IT-Grundschutz/Profile: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | '''topic''' - Kurzbeschreibung | ||
== Beschreibung == | == Beschreibung == | ||
[[File:10000201000007D300000561EF3AF451B178B383.png|mini]] | |||
[[File:100000000000074D0000010789BA6DD611BD834B.png|mini]] | |||
[[File:100002010000076F0000048A93C8969E295DE494.png|mini]] | |||
[[File:1000020100000720000004670DE6701F0761C9EC.png|mini]] | |||
[[File:gsProfilaufbau.png|mini]] | |||
IT-Grundschutz-Profile | IT-Grundschutz-Profile | ||
12.1 Aufbau eine Profils | 12.1 Aufbau eine Profils | ||
Zeile 97: | Zeile 102: | ||
Glossar, zusätzliche Bausteine, etc. | Glossar, zusätzliche Bausteine, etc. | ||
<noinclude> | <noinclude> | ||
== Anhang == | == Anhang == |
Version vom 2. Juni 2023, 08:37 Uhr
topic - Kurzbeschreibung
Beschreibung
IT-Grundschutz-Profile 12.1 Aufbau eine Profils 12.2 Erstellung eines Profils 12.3 Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
Profile im modernisierten IT-Grundschutz
Schablonen für die Informationssicherheit
Was ist ein IT-Grundschutz-Profil?
Definition Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird. Ziel Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
IT-Grundschutz-Profile
Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Diskussion: Nachweis für Umsetzung (z. B. Testat) sowie Anerkennung ausgewählter Profile durch BSI
IT-Grundschutz-Profile
ein Blick in Institutionen
IT-Grundschutz-Profile
ein Blick auf Beispielbausteine
IT-Grundschutz-Profile
Adaption als Schablone
Wie ist ein Profil aufgebaut?
IT-Grundschutz-Profile
Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
IT-Grundschutz-Profile
Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO 27001-Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile
IT-Grundschutz-Profile
Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur
IT-Grundschutz-Profile
Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: „Auf geeignete Weise“ „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“ „Durch Umsetzung von [...]“ Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [...]
IT-Grundschutz-Profile
Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc.
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5