IT-Grundschutz: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
'''IT-Grundschutz''' - Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der [[Informationstechnik|Informationstechnik (IT)]]
''IT-Grundschutz'' - Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der [[Informationstechnik|Informationstechnik (IT)]]


== Beschreibung ==
== Beschreibung ==
; Ziel
; Mittleres, angemessenes und ausreichendes Schutzniveau
*Mittleres, angemessenes und ausreichendes Schutzniveau


; Vorgehen
 
Zum Erreichen des Ziels
; Sicherheitsmaßnahmen
* empfiehlt das [[IT-Grundschutz-Kompendium]]  (vormals: [[IT-Grundschutz-Kataloge]])
* Technische
* technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.
* Infrastrukturell
* Organisatorisch/personell


; ''ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz''
; ''ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz''
* Nachweis eines systematisches Vorgehens
* Nachweis eines systematisches Vorgehens
* Absicherung von [[IT-System]]e gegen Gefährdungen der [[IT-Sicherheit]]
* [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]
* [[Information Security Management System|Informationssicherheits-Managementsystem (ISMS)]]
* Absicherung von [[IT-System]]en gegen Gefährdungen


; Bestandteile
; Bestandteile
Zeile 38: Zeile 38:
== Motivation ==
== Motivation ==
; Wichtigkeit und Bedeutung von Informationen
; Wichtigkeit und Bedeutung von Informationen
* Für Unternehmen und Behörden ist es unerlässlich, dass '''Informationen''' korrekt vorliegen und vertraulich behandelt werden
* Für Unternehmen und Behörden ist es unerlässlich, dass ''Informationen'' korrekt vorliegen und vertraulich behandelt werden
* Entsprechend wichtig ist auch, dass die '''technischen Systeme,''' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und '''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt''' sind.
* Entsprechend wichtig ist auch, dass die ''technischen Systeme,'' auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und ''wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt'' sind.


; Fragen zur Informationssicherheit
; Fragen zur Informationssicherheit
Zeile 47: Zeile 47:
* Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?
* Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?


Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem '''-Grundschutz''' beschäftigen.
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem ''IT-Grundschutz'' beschäftigen.
* Dort wird detailliert beschrieben, welche '''Anforderungen''' erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
* Dort wird detailliert beschrieben, welche ''Anforderungen'' erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
* Er bietet zudem eine weithin anerkannte '''Methodik''', mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
* Er bietet zudem eine weithin anerkannte ''Methodik'', mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.


; Wege zur Informationssicherheit
; Wege zur Informationssicherheit
Zeile 56: Zeile 56:


; Herausforderungen
; Herausforderungen
Informationssicherheit muss '''vielfältigen Herausforderungen''' gerecht werden:
Informationssicherheit muss ''vielfältigen Herausforderungen'' gerecht werden:
{| class="wikitable options"
{| class="wikitable options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| Komplexität der Gefährdungslage || Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
| Komplexität || Komplexität der Gefährdungslage
* Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
|-
|-
| Ganzheitlichkeit der Sicherheitskonzepte || Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
| Ganzheitlichkeit || Ganzheitlichkeit der Sicherheitskonzepte
* Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
|-
|-
| Zusammenwirken der Sicherheitsmaßnahmen || Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
| Zusammenwirken || Zusammenwirken der Sicherheitsmaßnahmen  
* Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
|-
|-
| Angemessenheit der Sicherheitsmaßnahmen || Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten.
| Angemessenheit || Angemessenheit der Sicherheitsmaßnahmen  
* Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten.
* Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern.
* Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern.
* Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
* Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
|-
|-
| Erfüllung externer Anforderungen || Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben.
| Externer Anforderungen || Erfüllung externer Anforderungen  
* Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben.
* Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
* Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
|-
|-
| Nachhaltigkeit der Sicherheitsmaßnahmen || Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand.
| Nachhaltigkeit || Nachhaltigkeit der Sicherheitsmaßnahmen  
* Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand.
* Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter.
* Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter.
* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
* Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
Zeile 80: Zeile 86:


; IT-Grundschutz des BSI
; IT-Grundschutz des BSI
* Bietet eine gute Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.
Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.  
* Er ermöglicht es Unternehmen und Behörden, systematisch nach Schwachstellen zu suchen
 
Er ermöglicht  
* systematisch nach Schwachstellen zu suchen
* die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
* die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
* Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
* Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen

Version vom 14. September 2023, 23:01 Uhr

IT-Grundschutz - Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der Informationstechnik (IT)

Beschreibung

Mittleres, angemessenes und ausreichendes Schutzniveau


Sicherheitsmaßnahmen
  • Technische
  • Infrastrukturell
  • Organisatorisch/personell
ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz
Bestandteile
Bestandteil Beschreibung
Standards Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium mit dem die in den -Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
BSI-Standards und IT-Grundschutz-Kataloge
Die frei verfügbaren BSI-Standards
  • enthalten Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Umsetzung des IT-Grundschutzes.
  • Im Oktober 2017 lösten die BSI-Standards 200-1, 200-2 und 200-3 die BSI-Standards der Reihe 100-x weitgehend ab
  • Nur der 2008 veröffentlichte BSI-Standard 100-4 ist weiterhin gültig, er vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge.
  • Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.
  • Der designierte Nachfolger BSI-Standard 200-4 („Business Continuity Management“) liegt Stand 23. Februar 2022 als Community Draft vor.

