IT-Grundschutz
IT-Grundschutz - Kurzbeschreibung
Beschreibung
| Standards | |
|---|---|
| 200-1 | Anforderungen an ein ISMS |
| 200-2 | Umsetzung der Anforderungen |
| 200-3 | Risikoanalyse |
| 200-4 | Business Continuity Management |
| Kompendium | |
| Kapitel 1 | Kompendium/Vorspann |
| Kapitel 2 | Schichtenmodell / Modellierung |
| Elementare Gefährdungen |
Elementare Gefährdungen |
| Schichten | Prozesse Systeme |
- Identifizieren und Umsetzen von Sicherheitsmaßnahmen
Schutzniveau
- Mittel
- Angemessen
- Im Allgemeinen ausreichend
- Erweiterbar für erhöhten Schutzbedarf
Sicherheitsmaßnahmen
| Bereich | Beschreibung |
|---|---|
| Technisch | Geräte und Strukturen |
| Infrastrukturell | Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
| Organisatorisch | Ablauforganisation, Aufbauorganisation |
| Personell | Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch |
Zertifizierung
ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
- Nachweis eines systematischen Vorgehens
- Informationssicherheits-Managementsystem (ISMS)
- Absicherung von IT-Systemen gegen Gefährdungen
Bestandteile
| Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
| Kompendium | mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
Motivation
IT-Grundschutz des BSI
- Grundlage um
- Herausforderungen professionell gerecht zu werden
- Bemühungen für Informationssicherheit zu strukturieren
- IT-Grundschutz ermöglicht
- Systematische Schwachstellensuche
- Prüfen der Angemessenheit von Schutzmaßnahmen
- Sicherheitskonzepte entwickeln und fortzuschreiben
- die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen
- Allgemein anerkannten Standards zu genügen
- Best Prcatice
Konzept
| Verzicht auf initiale Risikoanalysen | |
| Pauschale Gefährdungen | Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet |
Schutzbedarf
- Drei Schutzbedarfskategorien
- Schutzbedarf des Untersuchungsgegenstandes festlegen
| Kategorie | Schaden |
|---|---|
| Normal | überschaubar |
| Hoch | beträchtlich |
| Sehr Hoch | existenzgefährdend |
Sicherheitsmaßnahmen
- Passende Sicherheitsmaßnahmen auswählen
- personell, technisch, organisatorisch und infrastrukturell
Kochrezepte
- Basierend auf dem IT-Grundschutz/Kompendium
- BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
- Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendium
- Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- das Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Anhang
Siehe auch
- Grundschutz/Audit
- Grundschutz/Audit/tmp
- Grundschutz/Auditor
- Grundschutz/Berater/Prüfung
- Grundschutz/Dokumentation
- Grundschutz/Grundschutz-Check
- Grundschutz/Grundschutz-Check/Beispiel
- Grundschutz/Hilfsmittel
- Grundschutz/Informationsverbund
- Grundschutz/Kennzahlen
- Grundschutz/Leitlinie
- Grundschutz/Managementprinzipien
- Grundschutz/Modellierung
- Grundschutz/Praktiker/Inhalte
- Grundschutz/Profile
- Grundschutz/Qualifizierung
- Grundschutz/Referenzdokumente
- Grundschutz/Schutzbedarf
- Grundschutz/Schutzbedarf/Anwendungen
- Grundschutz/Schutzbedarf/Geschäftsprozesse
- Grundschutz/Schutzbedarf/Kategorie
- Grundschutz/Schutzbedarf/Kommunikationsverbindungen
- Grundschutz/Schutzbedarf/Netzwerke
- Grundschutz/Schutzbedarf/Räume
- Grundschutz/Schutzbedarf/Systeme
- Grundschutz/Sicherheitsprozess
- Grundschutz/Standard
- Grundschutz/Standard/100-3
- Grundschutz/Standard/200-1
- Grundschutz/Strukturanalyse
- Grundschutz/Strukturanalyse/Anwendungen
- Grundschutz/Strukturanalyse/Geschäftsprozesse
- Grundschutz/Strukturanalyse/Gruppierung
- Grundschutz/Strukturanalyse/Netzplan
- Grundschutz/Strukturanalyse/Räume
- Grundschutz/Strukturanalyse/Systeme
- Grundschutz/Strukturanalyse/tmp
- Grundschutz/Umsetzungsplanung
- Grundschutz/Umsetzungsplanung/Aufwand
- Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen
- Grundschutz/Umsetzungsplanung/Grundlagen
- Grundschutz/Umsetzungsplanung/Konsolidierung
- Grundschutz/Umsetzungsplanung/Realisierung
- Grundschutz/Umsetzungsplanung/Reihenfolge
- Grundschutz/Umsetzungsplanung/Umsetzungsplan
- Grundschutz/Umsetzungsplanung/Verantwortlichkeit
- Grundschutz/Verbesserungsprozess
- Grundschutz/Vorfallbehandung
- Grundschutz/Zertifizierung