Uhr
topic - Kurzbeschreibung
Beschreibung
- Grundschutz-Kompendium ist modular aufgebaut
- Den Kern bilden die jeweils rund zehn Seiten langen IT-Grundschutz-Bausteine, in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden.
- Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
- Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten.
- Zu dieser Übersicht und ihrem Stellenwert im Rahmen der Grundschutz-Methodik erfahren Sie in Lektion 7: Risikoanalyse mehr.
Bausteingliederung
- Sie beginnen mit einer kurzen Beschreibung und Abgrenzung des behandelten Sachverhalts.
- Es folgt eine Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen.
- Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen:
- vorrangig zu erfüllende Basis-Anforderungen,
- für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
- Anforderungen für den erhöhten Schutzbedarf.
- Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
Anforderungen
Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE.
- In Großbuchstaben gesetzte Verben zeigen dabei die Verbindlichkeit einer Anforderung.
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
Ausdruck | Verbindlichkeit |
---|---|
MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
Ausdruck | Verbindlichkeit |
---|---|
MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Anhang
Siehe auch
Links
Weblinks
TMP
Aubau der Bausteine
Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug.
- Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben.
- Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
- Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben
- Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen.
- Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
- Anforderungen
Die Anforderungen in den Bausteine beschreiben, was für eine angemessene Sicherheit getan werden sollte.
- Umsetzungshinweise
Wie dies erfolgen kann oder sollte, ist in ergänzenden Umsetzungshinweisen beschrieben, die das für die meisten Bausteine veröffentlicht.
- IT-Grundschutz-Kataloge
Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern.
- Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
- Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.
Diese Kategorie enthält zurzeit keine Seiten oder Medien.