IT-Grundschutz: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 97: | Zeile 97: | ||
== Konzept == | == Konzept == | ||
; Verzicht auf initiale Risikoanalysen | |||
* Basis eines ''IT-Grundschutzkonzepts'' | |||
; Pauschalen Gefährdungen | |||
* Es wird von pauschalen Gefährdungen ausgegangen | |||
*Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet | |||
=== Schutzbedarfskategorien === | |||
; Normal, Hoch, Sehr Hoch | |||
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den [[Schutzbedarf]] des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den ''IT-Grundschutz-Katalogen'' auswählt. | |||
; Basierend auf dem ''IT-Grundschutz-Kompendium'' | |||
* ''BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau. | |||
; Eintrittswahrscheinlichkeit und Schadenshöhe | |||
* Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. | |||
; Durch die Verwendung des ''IT-Grundschutz-Kompendiums'' entfällt eine aufwendige Sicherheitsanalyse | |||
* die Expertenwissen erfordert | |||
* da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. | |||
* Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen. | |||
; Erfolgreiche Umsetzung | |||
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] wird vom BSI ein Zertifikat ''[[ISO/IEC 27001]] auf Basis von IT-Grundschutz'' vergeben. | |||
* Basis dieses Verfahrens sind die neuen [[BSI-Sicherheitsstandards]]. | |||
* Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht. | |||
* Unternehmen, die sich nach dem ''ISO/IEC 27001''-Standard zertifizieren lassen, sind zur [[Risikoanalyse]] verpflichtet. | |||
* Um es sich komfortabler zu gestalten, wird meist auf die [[IT-Grundschutz#Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] gemäß ''IT-Grundschutz-Katalogen'' ausgewichen. | |||
* Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ''ISO/IEC 27001'', als auch eine Konformität zu den strengen Richtlinien des BSI. | |||
* Darüber hinaus bietet das BSI einige [[Hilfsmittel]] wie Musterrichtlinien an. | |||
; Es liegt auch ein Baustein für den [[Datenschutz]] vor, der von dem [[Bundesbeauftragter für den Datenschutz und die Informationsfreiheit|Bundesbeauftragten für den Datenschutz und die Informationsfreiheit]] in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die ''IT-Grundschutz-Kataloge'' integriert wurde. | |||
* Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung. | |||
<noinclude> | |||
[[Kategorie:Grundschutz]] | |||
<noinclude> | |||
== BSI-Standards == | == BSI-Standards == |
Version vom 21. Dezember 2023, 10:34 Uhr
IT-Grundschutz - Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
Beschreibung
IT-Grundschutz - Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Mittleres, angemessenes und ausreichendes Schutzniveau
- Sicherheitsmaßnahmen
- Technische
- Infrastrukturell
- Organisatorisch
- Personell
- ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen.
- Bestandteile
Bestandteil | Beschreibung |
---|---|
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- BSI-Standards und IT-Grundschutz-Kataloge
- Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt.
- Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an.
- Die frei verfügbaren BSI-Standards
- enthalten Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
- Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
- Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
- Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
- Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
Motivation
- Wichtigkeit und Bedeutung von Informationen
- Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
- Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.
- Fragen zur Informationssicherheit
- Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
- Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
- Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
- Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen.
- Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
- Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
- Wege zur Informationssicherheit
- Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten.
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
- Herausforderungen
Informationssicherheit muss vielfältigen Herausforderungen gerecht werden:
Option | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
- IT-Grundschutz des BSI
Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.
Er ermöglicht
- systematisch nach Schwachstellen zu suchen
- die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
- Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
Konzept
- Verzicht auf initiale Risikoanalysen
- Basis eines IT-Grundschutzkonzepts
- Pauschalen Gefährdungen
- Es wird von pauschalen Gefährdungen ausgegangen
- Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet
Schutzbedarfskategorien
- Normal, Hoch, Sehr Hoch
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt.
- Basierend auf dem IT-Grundschutz-Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau.
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- die Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben.
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards.
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet.
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen.
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI.
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde.
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.
BSI-Standards
BSI-Standards - vom BSI veröffentlichte Standards
Beschreibung
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
- IT-Grundschutz (ISMS)
- Business Continuity Management (BCMS)
- IT-Sicherheit (IT-Grundschutz/Kompendium)
Version 200
Standard | Titel | Status | Beschreibung |
---|---|---|---|
200-1 | Managementsysteme für Informationssicherheit | Standard | Information Security Management System |
200-2 | IT-Grundschutz-Methodik | Standard | Vorgehensweise |
200-3 | Risikomanagement | Standard | Risikoanalyse |
200-4 | Business Continuity Management | Standard | Notfallmanagement |
Hilfsmittel
Angebot | Beschreibung |
---|---|
Grundschutz-Profile |
|
Zertifizierung |
|
BSI-Webseite |
|
Software-Tools |
|
Fachlicher Austausch |
|
Beispielumsetzung RECPLAST |
|
Umsetzungshinweise | |
Kompendium | |
Checklisten |
Anhang
Siehe auch
Dokumentation
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikomanagement
- BSI-Standard 100-4: Notfallmanagement
- BSI-Standard 200-4: Business Continuity Management (Community Draft)
Links
Projekt
Weblinks
- https://de.wikipedia.org/wiki/IT-Grundschutz
- IT-Grundschutz – Seite beim Bundesamt für Sicherheit in der Informationstechnik
- Tools zum IT-Grundschutz
- Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft" Service des eco Verband der deutschen Internetwirtschaft e.V gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)