IT-Grundschutz: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 24: | Zeile 24: | ||
; Zertifizierung | ; Zertifizierung | ||
ISO/IEC 27001- | ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | ||
* Nachweis eines systematischen Vorgehens | * Nachweis eines systematischen Vorgehens | ||
* [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]] | * [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]] | ||
Zeile 71: | Zeile 71: | ||
=== Herausforderungen === | === Herausforderungen === | ||
Informationssicherheit muss | Informationssicherheit muss vielfältigen Herausforderungen gerecht werden | ||
{| class="wikitable options" | {| class="wikitable options" | ||
|- | |- | ||
Zeile 101: | Zeile 101: | ||
== IT-Grundschutz des BSI == | == IT-Grundschutz des BSI == | ||
; Grundlage für | |||
* Herausforderungen professionell gerecht zu werden | |||
* Bemühungen für Informationssicherheit strukturieren | |||
; Er ermöglicht | ; Er ermöglicht | ||
Zeile 108: | Zeile 110: | ||
* Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen | * Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen | ||
* Allgemein anerkannten Standards zu genügen | * Allgemein anerkannten Standards zu genügen | ||
* Best Prcatice | |||
=== Konzept === | === Konzept === |
Version vom 11. August 2024, 09:13 Uhr
IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Beschreibung
Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)
- Schutzniveau
- Mittel, angemessen, im Allgemeinen ausreichend
- Erweiterbar für erhöhten Schutzbedarf
- Sicherheitsmaßnahmen
Bereich | Beschreibung |
---|---|
Technisch | |
Infrastrukturell | |
Organisatorisch | |
Personell |
- Zertifizierung
ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
- Bestandteile
Bestandteil | Beschreibung |
---|---|
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- BSI-Standards und IT-Grundschutz-Kataloge
- Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt
- Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an
- BSI-Standards
- Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes
- Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
- Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge
- Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich
- Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor
Motivation
Wichtigkeit und Bedeutung von Informationen
- Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
- Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind
Fragen zur Informationssicherheit
- Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
- Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
- Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
- Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen
- Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen
- Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können
Wege zur Informationssicherheit
- Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
Herausforderungen
Informationssicherheit muss vielfältigen Herausforderungen gerecht werden
Option | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
IT-Grundschutz des BSI
- Grundlage für
- Herausforderungen professionell gerecht zu werden
- Bemühungen für Informationssicherheit strukturieren
- Er ermöglicht
- systematisch nach Schwachstellen zu suchen
- die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
- Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
- Best Prcatice
Konzept
Verzicht auf initiale Risikoanalysen | Basis eines IT-Grundschutzkonzepts |
Pauschale Gefährdungen |
|
Schutzbedarfskategorien
- Normal, Hoch, Sehr Hoch
Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt
Kochrezepte
- Basierend auf dem IT-Grundschutz/Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendiums
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- die Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Anhang
Siehe auch
- IT-Grundschutz
- IT-Grundschutz/Audit
- IT-Grundschutz/Audit/Auditprozess
- IT-Grundschutz/Audit/Beschreibung
- IT-Grundschutz/Audit/Einleitung
- IT-Grundschutz/Audit/Rezertifizierungsaudit
- IT-Grundschutz/Audit/Voraudit
- IT-Grundschutz/Audit/Zertifizierungsverfahren
- IT-Grundschutz/Audit/tmp
- IT-Grundschutz/Audit/Überwachungsaudit
- IT-Grundschutz/Auditor
- IT-Grundschutz/Berater/Zertifizierung
- IT-Grundschutz/Dokumentation
- IT-Grundschutz/Grundschutz-Check
- IT-Grundschutz/Hilfsmittel
- IT-Grundschutz/IT-Grundschutz/Kompendium/Rollen/Beschreibung
- IT-Grundschutz/IT-Grundschutz/Kompendium/System-Bausteine
- IT-Grundschutz/Informationsverbund
- IT-Grundschutz/Kennzahlen
- IT-Grundschutz/Kompendium
- IT-Grundschutz/Kompendium/Anforderung
- IT-Grundschutz/Kompendium/Baustein/Benutzerdefiniert
- IT-Grundschutz/Kompendium/Elementaren Gefährdungen
- IT-Grundschutz/Kompendium/Gliederung
- IT-Grundschutz/Kompendium/Kreuzreferenztabelle
- IT-Grundschutz/Kompendium/Prozess-Bausteine
- IT-Grundschutz/Kompendium/Schichten
- IT-Grundschutz/Kompendium/Umsetzungshinweise
- IT-Grundschutz/Leitlinie
- IT-Grundschutz/Managementprinzipien
- IT-Grundschutz/Modellierung
- IT-Grundschutz/Praktiker/Inhalte
- IT-Grundschutz/Profile
- IT-Grundschutz/Qualifizierung
- IT-Grundschutz/Referenzdokumente
- IT-Grundschutz/Schutzbedarf
- IT-Grundschutz/Schutzbedarf/Anwendungen
- IT-Grundschutz/Schutzbedarf/Geschäftsprozesse
- IT-Grundschutz/Schutzbedarf/Kategorie
- IT-Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- IT-Grundschutz/Schutzbedarf/Netzwerke
- IT-Grundschutz/Schutzbedarf/Räume
- IT-Grundschutz/Schutzbedarf/Systeme
- IT-Grundschutz/Sicherheitsprozess
- IT-Grundschutz/Strukturanalyse
- IT-Grundschutz/Strukturanalyse/Anwendungen
- IT-Grundschutz/Strukturanalyse/Geschäftsprozesse
- IT-Grundschutz/Strukturanalyse/Gruppierung
- IT-Grundschutz/Strukturanalyse/Netzplan
- IT-Grundschutz/Strukturanalyse/Räume
- IT-Grundschutz/Strukturanalyse/Systeme
- IT-Grundschutz/Strukturanalyse/tmp
- IT-Grundschutz/Testat
- IT-Grundschutz/Umsetzungsplanung
- IT-Grundschutz/Verbesserungsprozess
- IT-Grundschutz/Vorfallbehandung
- IT-Grundschutz/Vorgehen
- IT-Grundschutz/Zertifizierung