Motivation

Wichtigkeit und Bedeutung von Informationen
  • Für Unternehmen und Behörden ist es unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden
  • Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.
Fragen zur Informationssicherheit
  • Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informationssicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheitsvorfälle angemessen reagieren zu können?
  • Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
  • Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
  • Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen.

  • Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen.
  • Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.
Wege zur Informationssicherheit
  • Es gibt viele Wege zur Informationssicherheit, mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten.
  • Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
Herausforderungen

Informationssicherheit muss vielfältigen Herausforderungen gerecht werden:

Option Beschreibung
Komplexität Komplexität der Gefährdungslage
  • Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.
Ganzheitlichkeit Ganzheitlichkeit der Sicherheitskonzepte
  • Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.
Zusammenwirken Zusammenwirken der Sicherheitsmaßnahmen
  • Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.
Angemessenheit Angemessenheit der Sicherheitsmaßnahmen
  • Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten.
  • Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern.
  • Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.
Externer Anforderungen Erfüllung externer Anforderungen
  • Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben.
  • Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.
Nachhaltigkeit Nachhaltigkeit der Sicherheitsmaßnahmen
  • Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand.
  • Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter.
  • Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.
IT-Grundschutz des BSI

Bietet eine Grundlage dafür, diesen Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren.

Er ermöglicht

  • systematisch nach Schwachstellen zu suchen
  • die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen
  • Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
  • Allgemein anerkannten Standards zu genügen

Konzept

IT-Grundschutz/Konzept

BSI-Standards

BSI/Standard - Vom BSI veröffentlichte Standards

Beschreibung

Standards
200-1 Anforderungen an ein ISMS
200-2 Umsetzung der Anforderungen
200-3 Risikoanalyse
200-4 Business Continuity Management
Kompendium
Kapitel 1 IT-Grundschutz/Kompendium/Vorspann
Kapitel 2 Schichtenmodell / Modellierung
Elementare
Gefährdungen
Elementare Gefährdungen
Schichten Prozesse
Systeme



Version 200

Standard Titel Status Beschreibung
200-1 Managementsysteme für Informationssicherheit Standard Information Security Management System
200-2 IT-Grundschutz-Methodik Standard Vorgehensweise
200-3 Risikomanagement Standard Risikoanalyse
200-4 Business Continuity Management Standard Notfallmanagement


Hilfsmittel

Angebot Beschreibung
Grundschutz-Profile
  • Musterlösungen für ausgewählte Anwendungsbereiche
  • Schablonen für die Entwicklung von Sicherheitskonzepten
Zertifizierung
  • Institution kann belegen, dass ihr Umgang mit Informationssicherheit sowie die umgesetzten technischen und organisatorischen Maßnahmen anerkannten Standards entsprechen.
BSI-Webseite
  • Informiert umfassend über diese und weitere nützliche Angebote
  • Elektronische Versionen der IT-Standards und des IT-Grundschutz/Kompendiums
Software-Tools
  • Zur Unterstützung der IT-Grundschutz-Methodik gibt es auch von unterschiedlichen Herstellern eine Reihe an Software-Tools.
  • Der Einsatz eines solchen Werkzeugs ist zweckmäßig und ab einer gewissen Größe der Institution auch anzuraten.
  • Im Informationsangebot des BSI finden Sie auch hierzu eine Übersicht und weitere Hinweise.
Fachlicher Austausch
  • IT-Grundschutz bei XING
  • IT-Grundschutz-Newsletter
Beispielumsetzung RECPLAST
  • Musterimplementierung
Umsetzungshinweise
Kompendium
Checklisten



Anhang

Siehe auch

Dokumentation

  1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit
  2. BSI-Standard 200-2: IT-Grundschutz-Methodik
  3. BSI-Standard 200-3: Risikomanagement
  4. BSI-Standard 100-4: Notfallmanagement
  5. BSI-Standard 200-4: Business Continuity Management (Community Draft)

Links

Einzelnachweise


Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/IT-Grundschutz
  2. IT-Grundschutz – Seite beim Bundesamt für Sicherheit in der Informationstechnik
  3. Tools zum IT-Grundschutz
  4. Seiten-Check der Initiative-S der Task Force "IT-Sicherheit in der Wirtschaft" Service des eco Verband der deutschen Internetwirtschaft e.V gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)

TMP

Wie auch im Bundesdatenschutzgesetz werden die Begriffe Sicherheit und Schutz vermengt
  • Der IT-Grundschutz ist ein griffiger Titel für eine Zusammenstellung von grundlegenden Sicherheitsmaßnahmen und dazu ergänzenden Schutzprogrammen für Behörden und Unternehmen.
  • Damit werden auch technische Maßnahmen für Datenschutz umgesetzt, aber aufgrund eines anderen Schutzobjekts, nämlich den einzelnen Betroffenen, kann IT-Grundschutz die operativen Anforderungen des Datenschutzes nicht erfüllen.
  • In methodischer Analogie zum IT-Grundschutz ist dafür das Standard-Datenschutzmodell (SDM) entwickelt worden, das auch die Basis für ein entwickeltes Datenschutz-Management ist.