IT-Grundschutz: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 41: | Zeile 41: | ||
* Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der [[ISO/IEC 27001]] an. | * Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der [[ISO/IEC 27001]] an. | ||
; | ; BSI-Standards | ||
* | * Angaben zum Aufbau eines [[Information Security Management System|Informationssicherheitsmanagementsystems (ISMS)]] und zur Umsetzung des IT-Grundschutzes. | ||
* Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab | * Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab | ||
* Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem [[BS 25999]] sowie dem [[ITIL]] Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge. | * Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem [[BS 25999]] sowie dem [[ITIL]] Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge. | ||
* Mit Umsetzung dieses Standards ist eine [[Zertifizierung]] gemäß BS 25999-2 möglich. | * Mit Umsetzung dieses Standards ist eine [[Zertifizierung]] gemäß BS 25999-2 möglich. |
Version vom 15. März 2024, 11:09 Uhr
IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
Beschreibung
Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Mittleres, angemessenes und im Allgemeinen ausreichendes Schutzniveau
- Erweiterbar für erhöhten Schutzbedarf
- Sicherheitsmaßnahmen
Bereich | Beschreibung |
---|---|
Technisch | |
Infrastrukturell | |
Organisatorisch | |
Personell |
- Zertifizierung
ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
- Bestandteile
Bestandteil | Beschreibung |
---|---|
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- BSI-Standards und IT-Grundschutz-Kataloge
- Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt.
- Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an.
- BSI-Standards
- Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
- Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
- Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
- Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
- Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.
Motivation
- Wichtigkeit und Bedeutung von Informationen
- Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
- Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.
- Fragen zur Informationssicherheit
- Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
- Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
- Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
- Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen.
- Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
- Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
- Wege zur Informationssicherheit
- Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten.
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
- Herausforderungen
Informationssicherheit muss vielfältigen Herausforderungen gerecht werden:
Option | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
- IT-Grundschutz des BSI
Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.
Er ermöglicht
- systematisch nach Schwachstellen zu suchen
- die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
- Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
Konzept
Verzicht auf initiale Risikoanalysen | Basis eines IT-Grundschutzkonzepts |
Pauschale Gefährdungen |
|
Schutzbedarfskategorien
- Normal, Hoch, Sehr Hoch
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt.
- Basierend auf dem IT-Grundschutz-Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau.
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt.
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- die Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird.
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben.
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards.
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht.
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet.
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen.
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI.
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an.
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde.
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.