IT-Grundschutz/Profile: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''topic''' - Kurzbeschreibung
== Beschreibung ==
== Beschreibung ==
IT-Grundschutz-Profile
12.1 Aufbau eine Profils
12.2 Erstellung eines Profils
12.3 Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile


Profile im modernisierten IT-Grundschutz
Schablonen für die Informationssicherheit
=== Was ist ein IT-Grundschutz-Profil? ===
Definition
  Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
  Ziel
  Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
=== IT-Grundschutz-Profile ===
Überblick
  Werkzeug für anwenderspezifische Empfehlungen
  Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
  Berücksichtigt Möglichkeiten und Risiken der Institution
  Profile beziehen sich auf typische IT-Szenarien
  Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
  Nicht als BSI-Vorgabe zu verstehen!
  Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie
  Anerkennung ausgewählter Profile durch BSI
=== IT-Grundschutz-Profile ===
ein Blick in Institutionen
=== IT-Grundschutz-Profile ===
ein Blick auf Beispielbausteine
=== IT-Grundschutz-Profile ===
Adaption als Schablone
=== Wie ist ein Profil aufgebaut? ===
=== IT-Grundschutz-Profile ===
Aufbau (1/5)
  Formale Aspekte
  Titel
  Autor
  Verantwortlich
  Registrierungsnummer
  Versionsstand
  Revisionszyklus
  Vertraulichkeit
  Status der Anerkennung durch das BSI
  Management Summary
  Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
=== IT-Grundschutz-Profile ===
Aufbau (2/5)
  Geltungsbereich
  Zielgruppe
  Angestrebter Schutzbedarf
  Zugrundeliegende IT-Grundschutz-Vorgehensweise
  ISO 27001-Kompatibilität
  Rahmenbedingungen
  Abgrenzung
  Bestandteile des IT-Grundschutz-Profils
  Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  Verweise auf andere IT-Grundschutz-Profile
=== IT-Grundschutz-Profile ===
Aufbau (3/5)
  Referenzarchitektur
  Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  Informationsverbund mit
  Prozessen,
  (Infrastruktur,)
  Netz-Komponenten,
  IT-Systemen und
  Anwendungen
  Textuell und graphisch mit eindeutigen Bezeichnungen
  Wenn möglich, Gruppenbildung
  Umgang bei Abweichungen zur Referenzarchitektur
=== IT-Grundschutz-Profile ===
Aufbau (4/5)
  Umzusetzende Anforderungen und Maßnahmen
  Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
  Umsetzungsvorgabe möglich:
  „Auf geeignete Weise“
  „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  „Durch Umsetzung von [...]“
  Auswahl der umzusetzenden Anforderungen eines Bausteins:
  Verzicht auf (einzelne) Standardanforderungen
  Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
  Zusätzliche Anforderungen
  Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  [...]
=== IT-Grundschutz-Profile ===
Aufbau (5/5)
  Anwendungshinweise
  Zusätzliche Informationen zur Anwendung und Integration in das
  Gesamtsicherheitskonzept
  Risikobehandlung
  Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
  Unterstützende Informationen
  Hinweise, wo vertiefende Informationen zu finden sind
  Anhang
  Glossar, zusätzliche Bausteine, etc.
<noinclude>
<noinclude>
[[File:10000201000007D300000561EF3AF451B178B383.png|mini]]
[[File:10000201000007D300000561EF3AF451B178B383.png|mini]]

Version vom 2. Juni 2023, 08:35 Uhr

topic - Kurzbeschreibung

Beschreibung

IT-Grundschutz-Profile 12.1 Aufbau eine Profils 12.2 Erstellung eines Profils 12.3 Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile


Profile im modernisierten IT-Grundschutz

Schablonen für die Informationssicherheit

Was ist ein IT-Grundschutz-Profil?

Definition
  Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
 Ziel
  Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

IT-Grundschutz-Profile

Überblick
 Werkzeug für anwenderspezifische Empfehlungen
 Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
 Berücksichtigt Möglichkeiten und Risiken der Institution
 Profile beziehen sich auf typische IT-Szenarien
 Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt
 Nicht als BSI-Vorgabe zu verstehen!
 Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie
 Anerkennung ausgewählter Profile durch BSI

IT-Grundschutz-Profile

ein Blick in Institutionen

IT-Grundschutz-Profile

ein Blick auf Beispielbausteine

IT-Grundschutz-Profile

Adaption als Schablone

Wie ist ein Profil aufgebaut?

IT-Grundschutz-Profile

Aufbau (1/5)
 Formale Aspekte
  Titel
  Autor
  Verantwortlich
  Registrierungsnummer
  Versionsstand
  Revisionszyklus
  Vertraulichkeit
  Status der Anerkennung durch das BSI
 Management Summary
 Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils

IT-Grundschutz-Profile

Aufbau (2/5)
 Geltungsbereich
 Zielgruppe
 Angestrebter Schutzbedarf
 Zugrundeliegende IT-Grundschutz-Vorgehensweise
 ISO 27001-Kompatibilität
 Rahmenbedingungen
 Abgrenzung
 Bestandteile des IT-Grundschutz-Profils
 Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
 Verweise auf andere IT-Grundschutz-Profile

IT-Grundschutz-Profile

Aufbau (3/5)
 Referenzarchitektur
 Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
 Informationsverbund mit
 Prozessen,
 (Infrastruktur,)
 Netz-Komponenten,
 IT-Systemen und
 Anwendungen
 Textuell und graphisch mit eindeutigen Bezeichnungen
 Wenn möglich, Gruppenbildung
 Umgang bei Abweichungen zur Referenzarchitektur

IT-Grundschutz-Profile

Aufbau (4/5)
 Umzusetzende Anforderungen und Maßnahmen
 Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
 Umsetzungsvorgabe möglich:
 „Auf geeignete Weise“
 „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
 „Durch Umsetzung von [...]“
 Auswahl der umzusetzenden Anforderungen eines Bausteins:
 Verzicht auf (einzelne) Standardanforderungen
 Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
 Zusätzliche Anforderungen
 Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
 Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
 [...]

IT-Grundschutz-Profile

Aufbau (5/5)
 Anwendungshinweise
 Zusätzliche Informationen zur Anwendung und Integration in das
 Gesamtsicherheitskonzept
 Risikobehandlung
 Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
 Unterstützende Informationen
 Hinweise, wo vertiefende Informationen zu finden sind
 Anhang
 Glossar, zusätzliche Bausteine, etc.

Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5