IT-Grundschutz/Kompendium/Gliederung
Kapitel
| Kapitel | Beschreibung |
|---|---|
| Einführung |
|
| Schichtenmodell und Modellierung | |
| Rollen | |
| Glossar | |
| Elementare Gefährdungen | |
| Bausteine |
Bausteine
Schichten
| Schicht | Beschreibung |
|---|---|
| Prozesse | |
| Systeme |
- Prozess-Bausteine
| Kürzel | Titel |
|---|---|
| ISMS | Sicherheitsmanagement |
| ORP | Organisation und Personal |
| CON | Konzeption und Vorgehensweise |
| OPS | Betrieb |
| DER | Detektion und Reaktion |
- System-Bausteine
| Kürzel | Titel |
|---|---|
| APP | Anwendungen |
| SYS | IT-Systeme |
| IND | Industrielle IT |
| NET | Netze und Kommunikation |
| INF | Infrastruktur |
Aufbau eines Bausteins
IT-Grundschutz-Baustein - Dokument des BSI-Grundschutz-Kompendiums
Beschreibung
- Umfang
Circa 10 Seiten
- Gliederung
| Inhalt | Beschreibung |
|---|---|
| Einleitung | |
| Zielsetzung und Abgrenzung | |
| Gefährdungslage | |
| Sicherheitsanforderungen |
Einleitung
- Anwendung
- Elementarer Gefährdungen
- Kurzen Beschreibung
- Abgrenzung des behandelten Sachverhalts
Zielsetzung und Abgrenzung
Abgrenzung und Verweis des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug
Gefährdungslage
Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen
- Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben
Sicherheitsanforderungen
Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind
- Die Anforderungen beschreiben, was getan werden sollte
Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen
- vorrangig zu erfüllende Basis-Anforderungen,
- für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
- Anforderungen für den erhöhten Schutzbedarf
Modalverben
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
| Ausdruck | Verbindlichkeit |
|---|---|
| MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
| DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
| SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
| SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
| Ausdruck | Verbindlichkeit |
|---|---|
| MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
| SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
| MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Schichten
IT-Grundschutz-Kompendium/Prozess-Bausteine - Konzepte und Vorgehensweisen
Beschreibung
| Kürzel | Titel | Beschreibung |
|---|---|---|
| ISMS | Sicherheitsmanagement | |
| ORP | Organisation und Personal | |
| CON | Konzeption und Vorgehensweise | |
| OPS | Betrieb | |
| DER | Detektion und Reaktion |
ISMS
- Sicherheitsmanagement
| Nummer | Titel |
|---|---|
| ISMS.1 | Sicherheitsmanagement |
ORP
- Organisation und Personal
| Nummer | Titel |
|---|---|
| ORP.1 | Organisation |
| ORP.2 | Personal |
| ORP.3 | Sensibilisierung und Schulung zur Informationssicherheit |
| ORP.4 | Identitäts- und Berechtigungsmanagement |
| ORP.5 | Compliance Management (Anforderungsmanagement) |
CON
- Konzeption und Vorgehensweise
| Nummer | Titel |
|---|---|
| CON.1 | Kryptokonzept |
| CON.2 | Datenschutz |
| CON.3 | Datensicherungskonzept |
| CON.6 | Löschen und Vernichten |
| CON.7 | Informationssicherheit auf Auslandsreisen |
| CON.8 | Software-Entwicklung |
| CON.9 | Informationsaustausch |
| CON.10 | Entwicklung von Webanwendungen |
| CON.11.1 | Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH |
OPS
- Betrieb
| Nummer | Titel |
|---|---|
| OPS.1.1.1 | Allgemeiner Betrieb |
| OPS.1.1.2 | Ordnungsgemäße IT-Administration |
| OPS.1.1.3 | Patch- und Änderungsmanagement |
| OPS.1.1.4 | Schutz vor Schadprogrammen |
| OPS.1.1.5 | Protokollierung |
| OPS.1.1.6 | Software-Tests und -Freigaben |
| OPS.1.1.7 | Systemmanagement |
| OPS.1.2.2 | Archivierung |
| OPS.1.2.4 | Telearbeit |
| OPS.1.2.5 | Fernwartung |
| OPS.1.2.6 | NTP-Zeitsynchronisation |
| OPS.2.2 | Cloud-Nutzung |
| OPS.2.3 | Nutzung von Outsourcing |
| OPS.3.2 | Anbieten von Outsourcing |
DER
- Detektion und Reaktion
| Nummer | Titel |
|---|---|
| DER.1 | Detektion von sicherheitsrelevanten Ereignissen |
| DER.2.1 | Behandlung von Sicherheitsvorfällen |
| DER.2.2 | Vorsorge für die IT-Forensik |
| DER.2.3 | Bereinigung weitreichender Sicherheitsvorfälle |
| DER.3.1 | Audits und Revisionen |
| DER.3.2 | Revision auf Basis des Leitfadens IT-Revision |
| DER.4 | Notfallmanagement |
- WEITERLEITUNG IT-Grundschutz/Kompendium/System-Bausteine
Anhang
Siehe auch
Links
Projekt
Weblinks
- IT-GS-Kompendium_Einzel
- Kreuzreferenztabellen zum -Grundschutz-Kompendium (Edition 2023) -Excel-Format