IT-Grundschutz/Profile: Unterschied zwischen den Versionen
| Zeile 83: | Zeile 83: | ||
; Ziel | ; Ziel | ||
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren. | Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren. | ||
<noinclude> | <noinclude> | ||
Version vom 20. September 2023, 10:35 Uhr
topic - Kurzbeschreibung
Beschreibung
- IT-Grundschutz-Profile
- Schablonen für die Informationssicherheit
Aufbau eines Profils
Wie ist ein Profil aufgebaut?
- Formale Aspekte
Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI
- Management Summary
- Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
- Aufbau (2/5)
- Geltungsbereich
- Zielgruppe
- Angestrebter Schutzbedarf
- Zugrundeliegende IT-Grundschutz-Vorgehensweise
- ISO 27001-Kompatibilität
- Rahmenbedingungen
- Abgrenzung
- Bestandteile des IT-Grundschutz-Profils
- Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
- Verweise auf andere IT-Grundschutz-Profile
- Aufbau (3/5)
- Referenzarchitektur
- Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
- Informationsverbund mit
- Prozessen,
- (Infrastruktur,)
- Netz-Komponenten,
- IT-Systemen und
- Anwendungen
- Textuell und graphisch mit eindeutigen Bezeichnungen
- Wenn möglich, Gruppenbildung
- Umgang bei Abweichungen zur Referenzarchitektur
- Aufbau (4/5)
- Umzusetzende Anforderungen und Maßnahmen
- Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand
- Umsetzungsvorgabe möglich:
- „Auf geeignete Weise“
- „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
- „Durch Umsetzung von [...]“
- Auswahl der umzusetzenden Anforderungen eines Bausteins:
- Verzicht auf (einzelne) Standardanforderungen
- Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf
- Zusätzliche Anforderungen
- Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
- Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
- [...]
- Aufbau (5/5)
- Anwendungshinweise
- Zusätzliche Informationen zur Anwendung und Integration in das
- Gesamtsicherheitskonzept
- Risikobehandlung
- Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen
- Unterstützende Informationen
- Hinweise, wo vertiefende Informationen zu finden sind
- Anhang
- Glossar, zusätzliche Bausteine, etc.
Erstellung eines Profils
Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
Was ist ein IT-Grundschutz-Profil?
- Definition
Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.
- Ziel
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.