IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Version vom 20. September 2023, 11:07 Uhr

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Überblick

Anwenderspezifische Empfehlungen
- Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
- Berücksichtigt Möglichkeiten und Risiken der Institution
Profile beziehen sich auf typische IT-Szenarien
Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt

Nicht als BSI-Vorgabe zu verstehen!

Diskussion: Nachweis für Umsetzung (z. B. Testat)
Anerkennung ausgewählter Profile durch BSI

Was ist ein IT-Grundschutz-Profil?
Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Erstellung

Aufbau

Formale Aspekte

Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI

Management Summary

Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils

Aufbau (2/5)

Geltungsbereich
Zielgruppe
Angestrebter Schutzbedarf
Zugrundeliegende IT-Grundschutz-Vorgehensweise
ISO 27001-Kompatibilität
Rahmenbedingungen
Abgrenzung
Bestandteile des IT-Grundschutz-Profils
Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
Verweise auf andere IT-Grundschutz-Profile

Aufbau (3/5)

Referenzarchitektur
Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
Informationsverbund mit
Prozessen,
Infrastruktur
Netz-Komponenten
IT-Systemen
Anwendungen
Textuell und graphisch mit eindeutigen Bezeichnungen
Wenn möglich, Gruppenbildung
Umgang bei Abweichungen zur Referenzarchitektur

Aufbau (4/5)

Umzusetzende Anforderungen und Maßnahmen
Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand

Umsetzungsvorgabe möglich:

„Auf geeignete Weise“
„Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
„Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins:

Verzicht auf (einzelne) Standardanforderungen
Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf

Zusätzliche Anforderungen

Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
[...]

Aufbau (5/5)

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept.

Risikobehandlung

Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

Hinweise, wo vertiefende Informationen zu finden sind

Anhang

Glossar, zusätzliche Bausteine etc.

Anhang

Siehe auch

Verinice/Profile

Grundschutz/Profile

Links

Weblinks

@@ Zeile 8: / Zeile 8: @@
 ; Überblick
-* Werkzeug für anwenderspezifische Empfehlungen
+* Anwenderspezifische Empfehlungen
-* Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
+** Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
-* Berücksichtigt Möglichkeiten und Risiken der Institution
+** Berücksichtigt Möglichkeiten und Risiken der Institution
 * Profile beziehen sich auf typische IT-Szenarien
 * Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
-* Nicht als BSI-Vorgabe zu verstehen!
+; Nicht als BSI-Vorgabe zu verstehen!
 * Diskussion: Nachweis für Umsetzung (z.&nbsp;B.&nbsp;Testat)
 * Anerkennung ausgewählter Profile durch BSI