IT-Grundschutz: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 67: Zeile 67:


== Vorgehensweise ==
== Vorgehensweise ==
; IT-Grundschutzvorgehensweise
[[Grundschutz/Vorgehensweise]]
 
{| class="wikitable sortable options"
|-
! Arbeitsschitt !! Beschreibung
|-
| Definition des Informationsverbundes || Scope
|-
| Durchführung einer Strukturanalyse ||
|-
| Durchführung einer Schutzbedarfsfeststellung ||
|-
| Modellierung ||
|-
| Durchführung des IT-Grundschutz-Checks ||
|-
| Risikoanalyse ||
|-
| Konsolidierung der Maßnahmen ||
|-
| Umsetzung der IT-Grundschutzmaßnahmen ||
|}
 
=== Informationsverbund ===
; Unter einem Informationsverbund ist die Gesamtheit von [[infrastruktur]]ellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der [[Elektronische Datenverarbeitung|Informationsverarbeitung]] dienen.
* Ein Informationsverbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche umfassen, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame [[Anwendungsprogramm|IT-Anwendungen]] (z. B. Personalinformationssystem) gegliedert sind.
 
=== Absicherung-Varianten ===
Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit.
* So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt.
* Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren.
 
Die im Standard 200-2 beschriebene''' Grundschutz-Methodik''' sieht daher '''drei Varianten''' vor, mit denen eine Institution ein ihren Anforderungen und Gegebenheiten gemäßes Sicherheitsniveau erreichen kann:
* Die '''Basis-Varianten''' bietet einen einfachen Einstieg in das systematische Management der Informationssicherheit und zeigt, wie eine Institution ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen ihr Sicherheitsniveau durch die Erfüllung besonders wichtiger Basis-Anforderungen signifikant erhöhen kann.
* Wenn Sie genauer wissen möchten, wie es geht: Der Leitfaden zur Basis-Absicherung nach Grundschutz: In drei Schritten zur Informationssicherheit liefert einen kompakten und übersichtlichen Einstieg in das besonders für kleine und mittlere Unternehmen und Behörden interessante Vorgehen.
* Mit Hilfe der '''Standard-Absicherung''' kann eine Institution ausgehend von einer systematischen Erfassung der verschiedenen Komponenten, die im Sicherheitskonzept zu berücksichtigen sind, und der Bewertung ihres Schutzbedarfs mit Hilfe des -Grundschutz-Kompendiums und mit in Einzelfällen zusätzlich erforderlichen Risikoanalysen eine umfassende Absicherung erreichen.
* Die '''Kern-Absicherung''' umfasst alle Schritte der Standard-Absicherung, konzentriert sich dabei aber auf ausgewählte, besonders wichtige Bereiche (die „Kronjuwelen“) einer Institution.
 
Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat.
 
=== Strukturanalyse ===
; Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz-Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.
* Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein [[Netztopologieplan]] als Ausgangsbasis für die Analyse an.
* Die folgenden Aspekte müssen berücksichtigt werden:
* die vorhandene [[Infrastruktur]],
* die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
* im Informationsverbund eingesetzte vernetzte und nicht-vernetzte [[Informationstechnisches System|IT-Systeme]],
* die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
* im Informationsverbund betriebene IT-Anwendungen.
 
=== Schutzbedarfsfeststellung ===
; Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
* Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
* Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden.
* Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“<ref>https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile</ref>.
* Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet.
 
; Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen.
* Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes [[Maximumprinzip]]).
 
; Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen.
* In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen ([[Kumulationseffekt]]).
 
; Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen ([[Verteilungseffekt]]).
* Dies ist z. B. bei Clustern der Fall.
 
=== Modellierung ===
; Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt
* In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw.
* IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten.
* Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten.
* Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur.
* Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden.
* Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbundes abgebildet werden.
 
=== IT-Grundschutz-Check ===
; Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium
* Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält.
* Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist.
* Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche.
 
; Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
* Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
* Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
 
; Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
* Daraus folgt was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen.
* Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kernabsicherung.
* Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf).
 
; Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheit]]s-Konzepte, wie zum Beispiel nach [[ISO/IEC 27001]] angewandt.
 
=== Risikoanalyse ===
; Im Anschluss an den IT-Grundschutz-Check folgt eine Risikoanalyse. (Mit der Neuauflage der Grundschutz-Methodik (BSI Standard 200-2) wurde der Zwischenschritt einer "ergänzenden Sicherheitsanalyse" gestrichen.) Die Risikoanalyse kann mit Hilfe des BSI-Standards 200-3 durchgeführt werden.
 
<noinclude>
<noinclude>



Version vom 16. Mai 2023, 14:10 Uhr

IT-Grundschutz - vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen

Beschreibung

IT-Grundschutz
Ziel
  • mittleres, angemessenen und ausreichenden Schutzniveaus für IT-Systeme
Vorgehen

Zum Erreichen des Ziels empfiehlt das IT-Grundschutz-Kompendium (vormals: IT-Grundschutz-Kataloge) technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.

Wie auch im Bundesdatenschutzgesetz werden die Begriffe Sicherheit und Schutz vermengt
  • Der IT-Grundschutz ist ein griffiger Titel für eine Zusammenstellung von grundlegenden Sicherheitsmaßnahmen und dazu ergänzenden Schutzprogrammen für Behörden und Unternehmen.
  • Damit werden auch technische Maßnahmen für Datenschutz umgesetzt, aber aufgrund eines anderen Schutzobjekts, nämlich den einzelnen Betroffenen, kann IT-Grundschutz die operativen Anforderungen des Datenschutzes nicht erfüllen.
  • In methodischer Analogie zum IT-Grundschutz ist dafür das Standard-Datenschutzmodell (SDM) entwickelt worden, das auch die Basis für ein entwickeltes Datenschutz-Management ist.
Unternehmen und Behörden können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme (Informationssicherheits-Managementsystem (ISMS)) gegen Gefährdungen der IT-Sicherheit mit Hilfe des ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz nachweisen.
BSI-Standards und IT-Grundschutz-Kataloge
Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt.
  • Seit diesem Zeitpunkt gleicht das BSI seine eigenen Standards regelmäßig an internationale Normen wie der ISO/IEC 27001 an.
Die frei verfügbaren BSI-Standards enthalten Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
  • Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab[1].
  • Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
  • Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
  • Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.

Bestandteile

Bestandteil Beschreibung
Standards Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können

Gliederung

Motivation

Grundschutz/Motivation

Konzept

IT-Grundschutz/Konzept

BSI-Standards

BSI-Standards

Kompendium

Grundschutz/Kompendium

Hilfsmittel

Grundschutz/Hilfsmittel

Vorgehensweise

Grundschutz/Vorgehensweise


Anhang

Siehe auch

Dokumentation

  1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit
  2. BSI-Standard 200-2: IT-Grundschutz-Methodik
  3. BSI-Standard 200-3: Risikomanagement
  4. BSI-Standard 100-4: Notfallmanagement
  5. BSI-Standard 200-4: Business Continuity Management (Community Draft)

Links

Einzelnachweise
Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/IT-Grundschutz
  2. IT-Grundschutz – Seite beim Bundesamt für Sicherheit in der Informationstechnik
  3. Tools zum IT-Grundschutz
  4. Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft" Service des eco Verband der deutschen Internetwirtschaft e.V gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)