IT-Grundschutz/Kompendium: Unterschied zwischen den Versionen
| Zeile 2: | Zeile 2: | ||
=== Beschreibung === | === Beschreibung === | ||
; | ; Sammlung von Dokumenten (Bausteinen) | ||
* Schrittweise Einführung | * Schrittweise Einführung eines [[Information Security Management System|ISMS]] | ||
* Praxisnahe Ableitung | * Praxisnahe Ableitung | ||
* Methoden mit reduziertem Arbeitsaufwand | * Methoden mit reduziertem Arbeitsaufwand | ||
* Thematische Schichten | * Thematische Schichten | ||
* Unterschiedliche Aspekte | * Unterschiedliche Aspekte | ||
; Grundschutz-Kompendium ist modular aufgebaut | ; Grundschutz-Kompendium ist modular aufgebaut | ||
Den Kern bilden die jeweils rund zehn Seiten langen '''IT-Grundschutz-Bausteine''' | |||
* in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden. | |||
; Gegenstand eines Bausteins | |||
Ubergeordnete Themen | |||
* Informationssicherheitsmanagement | |||
* Notfallmanagement | |||
Spezielle technische Systeme | |||
* Üblicherweise in Unternehmen und Behörden im Einsatz, etwa | |||
** Clients | |||
** Server | |||
** mobile Systeme | |||
** industrielle Steuerungen | |||
; Aktualisierung und Erweiterung | ; Aktualisierung und Erweiterung | ||
Version vom 24. September 2023, 14:39 Uhr
IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit
Beschreibung
- Sammlung von Dokumenten (Bausteinen)
- Schrittweise Einführung eines ISMS
- Praxisnahe Ableitung
- Methoden mit reduziertem Arbeitsaufwand
- Thematische Schichten
- Unterschiedliche Aspekte
- Grundschutz-Kompendium ist modular aufgebaut
Den Kern bilden die jeweils rund zehn Seiten langen IT-Grundschutz-Bausteine
- in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden.
- Gegenstand eines Bausteins
Ubergeordnete Themen
- Informationssicherheitsmanagement
- Notfallmanagement
Spezielle technische Systeme
- Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- mobile Systeme
- industrielle Steuerungen
- Aktualisierung und Erweiterung
- Kontinuierlich
- Berücksichtigung von Anwenderwünschen
- Anpassung an die Entwicklung der zugrunde liegenden Standards
- Anpassung an die Gefährdungslage
Schichtenmodell
- Grundschutz-Bausteine sind in ein Schichtenmodell gegliedert
- Ziele des Schichtenmodells
- Komplexität reduzieren
- Redundanzen vermeiden
- Einzelaspekte aktualisieren, ohne dass andere Teile beeinflusst werden
- Zuständigkeiten bündeln
- So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution
- die Schicht die Haustechnik und
- die Schichten, und die für IT-Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte
Gliederung
| Kapitel | Beschreibung |
|---|---|
| Einführung |
|
| Schichtenmodell und Modellierung | |
| Rollen | |
| Glossar | |
| Elementare Gefährdungen | |
| Bausteine |
Rollenmodell
IT-Grundschutz/Kompendium/Rollen - Definitionen und Zuständigkeiten
Übersicht
| Rolle | Aufgabe |
|---|---|
| Auditteamleitung | Leitung des Auditteams |
| Auditteam | Fachlich Unterstützung der Auditteamleitung |
| Bauleitung | Umsetzung von Baumaßnahmen |
| Benutzende | Informationstechnische Systeme nutzen |
| Bereichssicherheitsbeauftragte | Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen |
| Beschaffungsstelle | Initiiert und überwacht Beschaffungen |
| Brandschutzbeauftragte | Brandschutz |
| Datenschutzbeauftragte | Gesetzeskonformen Umgang mit personenbezogenen Daten |
| Compliance-Beauftragte | Vorgaben identifizieren und deren Einhaltung zu prüfen |
| Entwickelnde | Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen |
| Errichterfirma | Unternehmen, das Gewerke oder aber auch Gebäude errichtet |
| Fachabteilung | Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat |
| Fachverantwortliche | Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig |
| Haustechnik | Infrastruktur in Gebäuden und Liegenschaften |
| ICS-Informationssicherheitsbeauftragte | Sicherheit von ICS-Systemen |
| Informationssicherheitsbeauftragte (ISB) | Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben |
| ISMS Management-Team | |
| Institution | Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet |
| Institutionsleitung | Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit |
| IS-Revisionsteam | Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen |
| IT-Betrieb | Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet
Mitarbeitende Die Mitarbeitenden sind Teil einer Institution |
| Notfallbeauftragte | Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement
zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig
densereignis |
| OT-Betrieb (Operational Technology, OT) | Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig |
| OT-Leitung | Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen
ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen |
| Personalabteilung | |
| Planende | Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst
|
| Risikomanager | Person, die alle Aufgaben des Risikomanagements wahrnimmt |
| Testende | Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen |
| Vorgesetzte | Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal |
| Wartungspersonal | Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden
|
| Zentrale Verwaltung | Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt
|
Anhang
Siehe auch
Links
Weblinks
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf
- https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
- Grundschutz-Bausteine