IT-Grundschutz: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 52: Zeile 52:


== Motivation ==
== Motivation ==
=== Wichtigkeit und Bedeutung von Informationen ===
=== Bedeutung von Informationen ===
; Wichtigkeit und Bedeutung von Informationen
* Für Unternehmen und Behörden ist es unerlässlich, dass ''Informationen'' korrekt vorliegen und vertraulich behandelt werden
* Für Unternehmen und Behörden ist es unerlässlich, dass ''Informationen'' korrekt vorliegen und vertraulich behandelt werden
* Entsprechend wichtig ist auch, dass die ''technischen Systeme,'' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und ''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt'' sind
* Entsprechend wichtig ist auch, dass die ''technischen Systeme,'' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und ''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt'' sind

Version vom 11. August 2024, 10:53 Uhr

IT-Grundschutz - Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)

Standards
200-1 Anforderungen an ein ISMS
200-2 Umsetzung der Anforderungen
200-3 Risikoanalyse
200-4 Business Continuity Management
Kompendium
Kapitel 1 Kompendium/Vorspann
Kapitel 2 Schichtenmodell / Modellierung
Elementare
Gefährdungen
Elementare Gefährdungen
Schichten Prozesse
Systeme

Beschreibung

Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)

Schutzniveau
  • Mittel, angemessen, im Allgemeinen ausreichend
  • Erweiterbar für erhöhten Schutzbedarf
Sicherheitsmaßnahmen
Bereich Beschreibung
Technisch Geräte und Strukturen
Infrastrukturell Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
Organisatorisch Ablauforganisation, Aufbauorganisation
Personell Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch
Zertifizierung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Bestandteile
Bestandteil Beschreibung
Standards Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
BSI-Standards und IT-Grundschutz-Kataloge
BSI-Standards
  • Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge
  • Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich
  • Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor

Motivation

Bedeutung von Informationen

Wichtigkeit und Bedeutung von Informationen
  • Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
  • Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind

Fragen zur Informationssicherheit

  • Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
  • Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
  • Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
  • Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen

  • Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen
  • Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können

Wege zur Informationssicherheit

  • Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
  • Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Informationssicherheit muss vielfältigen Herausforderungen gerecht werden

Option Beschreibung
Komplexität Komplexität der Gefährdungslage
  • Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
Ganzheitlichkeit Ganzheitlichkeit der Sicherheitskonzepte
  • Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
Zusammenwirken Zusammenwirken der Sicherheitsmaßnahmen
  • Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
Angemessenheit Angemessenheit der Sicherheitsmaßnahmen
  • Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten
  • Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern
  • Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
Externe Anforderungen Erfüllung externer Anforderungen
  • Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben
  • Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
Nachhaltigkeit Nachhaltigkeit der Sicherheitsmaßnahmen
  • Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand
  • Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter
  • Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln

IT-Grundschutz des BSI

Grundlage um
  • Herausforderungen professionell gerecht zu werden
  • Bemühungen für Informationssicherheit zu strukturieren
IT-Grundschutz ermöglicht
  • Systematische Schwachstellensuche
  • Prüfen der Angemessenheit von Schutzmaßnahmen
  • Sicherheitskonzepte entwickeln und fortzuschreiben
    • die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
  • Allgemein anerkannten Standards zu genügen
  • Best Prcatice

Konzept

Verzicht auf initiale Risikoanalysen
Pauschale Gefährdungen Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarf

Drei Schutzbedarfskategorien
Kategorie Schaden
Normal überschaubar
Hoch beträchtlich
Sehr Hoch existenzgefährdend

Sicherheitsmaßnahmen

Entsprechende Sicherheitsmaßnahmen auswählen

  • IT-Grundschutz-Kataloge
  • personellen, technischen, organisatorischen und infrastrukturell

Kochrezepte

Basierend auf dem IT-Grundschutz/Kompendium
  • BSI-Standard 200-2 bietet „Kochrezepte“ für ein normales Schutzniveau
Eintrittswahrscheinlichkeit und Schadenshöhe
  • Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
IT-Grundschutz-Kompendiums
Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
  • die Expertenwissen erfordert
  • da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
  • Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben

  • Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
  • Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
  • Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
  • Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
  • Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
  • Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
  • Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung


Anhang

Siehe auch


Links

Projekt
  1. IT-Grundschutz Starteide des BSI.
Weblinks
  1. https://de.wikipedia.org/wiki/IT-Grundschutz